- Perché questa revisione è necessaria
- Chiarezza sul perimetro
- Small mid-cap: la proporzionalità diventa operativa
- Certificazione come leva di compliance
- Supply chain, ransomware, post-quantum: più sostanza, meno frizione
- ENISA: da osservatore a facilitatore
- Una NIS2 più matura, non più debole
NIS2 e Cybersecurity Act 2: verso una compliance europea più sostenibile
La Commissione Europea ha presentato una proposta di revisione della Direttiva NIS2 che segna un passaggio importante: non un allentamento degli obblighi, ma una semplificazione, pensata per rendere la sicurezza più applicabile, sostenibile e coerente con il nuovo ecosistema normativo europeo.
Insieme al Cybersecurity Act 2, questa revisione rappresenta un cambio di passo: la ricerca di regole migliori.
Perché questa revisione è necessaria
La revisione interviene su quattro criticità emerse nell’implementazione della NIS2: la definizione dello scope, la proporzionalità degli obblighi, la supervisione delle entità transfrontaliere e la frammentazione del reporting.
L’obiettivo è ridurre l’attrito regolatorio mantenendo intatti i pilastri della direttiva: risk management, incident reporting, responsabilità del management, sicurezza della supply chain.
Chiarezza sul perimetro
Gli Allegati I e II vengono raffinati, non ampliati.
Criteri più precisi per settori come:
produzione di energia (esclusi operatori <1 MW)
idrogeno
sanità
chimica (allineata a REACH)
infrastrutture di trasmissione dati sottomarine
Risultato: più coerenza con il rischio sistemico reale.
Small mid-cap: la proporzionalità diventa operativa
La nuova categoria delle small mid-cap enterprises entra formalmente nel framework NIS2.
Sono entità critiche, ma classificate come important e non essential, con:
oneri amministrativi ridotti
supervisione più leggera
obblighi calibrati sulla capacità organizzativa
La compliance deve essere sostenibile per essere efficace.
Certificazione come leva di compliance
Il Cybersecurity Act 2 introduce un cambio: la certificazione europea diventa prova di conformità agli obblighi NIS2.
Chi ottiene una certificazione di “cyber posture” potrà evitare audit duplicativi sulle aree già coperte. È un passo verso una compliance basata su evidenze tecniche, non su documentazione ridondante.
Supply chain, ransomware, post-quantum: più sostanza, meno frizione
La revisione introduce interventi mirati su tre aree cruciali: la sicurezza della supply chain, con nuove linee guida europee pensate per armonizzare i questionari ai fornitori ed evitare trasferimenti indiscriminati degli obblighi; la gestione del ransomware, grazie a una raccolta dei dati sugli attacchi finalmente armonizzata e basata su un principio chiave, ovvero che la notifica non deve generare responsabilità aggiuntive per chi collabora; e la crittografia post‑quantum, che per la prima volta viene accompagnata da milestone ufficiali (il 2030 per i casi critici e il 2035 per quelli a rischio medio‑basso) trasformando la migrazione post‑quantum in un vero esercizio di pianificazione strategica.
ENISA: da osservatore a facilitatore
ENISA non assume un ruolo di enforcement, ma diventa il vero abilitatore della cooperazione europea: gestirà un registro unico delle entità NIS2, coordinerà l’analisi dei rischi cross‑border e supporterà la creazione di team di supervisione congiunti tra Stati membri. Un passaggio cruciale per evitare approcci nazionali divergenti e garantire una supervisione più coerente e armonizzata in tutta l’Unione.
Una NIS2 più matura, non più debole
La revisione rafforza la direttiva: rende la NIS2 più chiara, più coerente e più sostenibile per le imprese chiamate ad applicarla, ribadendo un principio fondamentale che arriva da Bruxelles: la sicurezza non dipende dalla quantità degli adempimenti, ma dalla qualità delle misure e dalla capacità di mantenerle efficaci nel tempo.
Un segnale importante per questo inizio 2026, in cui la cyber security europea entra finalmente in una fase di maturità.
Per maggiori informazioni scrivi a info@almec.net
