Cybersecurity Act 2 dell'UE: Divieti sulla Supply Chain, Riforma della Certificazione e Cosa Devono Monitorare i Produttori
Il 20 gennaio 2026, l'UE ha proposto di sostituire interamente il Cybersecurity Act. Cosa cambia e cosa significa per la conformità CRA.
In this article
Il 20 gennaio 2026 la Commissione Europea ha pubblicato il documento COM(2026) 11 final, una proposta per quello che viene chiamato il Cybersecurity Act 2. Non si tratta di un aggiornamento minore. La Commissione propone di abrogare e sostituire integralmente il Regolamento (UE) 2019/881, il Cybersecurity Act originale del 2019.
La proposta comprende oltre 120 articoli distribuiti su sei titoli. Abbiamo letto il testo integrale, gli allegati e la valutazione d'impatto così che non dobbiate farlo voi. Questo articolo analizza le reali novità, cosa conta per i produttori e dove tutto questo si interseca con la conformità CRA.
Sintesi
- Il Cybersecurity Act 2 (CSA2) sostituisce integralmente il Cybersecurity Act del 2019. È una riscrittura da zero
- Un nuovo framework di sicurezza della supply chain ICT consente all'UE di designare formalmente paesi ad alto rischio e vietare ai loro fornitori l'accesso alle infrastrutture critiche
- Gli operatori di telecomunicazioni dovranno eliminare le apparecchiature dei fornitori ad alto rischio entro 36 mesi
- Un framework di certificazione rinnovato copre ora anche i servizi di sicurezza gestiti e la postura cyber delle organizzazioni, non solo i prodotti
- ENISA riceve un aumento di budget dell'81,5%, 118 nuove posizioni e responsabilità ampliate, incluso un helpdesk per il ransomware
- Le imprese potrebbero risparmiare fino a EUR 15,3 miliardi in cinque anni grazie alla semplificazione della conformità
- Sanzioni per violazioni della supply chain: fino a EUR 10 milioni o 2% del fatturato globale
Quattro Pilastri della Proposta
Il CSA2 si articola attorno a quattro aree. Due sono espansioni di framework esistenti, due sono interamente nuove.
1. Riforma del Mandato ENISA
ENISA, l'Agenzia dell'UE per la Cybersecurity, riceve un potenziamento significativo. Dal 2019, nuove normative (NIS2, CRA, Cyber Solidarity Act) hanno aggiunto compiti senza aggiornare il mandato o le risorse dell'agenzia.
La proposta interviene con:
- Budget: EUR 341 milioni su sette anni (2028-2034), un aumento dell'81,5% rispetto al livello 2025
- Personale: 118 nuove posizioni a tempo pieno presso ENISA, più 50 presso la Commissione
- Helpdesk ransomware: ENISA dovrà ora gestire capacità dedicate di risposta e recupero dal ransomware
- Database Europeo delle Vulnerabilità: Potenziato con punteggi di gravità, elenchi di prodotti e un catalogo delle vulnerabilità attivamente sfruttate
- Crittografia post-quantistica: ENISA riceve un mandato esplicito per la valutazione degli algoritmi post-quantistici
- Accademia di Competenze Cybersecurity: Formalizzata per legge con certificazioni portabili a livello UE per i professionisti della cybersecurity, rilasciate tramite i Portafogli di Identità Digitale Europei
2. Riforma del Framework di Certificazione
Il Framework Europeo di Certificazione della Cybersecurity (ECCF) viene significativamente ampliato.
Cosa cambia:
| Aspetto | CSA attuale (2019) | CSA2 proposto |
|---|---|---|
| Ambito | Prodotti, servizi e processi ICT | Anche servizi di sicurezza gestiti e postura cyber delle entità |
| Velocità di sviluppo | Nessun requisito temporale | ENISA deve consegnare entro 12 mesi |
| Manutenzione | Nessun processo formale | Meccanismo di manutenzione chiaro con sottogruppi ECCG |
| Lacuna sugli standard | Attendere gli enti di standardizzazione | ENISA può redigere direttamente specifiche tecniche |
| Transfrontaliero | Schemi nazionali separati | Profili di estensione per requisiti degli Stati membri |
| Paesi terzi | Nessun processo formale | Riconoscimento reciproco basato sull'equivalenza |
Il cambiamento più significativo: la certificazione della postura cyber. Le organizzazioni (in particolare le entità NIS2) possono ora certificare le proprie misure complessive di gestione del rischio cybersecurity. Una singola certificazione potrebbe sostituire molteplici verifiche di conformità tra gli Stati membri, creando una presunzione di conformità con i requisiti NIS2.
Per i produttori, questo significa che una certificazione ottenuta nell'ambito dell'ECCF potrebbe potenzialmente dimostrare la conformità ai requisiti di cybersecurity del CRA, della NIS2, del DORA e delle norme settoriali contemporaneamente.
3. Semplificazione della Conformità
La Commissione stima che le imprese potrebbero risparmiare fino a EUR 15,3 miliardi in cinque anni grazie alla razionalizzazione della conformità.
I meccanismi chiave:
- Una certificazione, molteplici normative: Una certificazione europea di cybersecurity può servire come prova di conformità a molteplici atti normativi: NIS2, CRA, DORA, requisiti di sicurezza GDPR e norme settoriali
- Armonizzazione massima: Quando la Commissione adotta atti di esecuzione ai sensi della NIS2, questi diventano armonizzazione massima. Gli Stati membri non possono aggiungere requisiti ulteriori
- Piattaforma unica di segnalazione: ENISA deve sviluppare un punto di ingresso unico per la segnalazione degli incidenti che soddisfi simultaneamente molteplici normative
Quest'ultimo punto è rilevante. Oggi, un singolo incidente può attivare obblighi di segnalazione ai sensi del CRA (verso ENISA), della NIS2 (verso le autorità nazionali) e potenzialmente del DORA o di norme settoriali, ciascuno con moduli e destinatari differenti. La piattaforma unica di segnalazione punta a eliminare questa duplicazione.
4. Framework di Sicurezza della Supply Chain ICT: Il Punto Centrale
Questa è la parte interamente nuova e politicamente più significativa della proposta. Crea un framework orizzontale e tecnologicamente neutro per affrontare quelli che la Commissione definisce "rischi di cybersecurity non tecnici" nelle supply chain ICT. In pratica, è il meccanismo giuridico per limitare l'accesso dei fornitori ad alto rischio alle infrastrutture critiche.
Come funziona, passo dopo passo:
FASE 1: VALUTAZIONE DEL RISCHIO
Il Gruppo di Cooperazione NIS o la Commissione avvia
una valutazione coordinata del rischio di specifiche supply chain ICT
Tempistica: 6 mesi per il completamento
│
▼
FASE 2: DESIGNAZIONE DEL PAESE
La Commissione valuta se un paese terzo presenta
"rischi non tecnici gravi e strutturali"
Criteri: normative sulla divulgazione delle vulnerabilità,
rimedi giudiziari, attività di attori di minaccia,
disponibilità alla cooperazione
│
▼
FASE 3: CONSEGUENZE
Alle entità dei paesi designati viene VIETATO:
- Fornire componenti ICT in asset chiave
- Partecipare a gare di appalto pubblico per asset ICT chiave
- Accedere a programmi di finanziamento UE
- Ottenere certificazioni e valutazioni di conformità
│
▼
FASE 4: IDENTIFICAZIONE DEGLI ASSET ICT CHIAVE
La Commissione identifica, tramite atti di esecuzione,
quali asset ICT sono "chiave" per settore
│
▼
FASE 5: ELENCHI DEI FORNITORI AD ALTO RISCHIO
La Commissione pubblica elenchi dei fornitori ad alto rischio
sulla base di valutazioni della proprietà e del controllo
Le telecomunicazioni sono le prime a essere colpite. L'Allegato II predefinisce gli asset ICT chiave per le reti mobili, fisse e satellitari: funzioni di rete core, reti di accesso radio, sistemi di gestione della rete, reti di trasporto, prodotti crittografici. Gli operatori mobili hanno 36 mesi dall'entrata in vigore per eliminare le apparecchiature ad alto rischio. Il costo annuo per gli operatori mobili per l'eliminazione progressiva delle apparecchiature ad alto rischio è stimato tra EUR 3,4 e 4,3 miliardi.
Esiste un meccanismo di esenzione. Le entità dei paesi designati possono presentare domanda per dimostrare di disporre di misure efficaci per affrontare i rischi non tecnici. La Commissione mantiene un registro pubblico delle decisioni di esenzione.
Cosa Significa per i Prodotti Coperti dal CRA
Il CSA2 non modifica direttamente il Cyber Resilience Act, ma crea nuove dinamiche che i produttori coperti dal CRA devono comprendere.
La Due Diligence sulla Supply Chain Diventa Più Complessa
Il CRA già richiede ai produttori di esercitare la due diligence nell'integrare componenti di terze parti. Il CSA2 aggiunge un nuovo livello: se il vostro prodotto incorpora componenti da un fornitore successivamente designato come ad alto rischio, e il prodotto è utilizzato nelle infrastrutture critiche, i vostri clienti potrebbero essere costretti a sostituire tali componenti.
Questo crea una pressione concreta per:
- Mappare ora la vostra supply chain di componenti, incluso il paese di origine dei componenti chiave
- Monitorare quali clienti operano in settori altamente critici (energia, trasporti, banche, sanità, infrastrutture digitali)
- Valutare fornitori alternativi per i componenti provenienti da paesi che potrebbero essere soggetti a designazione
La Certificazione Potrebbe Semplificare la Conformità CRA
L'ampliamento dell'ECCF significa che una certificazione europea di cybersecurity per il vostro prodotto potrebbe servire come prova di conformità al CRA. Questo è particolarmente rilevante per i prodotti Important Class I e Class II soggetti a requisiti di valutazione della conformità da parte di terzi.
I tre livelli di garanzia restano: Base (autovalutazione a questo livello), Sostanziale e Alto. Se viene adottato uno schema di certificazione della cybersecurity che copra i requisiti essenziali del CRA, i produttori potrebbero utilizzare tale certificazione al posto di un processo separato di valutazione della conformità CRA.
La Segnalazione degli Incidenti Viene Consolidata
La piattaforma unica di segnalazione è una buona notizia. Il CRA richiede di segnalare le vulnerabilità attivamente sfruttate a ENISA entro 24 ore. La NIS2 richiede di segnalare gli incidenti significativi alle autorità nazionali. Il punto di ingresso unico del CSA2 consentirebbe di effettuare un'unica segnalazione e instradarla a tutti i destinatari previsti.
Gli Organismi di Valutazione della Conformità Affrontano Nuove Regole
Se vi affidate a organismi notificati per la valutazione della conformità CRA, tenete presente che il CSA2 aggiunge requisiti per questi organismi. L'Allegato I della proposta specifica che gli organismi di valutazione della conformità non devono essere essi stessi fornitori ad alto rischio e non possono utilizzare componenti ICT di fornitori ad alto rischio nelle loro attività di valutazione.
Numeri Chiave in Sintesi
| Voce | Importo |
|---|---|
| Nuovo budget ENISA (2028-2034) | EUR 341 milioni |
| Risparmi conformità per le imprese (5 anni) | Fino a EUR 15,3 miliardi |
| Costo annuo per gli operatori mobili per la dismissione | EUR 3,4 - 4,3 miliardi |
| Investimenti in fornitori affidabili all'anno | Fino a EUR 2 miliardi |
| Risparmi per risposta incidenti più rapida (5 anni) | EUR 3,7 - 4,4 miliardi |
| Sanzione massima per violazioni supply chain | EUR 10 milioni o 2% del fatturato globale |
| Nuove posizioni ENISA | 118 FTE |
Cosa Succede Adesso
Questa è una proposta legislativa. Deve ancora passare attraverso il Parlamento Europeo e il Consiglio secondo la procedura legislativa ordinaria. I tempi non sono definiti, ma data la rilevanza politica delle disposizioni sulla supply chain, è prevedibile un dibattito articolato.
Tappe fondamentali da monitorare:
- Assegnazione alla commissione del Parlamento Europeo, probabilmente ITRE (Industria, Ricerca e Energia)
- Discussioni nel gruppo di lavoro del Consiglio, dove le posizioni degli Stati membri daranno forma al testo finale
- Negoziati di trilogo, dove Parlamento, Consiglio e Commissione troveranno un compromesso
- Entrata in vigore, di norma 20 giorni dopo la pubblicazione nella Gazzetta Ufficiale
- Avvio del countdown per le telecomunicazioni, 36 mesi dall'entrata in vigore
Per la conformità CRA, il CSA2 non modifica i vostri obblighi attuali né le relative scadenze. Gli obblighi di segnalazione CRA decorrono comunque da settembre 2026 e la piena conformità resta richiesta entro dicembre 2027. Tuttavia il CSA2 potrebbe creare nuovi strumenti, in particolare nel campo della certificazione, che potrebbero rendere più agevole la dimostrazione della conformità CRA una volta entrato in vigore.
Cosa Fare Adesso
Non è necessario intervenire immediatamente sul CSA2: è una proposta, non una legge. Ma ci sono passi concreti che hanno senso a prescindere da quando e come verrà adottato:
-
Verificate la vostra supply chain di componenti. Sappiate da dove provengono i vostri componenti chiave. Questa è già una buona pratica CRA e diventa fondamentale se il framework sulla supply chain viene adottato.
-
Seguite il panorama delle certificazioni. Se viene adottato uno schema europeo di certificazione della cybersecurity che copra i requisiti essenziali del CRA, potrebbe semplificare notevolmente il vostro processo di valutazione della conformità.
-
Preparatevi alla segnalazione consolidata. Se siete soggetti sia al CRA che alla NIS2, la piattaforma unica di segnalazione consoliderà alla fine i vostri obblighi. Progettate i vostri processi di risposta agli incidenti in modo indipendente dalla specifica normativa.
-
Monitorate la vostra base clienti. Se i vostri prodotti sono utilizzati in settori altamente critici (energia, trasporti, sanità, banche, infrastrutture digitali), le disposizioni sulla supply chain potrebbero creare pressioni aggiuntive sulle vostre scelte in materia di componenti.
Info: Il Cybersecurity Act 2.0 propone schemi di certificazione a livello UE per le supply chain ICT. Questo integra i requisiti a livello di prodotto del CRA.
Guide Correlate
Come CRA Evidence Aiuta
CRA Evidence già traccia gli elementi della supply chain che il CSA2 renderà ancora più importanti:
- Gestione SBOM per mappare le dipendenze dei vostri componenti, incluse le origini dei fornitori
- Monitoraggio delle vulnerabilità per tracciare le vulnerabilità attivamente sfruttate nell'intero portafoglio prodotti
- Dashboard di conformità per visualizzare lo stato di preparazione CRA e le lacune
- Segnalazione incidenti per supportare il flusso di notifica entro 24 ore richiesto dal CRA
- Documentazione per mantenere il fascicolo tecnico e la dichiarazione di conformità
Iniziate a costruire le vostre evidenze di conformità su craevidence.com.
Il testo integrale della proposta (COM(2026) 11 final) i suoi allegati e la valutazione d'impatto sono disponibili nella biblioteca Strategia Digitale della Commissione Europea. Questo articolo è solo a scopo informativo e non costituisce consulenza legale. Per indicazioni specifiche sulla conformità, consultare un consulente legale qualificato.
Argomenti trattati in questo articolo
Articoli correlati
Le telecamere intelligenti sono Prodotti Importanti ai...
Le telecamere di sicurezza connesse sono classificate come Prodotti...
11 minClassificazione dei prodotti CRA: Il vostro prodotto è...
Guida pratica per determinare la categoria CRA del vostro prodotto. Include...
6 minValutazione di Conformità CRA: Guida alla Scelta tra...
Come scegliere il giusto percorso di valutazione della conformità per il tuo...
11 minDoes the CRA apply to your product?
Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell’ambito del Cyber Resilience Act dell’UE. Ottieni il risultato in meno di 2 minuti.
Pronto a raggiungere la conformità CRA?
Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.