Argomenti trattati
Il quadro regolatorio europeo in materia di sicurezza digitale ha ricevuto un segnale importante: il 18 marzo 2026 il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) hanno adottato un parere congiunto sulle proposte presentate dalla Commissione Europea il 20 gennaio 2026. Il documento valuta due interventi chiave: il Cybersecurity Act 2 e le modifiche alla direttiva NIS2, riconoscendone l’importanza per aumentare la resilienza digitale, ma mettendo in luce una serie di criticità che richiedono correzioni.
In termini generali i Garanti esprimono un sostegno condizionato: il parere è favorevole alla logica di rafforzamento delle capacità di difesa e di coordinamento, ma insiste sul fatto che le nuove norme devono rispettare i principi di protezione dei dati e di proporzionalità. Tra le aree più sollecitate figurano il ruolo rafforzato di ENISA, la disciplina dei wallet digitali, gli obblighi legati al ransomware e la sicurezza della catena di approvvigionamento. Le osservazioni degli organi di tutela si concentrano su come conciliare sicurezza e diritti fondamentali.
Cosa prevedono le proposte
Il pacchetto legislativo proposto dalla Commissione Europea mira a uniformare e innalzare gli standard di sicurezza per operatori critici e fornitori di servizi digitali. Il Cybersecurity Act 2 introduce misure di certificazione più stringenti e poteri di vigilanza maggiori per le istituzioni UE, mentre le modifiche a NIS2 estendono obblighi di segnalazione e gestione degli incidenti. In questo contesto i Garanti sottolineano la necessità di integrare misure che tutelino la privacy fin dalla progettazione, con obblighi di privacy by design e valutazioni d’impatto più chiare.
Il ruolo di ENISA e la standardizzazione
Tra le richieste principali vi è il chiarimento del mandato di ENISA e la definizione delle sue competenze rispetto alle autorità nazionali. I Garanti suggeriscono che ENISA dovrebbe supportare la definizione degli standard tecnici ma evitare sovrapposizioni che possano comprimere i diritti individuali. Inoltre si raccomanda che la standardizzazione sia accompagnata da valutazioni sull’impatto per la protezione dei dati personali e da procedure trasparenti per l’adozione delle regole tecniche.
Wallet digitali e diritti degli utenti
La disciplina prevista per i wallet digitali solleva preoccupazioni specifiche: questi strumenti, se regolati in modo sbilanciato, possono determinare una forte esposizione dei dati personali e una dipendenza dai fornitori. I Garanti ricordano che per wallet digitali si intendono portafogli elettronici che possono contenere credenziali, identità digitali o strumenti di pagamento, e chiedono regole che garantiscano controlli minimi, trasparenza sui trattamenti e il diritto alla portabilità e alla revoca.
Riserve su ransomware e catena di approvvigionamento
Un altro capitolo rilevante del parere riguarda la gestione del ransomware e le misure per la sicurezza delle forniture tecnologiche. I Garanti suggeriscono che gli obblighi di notifica degli attacchi debbano essere calibrati per evitare sovra-carichi informativi e per preservare le indagini, oltre a prevedere modalità che proteggano i dati sensibili. Sulla catena di approvvigionamento si sollecita una maggiore attenzione agli obblighi dei fornitori e ai meccanismi di responsabilità per vulnerabilità introdotte da terze parti.
Implicazioni operative
Per contrastare il fenomeno del ransomware i Garanti propongono misure di prevenzione, scenari di risposta coordinata e strumenti per la condivisione sicura delle informazioni, ma chiedono anche garanzie sul trattamento dei dati personali nelle attività di threat intelligence. Per la catena di approvvigionamento si raccomanda l’introduzione di criteri di due diligence e standard minimi di sicurezza per i fornitori, accompagnati da un quadro di responsabilità proporzionato alle dimensioni e al ruolo delle parti coinvolte.
Impatto sulle imprese e prossimi passi
Le aziende dovranno aggiornare processi e contratti, eseguire valutazioni d’impatto sulla protezione dei dati (Data Protection Impact Assessment o DPIA) laddove richiesto, e rafforzare le pratiche di sicurezza della supply chain. Il parere congiunto dell’EDPB e dell’EDPS invita inoltre a un dialogo continuo tra autorità di protezione dei dati, istituzioni di cybersicurezza e mondo imprenditoriale per tradurre principi in regole operative chiare e coerenti.
Per le imprese il messaggio è duplice: riconoscere l’urgenza di adeguarsi agli standard europei e contestualmente promuovere che gli interventi legislativi rispettino i diritti fondamentali. Monitorare l’evoluzione delle proposte e coinvolgere consulenti specializzati sarà fondamentale per trasformare obblighi normativi in vantaggi competitivi e fiducia per gli utenti.