L’emergenza cybersecurity esplosa nel 2020, spinta dalla diffusione del remote working e dall’uso di dispositivi personali e reti domestiche, non si è mai davvero arrestata. Negli ultimi anni, il numero e la gravità degli attacchi informatici sono aumentati costantemente, colpendo tanto le infrastrutture critiche quanto le PMI. Secondo il Rapporto ENISA 2024, l’Europa ha registrato un +36% di attacchi ransomware rispetto al 2023, con danni economici stimati in oltre 20 miliardi di euro.
Questa escalation ha spinto l’Unione Europea ad aggiornare e rafforzare la propria strategia. Il Cybersecurity Act, varato nel 2019, rappresenta ancora oggi un pilastro fondamentale, ma nel frattempo l’UE ha introdotto nuovi strumenti per fronteggiare minacce sempre più sofisticate. Tra questi, la Legge sulla Resilienza Cibernetica (Cyber Resilience Act), approvata nel 2024, e la revisione della Direttiva NIS2, entrata pienamente in vigore nel 2023.
- Cos’è il Cybersecurity Act e cosa è cambiato
- Il passo in avanti: la Cyber Resilience Act (2024)
- Conseguenze e prospettive
Cos’è il Cybersecurity Act e cosa è cambiato
Il Cybersecurity Act ha gettato le basi di una strategia europea solida, definendo due obiettivi principali:
- Rafforzare l’ENISA, l’Agenzia dell’UE per la sicurezza informatica, ampliandone i poteri operativi e formativi;
- Istituire un quadro europeo di certificazione per la cybersecurity di prodotti e servizi digitali.
Dal 2019 ad oggi, ENISA è diventata un attore centrale nella gestione tecnica e nella risposta coordinata agli incidenti cibernetici. Ha inoltre ampliato le attività di formazione, supportando PMI, enti pubblici e infrastrutture critiche nel migliorare i propri standard di sicurezza.
Il sistema di certificazione, nel frattempo, si è evoluto. Nel 2023 sono stati introdotti i primi schemi obbligatori per dispositivi IoT e software industriali, rendendo la certificazione una condizione essenziale per l’accesso al mercato UE in determinati settori ad alto rischio.
Il passo in avanti: la Cyber Resilience Act (2024)
Nel 2024 è stata approvata la Cyber Resilience Act (CRA), un nuovo Regolamento che si affianca al Cybersecurity Act con l’obiettivo di:
- Immettere sul mercato europeo solo prodotti digitali sicuri by design;
- Introdurre obblighi di sicurezza per l’intero ciclo di vita dei dispositivi (compresi aggiornamenti e patch);
- Responsabilizzare i produttori sull’adozione di misure preventive contro le vulnerabilità note.
Per i produttori europei e internazionali, questo significa dover garantire un livello minimo di sicurezza informatica per ogni device connesso. In caso contrario, rischiano multe fino al 2,5% del fatturato globale annuo.
Conseguenze e prospettive
- Protezione avanzata di cittadini e aziende europee
Con l’applicazione congiunta del Cybersecurity Act e della Cyber Resilience Act, l’UE si posiziona oggi come una delle aree con il più alto livello normativo in materia di sicurezza informatica. I cittadini possono contare su prodotti certificati, mentre le imprese devono adeguarsi a standard sempre più stringenti. - Mercato digitale europeo più integrato e sicuro
La certificazione europea sta diventando una leva competitiva. I prodotti digitali conformi agli standard UE sono percepiti come più affidabili anche fuori dai confini europei, offrendo un vantaggio competitivo alle aziende europee. - Tutela e rilancio dell’industria tecnologica europea
I nuovi regolamenti stimolano la produzione di dispositivi più sicuri e incentivano gli investimenti in ricerca e sviluppo nel settore della cybersecurity. Il marchio di sicurezza UE si sta trasformando in un potente strumento di valorizzazione del made in Europe.
Nel 2025 la cybersecurity è diventata una priorità strategica a livello europeo. Il Cybersecurity Act è stato solo l’inizio di un percorso che ha visto un progressivo rafforzamento normativo con l’introduzione di strumenti come la NIS2 e la Cyber Resilience Act. Oggi, l’Europa punta su un ecosistema digitale sicuro, resiliente e competitivo, dove la fiducia dei consumatori e la sicurezza dei dati non sono più un’opzione, ma un requisito fondamentale.
