Con la proposta COM(2026) 13, presentata il 20 gennaio 2026, la Commissione europea avvia una revisione mirata della Direttiva NIS2 che segna un passaggio di maturità dell’intero impianto normativo europeo sulla cyber security.

Non si tratta di un cambio di rotta, né di un allentamento degli obblighi, ma di una ricalibrazione strategica finalizzata a rendere la compliance più sostenibile, coerente e realmente efficace nel tempo.

La proposta si inserisce nel più ampio pacchetto di revisione del Cybersecurity Act (il cosiddetto Cybersecurity Act 2) e nasce da una constatazione chiara: la crescita del perimetro normativo europeo ha prodotto valore in termini di resilienza, ma anche complessità applicative, sovrapposizioni e costi amministrativi che rischiano di sottrarre risorse alla sicurezza operativa.

Semplificazione della NIS2: dal “più regole” al “migliori regole”

Il documento esplicativo è molto esplicito: la NIS2 ha rafforzato la postura cyber dell’Unione, ma la sua implementazione ha evidenziato criticità su quattro assi principali:

• definizione dello scope,
• proporzionalità degli obblighi,
• supervisione delle entità transfrontaliere,
• frammentazione degli adempimenti di reporting e controllo.

La risposta della Commissione non è un arretramento normativo, bensì un tentativo di ridurre l’attrito regolatorio e riallineare il framework ai bisogni reali di imprese e autorità, mantenendo inalterati i pilastri della direttiva: risk management, incident reporting, responsabilità del management e sicurezza della supply chain.

Chiarezza sul perimetro: meno ambiguità, più certezza giuridica

Uno dei contributi più concreti della proposta riguarda la revisione degli Allegati I e II della NIS2, che definiscono i settori e i tipi di entità soggette alla direttiva.

Le modifiche non ampliano indiscriminatamente lo scope, ma lo raffinano.

Vengono introdotti criteri più precisi per alcuni settori critici, tra cui:

• produzione di energia elettrica, con esclusione degli operatori sotto la soglia di 1 MW;
• settore dell’idrogeno, ora esplicitamente allineato alla normativa energetica UE;
• sanità, con una delimitazione più netta dei provider effettivamente rilevanti;
• chimica, con un collegamento diretto agli obblighi REACH;
• infrastrutture di trasmissione dati sottomarine, riconosciute come asset critici a prescindere dal modello operativo.

L’effetto pratico è una riduzione dell’incertezza interpretativa, sia per le imprese sia per le autorità nazionali, con un perimetro più coerente con il rischio sistemico reale.

La categoria “small mid-cap”: proporzionalità come principio operativo

Il cuore politico della proposta è l’introduzione formale della categoria delle small mid-cap enterprises, già definita dalla Commissione nel 2025 ma ora integrata nel framework NIS2.

Queste entità, pur operando in settori critici, vengono inquadrate come important entities e non come essential, con un alleggerimento del regime di supervisione e degli oneri amministrativi. Il messaggio è chiaro: la sicurezza resta obbligatoria, ma la compliance deve essere commisurata alla capacità organizzativa e al rischio effettivo.

È un passaggio tutt’altro che simbolico, perché riconosce che l’eccesso di burocrazia può diventare un fattore di rischio, distogliendo risorse dalla sicurezza concreta.

Certificazione come strumento di compliance, non come adempimento aggiuntivo

L’allineamento con il Cybersecurity Act 2 introduce un cambio di paradigma rilevante: la certificazione europea di cyber security viene esplicitamente valorizzata come strumento per dimostrare la conformità agli obblighi NIS2.

Le entità che otterranno una certificazione di “cyber posture” nell’ambito dell’European Cybersecurity Certification Framework potranno evitare controlli duplicativi sulle aree già coperte dalla certificazione. Non viene meno la responsabilità finale dell’organizzazione, ma si supera l’idea di una compliance basata solo su audit ripetuti e documentazione ridondante.

È un passaggio chiave verso una compliance basata sull’evidenza tecnica, più vicina alla realtà operativa dei CISO.

Supply chain, ransomware e post-quantum: più sostanza, meno frizione

La proposta interviene anche su tre temi particolarmente sensibili:

Supply chain security

La Commissione riconosce che i questionari eterogenei imposti ai fornitori stanno generando un carico amministrativo sproporzionato.

Per questo annuncia linee guida europee per armonizzare richieste, formati e livelli di dettaglio, evitando il “trasferimento indiscriminato” degli obblighi NIS2 a soggetti fuori scope.

Ransomware

Viene introdotta una raccolta armonizzata di dati sugli attacchi ransomware, inclusi vettori di attacco e misure di mitigazione, con un principio importante: la notifica non deve generare responsabilità aggiuntive per l’ente che collabora.

Un segnale chiaro per favorire trasparenza e intelligence condivisa.

Post-quantum cryptography

Per la prima volta, la migrazione verso algoritmi post-quantum entra formalmente nella strategia nazionale di cybersecurity degli Stati membri, con milestone chiare: 2030 per i casi critici, 2035 per quelli a rischio medio-basso.

Un tema che esce dall’ambito accademico e diventa pianificazione strategica.

ENISA come facilitatore della supervisione europea

La proposta rafforza in modo significativo il ruolo di ENISA, che non diventa un’autorità di enforcement, ma un abilitatore della cooperazione tra Stati membri.

ENISA gestirà un registro europeo delle entità NIS2, analizzerà i rischi cross-border e potrà supportare la creazione di team di supervisione congiunti per le entità più critiche. Un passaggio essenziale per evitare approcci divergenti su organizzazioni che operano su più mercati nazionali.

Una NIS2 più matura, non più debole

La revisione proposta non snatura la NIS2. Al contrario, la rende più applicabile, più sostenibile e più coerente con l’ecosistema normativo europeo che nel frattempo si è ampliato (CRA, DORA, Cyber Solidarity Act, Digital Omnibus).

Per le imprese, il messaggio è inequivocabile: la cyber security resta una responsabilità di governance. Ma l’Europa sembra finalmente aver compreso che una sicurezza efficace non nasce dalla moltiplicazione degli adempimenti, bensì dalla qualità delle misure e dalla capacità di applicarle nel tempo.

Ed è, probabilmente, il segnale più interessante che arriva da Bruxelles in questo avvio di 2026.