Glossario · Quadro UE sulla cibersicurezza EU Cybersecurity Act (EU Cybersecurity Act (Regolamento UE 2019/881))
Il regolamento UE del 2019 che istituisce il quadro fondamentale per la certificazione di cibersicurezza dell'UE — all'interno del quale vengono adottati EUCC (prodotti), EUCS (servizi cloud) e altri schemi di certificazione settoriali. Ha inoltre trasformato ENISA in agenzia UE permanente per la cibersicurezza. È il livello costituzionale alla base dell'intera architettura di certificazione di cibersicurezza dell'UE.
## Cos'è davvero l'EU Cybersecurity Act
L'EU Cybersecurity Act (Regolamento UE 2019/881, spesso abbreviato CSA) è il regolamento UE fondamentale che istituisce il quadro per la certificazione di cibersicurezza dell'UE per prodotti, servizi e processi ICT. Adottato nel 2019 e in vigore da giugno 2019, fa due cose essenziali:
1. **Istituisce il quadro UE di certificazione di cibersicurezza**: l'autorità giuridica in base alla quale vengono adottati specifici schemi di certificazione ([EUCC](/it/glossary/eucc/) per i prodotti, [EUCS](/it/glossary/eucs/) per i servizi cloud, altri in arrivo) tramite regolamento di esecuzione.
2. **Istituisce in modo permanente ENISA** come agenzia UE per la cibersicurezza: passando da mandati a tempo limitato a uno status istituzionale UE permanente con responsabilità ampliate, inclusa la gestione del quadro di certificazione.
Senza l'EU Cybersecurity Act, nessuno dei lavori EUCC, EUCS o di altri schemi settoriali di certificazione di cibersicurezza UE avrebbe base giuridica. È il livello costituzionale dell'intera architettura.
## Cosa istituisce il Cybersecurity Act
Il regolamento crea il quadro operativo su tre pilastri.
### Pilastro 1: quadro UE di certificazione di cibersicurezza
Il CSA definisce:
- **Schemi di certificazione**: programmi di certificazione specifici adottati tramite Regolamenti di esecuzione della Commissione nell'ambito del quadro CSA
- **Livelli di garanzia**: di base, sostanziale, elevato (con quello elevato che richiede supervisione dell'NCA)
- **Organismi di valutazione della conformità (CAB)**: laboratori accreditati che svolgono le valutazioni
- **Autorità nazionali di certificazione della cibersicurezza (NCCA)**: autorità degli Stati membri che supervisionano la certificazione
- **Gruppo europeo per la certificazione della cibersicurezza (ECCG)**: organo di coordinamento delle autorità degli Stati membri
- **Riconoscimento reciproco**: validità a livello UE delle certificazioni emesse nell'ambito di schemi basati sul CSA
### Pilastro 2: mandato ampliato di ENISA
Prima del CSA, ENISA operava con mandati a tempo limitato. Il CSA ha reso permanente il ruolo di ENISA e ne ha ampliato le responsabilità:
- **Coordinamento operativo**: ruolo centrale nell'attuazione della politica UE di cibersicurezza
- **Sviluppo degli schemi di certificazione**: preparazione di schemi candidati di certificazione per l'adozione da parte della Commissione
- **Capacity building**: supporto allo sviluppo delle capacità di cibersicurezza degli Stati membri
- **Gestione delle crisi cibernetiche**: coordinamento della risposta a livello UE a incidenti su larga scala
- **Standard e politiche**: coinvolgimento diretto nella definizione delle politiche UE di cibersicurezza
- **Sensibilizzazione**: attività educative e di divulgazione a livello UE
### Pilastro 3: processo di adozione delle certificazioni di cibersicurezza
Il CSA istituisce un processo strutturato per l'adozione di nuovi schemi di certificazione:
1. **Richiesta della Commissione**: la Commissione chiede a ENISA di preparare uno schema candidato
2. **Preparazione ENISA**: consultazione multi-stakeholder, sviluppo dello schema (tipicamente 18-36 mesi)
3. **Adozione della Commissione**: la Commissione adotta tramite Regolamento di esecuzione
4. **Attuazione da parte degli Stati membri**: le NCCA rendono operativo lo schema a livello nazionale
5. **Evoluzione continua**: revisioni e aggiornamenti periodici
Questo processo è attualmente operativo per EUCC (adottato nel 2024), EUCS (in corso, contestato) e schemi emergenti per 5G, IA e altri ambiti tecnologici.
## Schemi adottati nell'ambito dell'EU Cybersecurity Act
Nel 2026, i seguenti schemi si trovano in varie fasi nell'ambito del quadro CSA:
| Schema | Oggetto | Stato |
|--------|---------|--------|
| **EUCC** | Prodotti ICT (basato su Common Criteria) | Adottato a febbraio 2024 |
| **EUCS** | Servizi cloud | In corso, politicamente contestato |
| **Certificazione UE per la cibersicurezza 5G** | Reti e componenti 5G | Fase di preparazione |
| **Certificazione UE per la cibersicurezza dell'IA** | Sistemi di IA | In discussione |
| **Certificazione UE per l'IoT** | Prodotti IoT | Fase di preparazione |
Ogni schema viene adottato tramite Regolamento di esecuzione della Commissione nell'ambito del quadro CSA. Il CSA in sé non specifica il contenuto degli schemi: specifica il quadro in cui gli schemi operano.
## Perché il Cybersecurity Act è importante
### 1. Livello costituzionale per la certificazione UE di cibersicurezza
Senza il CSA, la certificazione UE di cibersicurezza non esisterebbe a livello UE oppure opererebbe senza un quadro coerente. Il CSA fornisce la struttura costituzionale che rende EUCC ed EUCS giuridicamente possibili.
### 2. Permanenza istituzionale di ENISA
L'innalzamento di ENISA da agenzia a tempo limitato ad agenzia permanente per opera del CSA è materialmente significativo. ENISA può ora effettuare investimenti strategici di lungo termine, assumere personale specializzato permanente e operare alla pari delle agenzie UE consolidate.
### 3. Meccanismo di riconoscimento reciproco
Le disposizioni di riconoscimento reciproco del CSA fanno sì che una certificazione emessa nell'ambito di uno schema basato sul CSA in uno Stato membro abbia automatica validità giuridica in tutta l'UE. Questo è operativamente significativo: prima del CSA, gli schemi di certificazione nazionali non si traducevano automaticamente.
### 4. Architettura di coordinamento
L'ECCG crea un meccanismo di coordinamento per le autorità di certificazione di cibersicurezza degli Stati membri. È l'equivalente del Comitato europeo per la protezione dei dati per la certificazione di cibersicurezza, e opera in modo simile.
### 5. Fondamento di sovranità
Il CSA abilita implicitamente le dimensioni di sovranità della certificazione UE di cibersicurezza, inclusi i contestati criteri di sovranità EUCS. Senza il quadro CSA, questi dibattiti non sarebbero a livello UE.
## Come il Cybersecurity Act influisce sul procurement tecnologico
### Per i fornitori tecnologici europei
Le certificazioni basate sul CSA (EUCC, eventuale EUCS, schemi settoriali) forniscono segnali credibili nel procurement. Ottenere la certificazione apre opportunità di procurement nel settore pubblico e nei settori regolamentati a cui i fornitori non certificati non possono accedere.
### Per gli acquirenti del settore pubblico europeo
Le certificazioni basate sul CSA sono sempre più obbligatorie o preferite per il procurement sensibile. Diversi Stati membri hanno integrato specifici schemi CSA nei quadri di procurement.
### Per i fornitori con sede USA
I fornitori statunitensi possono perseguire la certificazione basata sul CSA ma affrontano sfide specifiche:
- **EUCC** è tecnicamente raggiungibile (nessun requisito di sovranità per i fornitori)
- **EUCS High** può escludere la partecipazione diretta dei fornitori USA per i requisiti di sovranità
- **Schemi settoriali** variano nel posizionamento di sovranità
Per i fornitori USA che cercano l'accesso ai mercati regolamentati dell'UE, la certificazione basata sul CSA è sempre più un prerequisito strategico.
### Per i team di procurement
Lo status di certificazione basata sul CSA è un criterio di procurement sempre più standard insieme a ISO 27001, SOC 2 e certificazioni per Paese. Il quadro CSA sta fornendo un linguaggio strutturato per il procurement europeo di cibersicurezza.
## Cybersecurity Act vs altri regolamenti UE sulla cibersicurezza
| Regolamento | Oggetto | Relazione |
|------------|---------|--------------|
| **EU Cybersecurity Act** | Quadro di certificazione + ENISA | Fondamentale |
| **NIS2** | Obblighi di cibersicurezza a livello di entità | Costruisce sulla capacità del CSA |
| **Cyber Resilience Act** | Requisiti di cibersicurezza a livello di prodotto | Fa riferimento alle certificazioni CSA |
| **Cyber Solidarity Act** | Risposta UE collettiva alla cibersicurezza | Coordinato con ENISA (abilitata dal CSA) |
| **Direttiva CER** | Resilienza delle entità critiche (non cyber) | Quadro parallelo |
| **DORA** | Resilienza operativa dei servizi finanziari | Settoriale |
Il CSA è il livello fondamentale; gli altri costruiscono sopra o operano in parallelo.
## Cybersecurity Act 2.0 (in discussione nel 2026)
La Commissione europea ha iniziato a considerare un aggiornamento dell'EU Cybersecurity Act (informalmente CSA 2.0) per:
- **Snellire i processi di adozione delle certificazioni**
- **Ampliare ulteriormente il mandato di ENISA** alla luce dell'esperienza operativa
- **Affrontare esigenze emergenti di certificazione** (IA, post-quantum, scala IoT)
- **Rafforzare i meccanismi di riconoscimento reciproco**
- **Allineare con l'esperienza di attuazione di NIS2**
Il CSA 2.0 è in fase di prima discussione nel 2026; è improbabile che il processo legislativo si concluda prima del 2027-2028.
## Implicazioni pratiche
- **Per i fornitori tecnologici europei**: le certificazioni basate sul CSA sono sempre più rilevanti per il procurement; monitorate la disponibilità degli schemi per la vostra categoria di prodotto
- **Per il procurement del settore pubblico**: le certificazioni nel quadro CSA forniscono criteri di valutazione strutturati
- **Per i fornitori USA che servono i mercati UE**: la certificazione basata sul CSA è sempre più prerequisito per il procurement nei settori regolamentati e nel pubblico
- **Per i team di policy e compliance**: comprendere il CSA come livello costituzionale sotto gli schemi settoriali
- **Per il coinvolgimento con ENISA**: il CSA conferisce a ENISA un'autorità istituzionale che rende materialmente significativo il suo lavoro politico
L'EU Cybersecurity Act è il singolo regolamento più rilevante nell'architettura UE di certificazione della cibersicurezza. Le sue disposizioni specifiche contano meno del quadro che istituisce, nel quale l'ecosistema operativo di certificazione della cibersicurezza (EUCC, EUCS, schemi settoriali) effettivamente opera.
Ti è stato utile?
Grazie per il tuo feedback!