8 Luglio 2026 - Rischi informatici

Cybersicurezza, verso la certificazione europea anche dei servizi: nuove regole per operatori e fornitori

Lo schema di decreto legislativo approvato in via preliminare dal Consiglio dei ministri estende il sistema europeo di certificazione anche ai servizi di sicurezza informatica. Rafforzato il ruolo dell'Agenzia per la cybersicurezza nazionale e aggiornate le regole per firme elettroniche e sanzioni.

La cybersicurezza non passa più soltanto dall’affidabilità di software, dispositivi e infrastrutture. Sempre più spesso la protezione dei sistemi informatici dipende anche dalla qualità dei servizi offerti da aziende specializzate, chiamate a monitorare le reti, prevenire gli attacchi e intervenire quando si verifica un incidente. È proprio su questo fronte che interviene lo schema di decreto legislativo approvato in via preliminare dal Consiglio dei ministri il 2 luglio 2026, destinato ad adeguare l’ordinamento italiano al regolamento (UE) 2025/37.

L’obiettivo del provvedimento è ampliare il sistema europeo di certificazione della cybersicurezza, estendendolo anche ai cosiddetti servizi di sicurezza gestiti. Si tratta di un passaggio che riflette l’evoluzione del settore: oggi molte organizzazioni affidano a operatori esterni attività fondamentali come il monitoraggio delle minacce informatiche, la gestione degli incidenti, le verifiche di sicurezza, i penetration test e la consulenza specialistica. La qualità di questi servizi diventa quindi un elemento essenziale della resilienza digitale di imprese e pubbliche amministrazioni.

Per rendere omogeneo il mercato europeo, il decreto interviene sul decreto legislativo n. 123 del 2022, che aveva già recepito il quadro di certificazione previsto dal Cybersecurity Act. La novità consiste nell’inserire anche i fornitori di servizi nel sistema delle certificazioni europee, con l’obiettivo di offrire maggiori garanzie a chi acquista prestazioni in materia di sicurezza informatica e favorire standard comuni tra gli Stati membri.

Un ruolo centrale sarà affidato all’Agenzia per la cybersicurezza nazionale. L’ACN vedrà infatti rafforzate le proprie competenze sia come autorità nazionale di certificazione sia come organismo di vigilanza sul mercato. Tra i nuovi poteri rientra anche la possibilità di intervenire sui certificati rilasciati, disponendone la revoca quando vengano meno i requisiti previsti dalla normativa. Contestualmente saranno aggiornate le procedure che disciplinano l’accreditamento degli organismi incaricati delle verifiche di conformità, comprese le strutture specializzate del Ministero della Difesa e del Ministero dell’Interno.

Il provvedimento introduce inoltre un sistema di responsabilità più incisivo per gli operatori del settore. Chi metterà a disposizione servizi soggetti a certificazione senza la prescritta documentazione europea o senza il necessario certificato di cybersicurezza potrà essere destinatario di sanzioni amministrative comprese tra 30.000 e 150.000 euro. Oltre alla sanzione economica, nei casi più gravi potrà essere disposto il divieto di continuare a commercializzare o fornire il servizio fino al ripristino delle condizioni previste dalla legge.

Particolare attenzione viene dedicata anche alla gestione delle vulnerabilità. I fornitori saranno chiamati a segnalare tempestivamente alle autorità competenti eventuali criticità emerse durante l’erogazione dei servizi. L’omissione di tali comunicazioni entrerà a far parte delle violazioni sanzionabili, nella prospettiva di favorire una maggiore collaborazione tra operatori e istituzioni nella prevenzione delle minacce informatiche.

Le novità riguardano anche il settore delle firme elettroniche. Lo schema di decreto modifica infatti il Codice dell’amministrazione digitale stabilendo che i dispositivi sicuri per la firma qualificata dovranno essere dotati della certificazione di sicurezza prevista dal regolamento eIDAS. L’intervento punta a uniformare gli standard richiesti agli strumenti utilizzati per la sottoscrizione elettronica dei documenti, rafforzando il livello di fiducia nelle transazioni digitali.

Più che introdurre nuovi adempimenti, il provvedimento segna un’evoluzione dell’approccio europeo alla cybersicurezza. Se negli ultimi anni l’attenzione si era concentrata soprattutto sulla certificazione dei prodotti ICT, oggi il legislatore riconosce che la sicurezza dipende in misura crescente anche dalla qualità dei servizi che li accompagnano. Per le imprese del settore, ciò significa confrontarsi con requisiti più stringenti ma anche con un quadro di regole condivise che potrà favorire trasparenza, competitività e fiducia nel mercato europeo della cybersicurezza.


LEGGI ANCHE

riforma processo civile servicematica

Riforma del processo civile: il maxi emendamento

Il maxi emendamento della Min. della Giustizia Cartabia relativo alla riforma del processo civile, riprendere alcuni degli elementi già previsti dal disegno di legge “ex…

Viaggiare durante l’epoca del COVID potrebbe presto richiedere un nuovo documento: il passaporto sanitario.

Un passaporto sanitario per tornare a viaggiare

Viaggiare durante l’epoca del COVID potrebbe presto richiedere un nuovo documento: il passaporto sanitario. Sileri, viceministro della Salute, ha spiegato lo scenario durante un’intervista ad…

Tasse ambientali: le imprese pagano 21 miliardi l’anno

Tra qualche mese le imprese si troveranno a pagare due volte la protezione ambientale: una con le imposte allo Stato centrale e agli enti locali;…

TORNA ALLE NOTIZIE

Iso 27017
Iso 27018
Iso 9001
Iso 27001
Iso 27003
Acn
RDP DPO
CSA STAR Registry
PPPAS
Microsoft
Apple
vmvare
Linux
veeam
0
    Prodotti nel carrello
    Il tuo carrello è vuoto