La legge di delegazione europea 2025 prevede l’adeguamento della disciplina nazionale ai regolamenti europei in tema di cybersicurezza
La Legge 17 marzo 2026, n. 36 (“Legge di delegazione europea 2025”) conferisce al Governo il compito di adeguare l’ordinamento italiano a diversi atti UE, con forte impatto sul settore della cybersicurezza (cfr. artt. 15-17).
Tra questi spicca il Regolamento UE 2024/2847 (Cyber Resilience Act), in relazione al quale il Governo dovrà adottare decreti legislativi di adeguamento entro sei mesi dall’entrata in vigore della legge (ossia, a partire dal 9 aprile 2026). Il regolamento stabilisce requisiti di sicurezza per prodotti digitali lungo tutto il ciclo di vita, nonché obblighi per fabbricanti, importatori e distributori degli stessi. Sebbene già in vigore, sarà pienamente applicabile dal dicembre 2027, con alcune disposizioni anticipate già al 2026 (in tema di obblighi di notifica degli incidenti e degli organismi di valutazione di conformità).
La legge prevede il coordinamento del CRA con normative nazionali ed europee come il Perimetro di Sicurezza Nazionale Cibernetica e la Direttiva NIS 2 (di cui si è trattato negli ultimi Aggiornamenti VMA). Centrale è il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN), designata come autorità di notifica e vigilanza, oltre alla prevista introduzione di un sistema sanzionatorio efficace e coordinato con quelli esistenti previsti dal PSNC e dalla NIS2.
Ulteriore delega riguarda l’adeguamento al Regolamento (UE) 2025/37 sui servizi di sicurezza gestiti, che estende il sistema europeo di certificazione anche a servizi come gestione degli incidenti, audit e consulenza. Ciò incide su norme nazionali esistenti (quale il D.Lgs. n. 123/2022 di adeguamento dell’ordinamento interno al Cybersecurity Act) e rafforza le competenze dell’ACN in materia di certificazione.
È inoltre prevista l’attuazione del Regolamento UE 2025/38 (Cyber Solidarity Act), volto a migliorare la capacità europea di prevenzione e risposta agli attacchi informatici. Introduce strumenti come un sistema di allerta europeo, un meccanismo di emergenza, una riserva UE di servizi di sicurezza, nonché procedure di revisione degli incidenti.
Nel complesso, la legge rappresenta un passo verso una disciplina unitaria della cybersicurezza, integrando sicurezza dei prodotti, certificazione, vigilanza e risposta agli incidenti. Il vero nodo sarà costruire un sistema coerente di competenze e poteri tra le autorità, con un ruolo sempre più centrale dell’ACN.