La sicurezza e la resilienza delle infrastrutture critiche europee sono al centro di una profonda trasformazione normativa. Le direttive NIS2 e CER, insieme a regolamenti orizzontali quali AI Act, Data Act e alla recente proposta di revisione del Cybersecurity Act (spesso denominata Cybersecurity Act 2), stanno delineando un nuovo modello europeo fondato su continuità operativa, gestione del rischio e responsabilità condivisa lungo l’intera catena del valore.

In questo scenario in trasformazione, Axis Communications, azienda specializzata nella sorveglianza video di rete, analizza i punti chiave dell’evoluzione normativa, con particolare attenzione agli impatti concreti per aziende, fornitori tecnologici e operatori di servizi essenziali.

Un anno decisivo per la NIS2: gli sviluppi del 2026

A partire dal 1° gennaio 2026, per le organizzazioni soggette alla Direttiva NIS2 è entrato in vigore l’obbligo di notifica degli incidenti significativi nei tempi previsti dalla norma, con una pre-notifica entro 24 ore dall’identificazione dell’incidente e un report più dettagliato entro 72 ore alle autorità competenti.

Inoltre, fino al 28 febbraio 2026 è prevista la fase di registrazione/aggiornamento dati delle organizzazioni coinvolte sul portale dell’Agenzia per la Cybersicurezza Nazionale (ACN), a conferma del ruolo centrale dell’Italia nel processo di attuazione delle direttive europee.

Alcune novità arrivano invece dalla proposta di modifica presentata a fine gennaio dalla Commissione Europea: un aspetto centrale è la distinzione tra entità essenziali e entità importanti introdotta grazie alla nuova categoria “small mid-cap enterprises”.

L’obiettivo è di ridurre ambiguità interpretative e oneri applicativi, introducendo criteri più precisi per definire il campo di applicazione, migliorare la proporzionalità tra obblighi e rischio reale, e rafforzare strumenti di compliance tecnici come la certificazione.

Cybersecurity Act 2: certificazioni per la fiducia digitale e sicurezza dei prodotti

La proposta di revisione del Cybersecurity Act punta verso un quadro di certificazione della sicurezza dei prodotti e delle soluzioni ICT basato su standard europei armonizzati. Questo approccio non solo mira a garantire che i dispositivi siano sicuri by design e by default, ma anche che la certificazione diventi uno strumento concreto di compliance per le aziende soggette a NIS2 o ad altri obblighi regolamentari.

La proposta di revisione del Cybersecurity Act introduce un sistema di certificazione articolato su tre livelli di assurance – basic, substantial e high – proporzionati al rischio e alla criticità di prodotti, servizi e soluzioni ICT.

Il livello basic si basa principalmente sulla revisione della documentazione tecnica; il livello substantial prevede verifiche sull’assenza di vulnerabilità note e sull’effettiva implementazione dei controlli di sicurezza; il livello high richiede invece test avanzati di resistenza ad attacchi sofisticati.

Questo approccio consente alle aziende di dimostrare in modo più semplice e trasparente la conformità normativa, riducendo duplicazioni di audit e rafforzando la fiducia di clienti, partner e autorità lungo l’intera catena del valore.

Trasparenza e conformità

Axis rientra direttamente tra le entità soggette alla NIS2, sia come fornitore tecnologico sia come organizzazione regolamentata. Questo comporta un cambiamento culturale che supera i tradizionali silos tra sicurezza fisica e IT. A supporto di questo percorso, Axis investe in formazione e informazione sul mercato e ha recentemente introdotto anche il proprio Trust Center, uno spazio dedicato alla trasparenza su cybersicurezza, protezione dei dati, privacy e conformità normativa.

“In un contesto normativo in continua evoluzione, con la proposta del Cybersecurity Act 2 e i potenziamenti alla Direttiva NIS2 dell’UE, la cybersicurezza assume un ruolo ancor più strategico per tutte le aziende connesse digitalmente”, sottolinea Simone Biancardi, Key Account Manager end customer di Axis Communications (nella foto). “In Axis questo si traduce in un portafoglio di soluzioni basate su AXIS OS, il sistema operativo proprietario che è integrato in tutti i nostri dispositivi e ne garantisce sicurezza, aggiornabilità e gestione delle vulnerabilità lungo l’intero ciclo di vita. Infatti, anche i sistemi di videosorveglianza rientrano oggi tra le categorie tecnologiche per cui sono richiesti elementi essenziali di cybersicurezza, come previsto dal DPCM del 30 aprile 2025, e la sicurezza della supply chain è indicata dall’ACN come uno dei principali ambiti di applicazione delle misure di sicurezza. In questo scenario, integrare la sicurezza by design e by default non è solo una risposta alla compliance normativa, ma un fattore chiave per costruire fiducia digitale e resilienza operativa nel tempo”.