La disciplina della cybersicurezza sta assumendo un ruolo sempre più incisivo nell ordinamento economico, perché non riguarda più soltanto la protezione tecnica dei sistemi, ma incide sulle condizioni di accesso al mercato, sull organizzazione interna degli operatori e sulla ripartizione delle responsabilità lungo l intera filiera digitale.
In questa prospettiva si colloca la L. 17 marzo 2026, n. 36, pubblicata in Gazzetta Ufficiale, con la quale il legislatore conferisce al Governo una serie di deleghe per recepire direttive europee e adeguare l ordinamento interno agli atti dell Unione. Il provvedimento si inserisce in una più ampia strategia di armonizzazione, destinata a incidere in modo diretto sulla governance della sicurezza informatica.
La struttura della delega europea e la sua funzione sistemica
La legge non si limita a predisporre un adeguamento formale al diritto europeo. Essa interviene, piuttosto, come leva di riordino complessivo, orientando il sistema verso un modello più coordinato e più esigente sul piano della prevenzione, del controllo e della risposta agli eventi di sicurezza.
Le direttrici principali lungo le quali si sviluppa il nuovo assetto sono tre: resilienza dei prodotti digitali, certificazione dei servizi di sicurezza e cooperazione nella gestione degli incidenti. Si tratta di ambiti diversi, ma profondamente connessi, che delineano una nuova architettura regolatoria fondata sull integrazione tra regole tecniche, verifiche istituzionali e presidi organizzativi.
Ne deriva un rafforzamento dei poteri pubblici di vigilanza e coordinamento, accompagnato da un progressivo ampliamento degli obblighi gravanti sugli operatori. Il centro di gravità della disciplina si sposta così dalla sola protezione del dato o del sistema alla capacità complessiva di garantire continuità, affidabilità e reazione tempestiva agli incidenti.
Regolamento (UE) 2024/2847 e sicurezza dei prodotti digitali
Il Regolamento (UE) 2024/2847, noto come Cyber Resilience Act, rappresenta uno degli snodi più rilevanti del nuovo quadro europeo. La sua portata è significativa perché qualifica la sicurezza informatica come requisito essenziale del prodotto digitale, incidendo quindi non solo sul piano tecnico, ma anche sulla liceità della sua immissione e permanenza sul mercato.
L impostazione del regolamento è chiara: gli obblighi di sicurezza devono accompagnare il prodotto lungo l intero ciclo di vita, dalla progettazione alla distribuzione, fino alla gestione delle vulnerabilità e degli aggiornamenti. Il modello è fortemente orientato alla prevenzione, ma include anche presìdi di reazione e di correzione, con coinvolgimento di tutti gli operatori della filiera.
L applicazione è graduale e alcune disposizioni sono già previste in anticipo rispetto all entrata a pieno regime del sistema. Questo impone alle imprese un adeguamento non solo tecnologico, ma anche organizzativo, con la necessità di ripensare processi, controlli interni e rapporti contrattuali.
Il coordinamento con la disciplina nazionale
La L. 17 marzo 2026, n. 36 mira a raccordare il nuovo impianto europeo con la normativa interna già vigente, evitando duplicazioni e sovrapposizioni. Il punto delicato sarà la concreta armonizzazione tra le fonti, soprattutto nelle materie in cui la sicurezza del prodotto digitale incontra i profili di vigilanza amministrativa e di responsabilità degli operatori.
In tale contesto, un ruolo centrale è affidato all Agenzia per la Cybersicurezza Nazionale, chiamata a svolgere funzioni di controllo e supervisione. La definizione del rapporto tra poteri dell Agenzia, obblighi degli operatori e apparato sanzionatorio rappresenterà uno degli snodi più sensibili della fase attuativa.
Regolamento (UE) 2019/881 e ampliamento della certificazione europea
Un secondo asse della riforma riguarda il sistema della certificazione, disciplinato dal Regolamento (UE) 2019/881, noto come Cybersecurity Act. Il nuovo intervento europeo ne amplia l ambito applicativo, estendendo la certificazione anche ai servizi di sicurezza gestiti. Si tratta di un passaggio di rilievo, perché la valutazione della sicurezza non concerne più soltanto il bene o la tecnologia, ma anche l attività professionale che presidia il rischio digitale.
La delega conferita al Governo è volta a rendere coerente l ordinamento interno con tale evoluzione, assicurando un coordinamento tra il sistema di certificazione, le regole nazionali e le funzioni delle autorità competenti. L ampliamento ai servizi di sicurezza comporta infatti una ridefinizione delle procedure di accreditamento, delle modalità di vigilanza e dei criteri di riconoscimento degli standard professionali.
Rientrano in questo perimetro attività quali la gestione degli incidenti, le verifiche tecniche e la consulenza specialistica, tutte ormai considerate componenti essenziali della protezione cyber. La certificazione assume così una funzione duplice: da un lato garantisce livelli uniformi di affidabilità, dall altro seleziona gli operatori ammessi a operare in un mercato sempre più esigente.
Impatto sugli operatori e sul mercato
Il rafforzamento della certificazione può incidere in modo significativo sulla struttura competitiva del settore. La previsione di standard più elevati, infatti, favorisce la qualificazione del mercato, ma può determinare criticità per gli operatori di minori dimensioni, chiamati a sostenere costi di adeguamento non trascurabili. Non si tratta di un effetto marginale, ma di un elemento destinato a influire sulla stessa accessibilità dell offerta di servizi di sicurezza.
Regolamento (UE) 2025/38 e cooperazione europea nella crisi informatica
La terza direttrice della riforma concerne il Regolamento (UE) 2025/38, o Cyber Solidarity Act, cui la legge di delegazione europea demanda il necessario adeguamento dell ordinamento interno. L obiettivo è superare una logica meramente nazionale nella gestione degli incidenti, per approdare a un modello europeo di solidarietà e cooperazione operativa.
Il regolamento introduce strumenti condivisi per la prevenzione e la risposta alle crisi, tra cui sistemi di allerta, meccanismi di emergenza e servizi di supporto in caso di incidente. La finalità è rafforzare la capacità di reazione del sistema europeo nel suo complesso, valorizzando la collaborazione tra Stati membri e strutture specializzate.
La delega contenuta nella L. 17 marzo 2026, n. 36 consente di integrare tali strumenti nel contesto nazionale, anche mediante la creazione di strutture dedicate e il coordinamento con la normativa esistente. Il dato più rilevante è il riconoscimento della dimensione sistemica del rischio informatico, che non può essere affrontato in modo isolato, ma richiede risposte coordinate e tempestive.
Assetto normativo e nuove responsabilità organizzative
Il quadro che emerge dai riferimenti normativi L. 17 marzo 2026, n. 36, Regolamento (UE) 2024/2847, Regolamento (UE) 2019/881, Regolamento (UE) 2025/37, Regolamento (UE) 2025/38 mostra una convergenza sempre più stretta tra sicurezza tecnica, controllo istituzionale e capacità di risposta agli incidenti. La cybersicurezza diventa così un fattore strutturale della regolazione economica e amministrativa.
Per gli operatori, ciò significa dover ripensare gli assetti interni in funzione di requisiti più rigorosi, sia sul piano della prevenzione sia su quello della gestione delle crisi. Non basta una conformità solo apparente: occorre una struttura organizzativa idonea a dimostrare, in concreto, la capacità di presidiare i rischi digitali.
Il punto decisivo, nella fase applicativa, non sarà tanto il recepimento delle singole disposizioni, quanto la qualità del coordinamento tra competenze, autorità e procedure. In questo equilibrio si giocherà l efficacia del nuovo sistema, soprattutto per effetto del ruolo crescente dell Agenzia per la Cybersicurezza Nazionale.
La disciplina della cybersicurezza entra così in una fase di consolidamento avanzato, nella quale il dato tecnico, il presidio normativo e la vigilanza pubblica si intrecciano in modo sempre più stretto, fino a rendere la sicurezza digitale un presupposto ordinario della stessa attività economica.