Gennaio 2026 è stato un mese cruciale per la cybersecurity europea, segnato da un importante pacchetto UE sulla cybersecurity (revisione del Cybersecurity Act, spesso indicata come Cybersecurity Act 2 nei commenti) e da modifiche mirate alla NIS2. Nel contempo, regolatori e autorità di vigilanza hanno continuato a rendere operativo DORA (già applicabile da gennaio 2025) attraverso aspettative di vigilanza concrete e linee guida su reporting e misurazione. Questo report evidenzia ciò che conta di più per le organizzazioni operanti in Italia e nell'UE: direzione regolatoria, semplificazione della compliance, controllo del rischio nella supply chain e priorità operative per team di sicurezza e governance.

1) Pacchetto UE cybersecurity (20 gennaio 2026): revisione Cybersecurity Act + modifiche mirate NIS2

Il 20 gennaio 2026 la Commissione Europea ha pubblicato un nuovo pacchetto cybersecurity articolato su due proposte legislative:

• Una proposta di revisione del Cybersecurity Act UE (il framework del 2019 alla base della certificazione cybersecurity a livello europeo).
• Una proposta di modifica della NIS2 tramite misure mirate di “semplificazione e allineamento”, con l'obiettivo di ridurre la complessità e migliorare la supervisione transfrontaliera.

Dal punto di vista della governance e della compliance, il pacchetto si propone di:

• Aumentare la chiarezza giuridica (in particolare per le entità transfrontaliere) e ridurre la frammentazione nell'enforcement.
• Utilizzare la certificazione in modo più efficace come strumento di compliance, alleggerendo l'onere per le organizzazioni soggette a molteplici obblighi cyber UE.
• Rafforzare la gestione del rischio nella supply chain e dei fornitori “ad alto rischio”, compresa la possibilità di ridurre il rischio nelle reti telecom in linea con l'approccio EU 5G security toolbox.

Riferimenti ufficiali:

• Commissione Europea – Proposta (modifiche mirate NIS2: semplificazione e allineamento)
• Consiglio dell'UE – Documentazione del pacchetto (ST 5627/26)
• ECSO – Dichiarazione sulla proposta di revisione del Cybersecurity Act
• HADEA – Progetti cybersecurity UE e riferimento al pacchetto di gennaio 2026

2) Cosa segnala la direzione di “semplificazione” NIS2 per i programmi 2026

La proposta di modifica NIS2 della Commissione inquadra esplicitamente il proprio intento come aumento della chiarezza giuridica, semplificazione della raccolta dati (inclusi i dati relativi al ransomware) e facilitazione della supervisione delle entità transfrontaliere, con un ruolo di coordinamento rafforzato per ENISA. In pratica, questo spinge le organizzazioni verso evidenze “audit-ready” riutilizzabili trasversalmente, anziché percorsi di compliance paralleli.

Implicazioni pratiche per le organizzazioni (Italia e UE):

• Governance transfrontaliera: assicurarsi di poter dimostrare chiaramente giurisdizione, mappatura delle autorità competenti e responsabilità per i controlli a livello di gruppo.
• Evidenze riutilizzabili: allineare i cataloghi di controllo (policy, log, artefatti di test) affinché le stesse evidenze supportino NIS2, regole settoriali e requisiti di procurement.
• Controlli sulla supply chain: rafforzare la governance dei fornitori/servizi ICT ed essere preparati a uno scrutinio più approfondito sull'esposizione ai fornitori “ad alto rischio”.

3) DORA nel 2026: la supervisione si approfondisce, metriche e maturità del reporting diventano differenzianti

Mentre DORA è diventato applicabile a gennaio 2025, gennaio 2026 è caratterizzato dal passaggio dai “progetti di readiness” alla maturità della supervisione: ci si aspetta che le entità finanziarie dimostrino processi operativi (non solo documentazione) per la gestione del rischio ICT, la gestione degli incidenti, i test di resilienza e la supervisione delle terze parti ICT.

Segnali chiave dalla supervisione e riferimenti:

• EIOPA – Panoramica DORA (ambito e aspettative)
• De Nederlandsche Bank – Pagina supervisione DORA (aggiornata 29 gen 2026)
• EBA/ESA Linee guida congiunte – Stima dei costi e delle perdite aggregate annuali da incidenti ICT rilevanti

Cosa significa per le organizzazioni finanziarie nel 2026:

• Economia degli incidenti (misurazione costi/perdite) entra nel dialogo di compliance, migliorando la qualità della stima d'impatto e la prontezza nel reporting.
• La supervisione delle terze parti deve essere dimostrabile: completezza dell'inventario, livelli di criticità, controlli contrattuali, monitoraggio e strategie di uscita devono essere testati regolarmente.
• I test di resilienza devono essere credibili e basati sul rischio (coprendo servizi critici, modelli di minaccia realistici e verifica delle remediation).

4) Priorità su minacce e vulnerabilità: il perimetro edge resta il campo di battaglia strategico

Gennaio 2026 conferma il trend degli ultimi anni: i sistemi edge (gateway VPN, accesso remoto, appliance di sicurezza) restano obiettivi ad alto valore perché si trovano al confine della fiducia e sono spesso esposti a internet. Gli alert di sfruttamento attivo su prodotti ampiamente diffusi continuano a generare cicli urgenti di patching e mitigazione.

Riferimento rappresentativo (alert di sfruttamento attivo):

• UK NCSC – Alert di sfruttamento attivo (vulnerabilità Ivanti)
• Ivanti – Aggiornamento di sicurezza e guida alla remediation

Azioni operative prioritarie:

• Inventario internet-facing: tracciare continuamente i servizi esposti (VPN, portali, DNS, gestione remota), incluso lo shadow IT.
• Patching basato sul rischio: accelerare la remediation per le vulnerabilità con segnali di sfruttamento; validare i controlli compensativi dove il patching è vincolato.
• Verifica post-patch: confermare l'efficacia della mitigazione e condurre hunting su indicatori di compromissione intorno ai sistemi edge.

5) Segnale settoriale: la sanità resta un punto di pressione primario per il ransomware

Le community di intelligence sharing focalizzate sulla sanità continuano a evidenziare ransomware, esposizione nella supply chain e tecniche basate sull'AI come principali driver di rischio. Sebbene il modello di minaccia di ogni organizzazione sia diverso, l'esperienza del settore sanitario resta un proxy efficace per scenari di disruption ad alto impatto, utile per la pianificazione della resilienza e della gestione delle crisi nei servizi critici.

• Health-ISAC – Annual Threat Report (Settore Sanitario) 2026

6) Indicazioni di governance per gennaio 2026: cosa board e dirigenti dovrebbero richiedere

Gennaio 2026 rafforza un messaggio semplice: l'UE sta convergendo verso un modello di cybersecurity in cui la compliance è operativa e il rischio nella supply chain è trattato come una vulnerabilità strategica, non come un'appendice. Per board e dirigenti senior, il focus dovrebbe essere sui pochi “punti di prova” che regolatori e realtà degli incidenti metteranno alla prova:

• Evidenza di resilienza operativa: incident response testata, obiettivi di recovery e esercitazioni credibili.
• Controllo su fornitori e cloud: governance delle terze parti dimostrabile, incluse strategie di uscita e monitoraggio.
• Riduzione dell'esposizione: miglioramenti misurabili nella gestione della superficie d'attacco internet-facing e nella velocità di patching edge.
• Metriche che contano: MTTD/MTTR, time-to-patch per vulnerabilità sfruttate e maturità nella stima costi/perdite da incidenti (DORA).

Fonti selezionate (esterne)

• Commissione Europea – Proposta modifiche mirate NIS2 (20 gen 2026)
• Consiglio dell'UE – Documentazione pacchetto cybersecurity (gennaio 2026)
• ECSO – Dichiarazione sulla proposta di revisione del Cybersecurity Act
• HADEA – Riferimento al pacchetto cybersecurity UE di gennaio 2026
• EIOPA – Panoramica DORA
• DNB – Pagina supervisione DORA (aggiornata 29 gen 2026)
• EBA/ESA – Linee guida su costi e perdite aggregate da incidenti ICT rilevanti
• UK NCSC – Alert di sfruttamento attivo (Ivanti)
• Ivanti – Aggiornamento di sicurezza
• Health-ISAC – Annual Threat Report (Settore Sanitario) 2026