Cybersicurezza europea: cosa cambia con il nuovo Regolamento sulla ciberresilienza e l'abrogazione del Regolamento (UE) 2022/30

N. 0 29/06/2026 Approfondimenti Pubblicato il 29/06/2026 15:24
Condividi questo articolo
Cybersicurezza europea: cosa cambia con il nuovo Regolamento sulla ciberresilienza e l'abrogazione del Regolamento (UE) 2022/30

La sicurezza informatica è ormai un tema centrale per cittadini, imprese e pubbliche amministrazioni. Smartphone, router Wi-Fi, telecamere di sorveglianza, dispositivi per la domotica e molti altri prodotti connessi a Internet fanno ormai parte della vita quotidiana, ma rappresentano anche possibili punti di accesso per gli attacchi informatici.

Con la pubblicazione nella Gazzetta Ufficiale dell'Unione Europea, la Commissione europea ha deciso di abrogare il Regolamento delegato (UE) 2022/30, trasferendo la disciplina della sicurezza informatica dei dispositivi digitali all'interno del nuovo Regolamento (UE) 2024/2847, conosciuto come Regolamento sulla ciberresilienza (Cyber Resilience Act).

L'obiettivo è semplice: creare un sistema unico di regole valido in tutta l'Unione Europea, evitando sovrapposizioni normative e rendendo più chiari gli obblighi per produttori, importatori e distributori.

Perché viene abrogato il Regolamento (UE) 2022/30?

Quando fu approvato il Regolamento delegato (UE) 2022/30, l'Unione Europea voleva rafforzare la sicurezza di alcune categorie di apparecchiature radio connesse a Internet.

Il regolamento introduceva requisiti destinati a proteggere:

  • le reti di comunicazione;
  • i dati personali degli utenti;
  • la privacy;
  • la prevenzione delle frodi informatiche.

Nel frattempo, però, l'Unione Europea ha adottato una normativa molto più ampia: il Regolamento sulla ciberresilienza, che disciplina in maniera uniforme tutti i prodotti dotati di componenti digitali.

Per evitare che uno stesso dispositivo fosse soggetto contemporaneamente a due discipline differenti, la Commissione ha deciso di eliminare il vecchio regolamento e far confluire gli obblighi nel nuovo quadro normativo europeo.

Che cos'è il Regolamento sulla ciberresilienza?

Il Regolamento sulla ciberresilienza è una normativa europea che stabilisce requisiti comuni di sicurezza informatica per tutti i prodotti con elementi digitali immessi sul mercato dell'Unione.

In pratica, ogni produttore dovrà progettare dispositivi e software seguendo criteri di sicurezza fin dalla fase di sviluppo.

Tra gli obiettivi principali figurano:

  • ridurre le vulnerabilità informatiche;
  • migliorare la protezione dei dati personali;
  • garantire aggiornamenti di sicurezza durante il ciclo di vita del prodotto;
  • aumentare la fiducia dei consumatori nei prodotti digitali.

In questo modo, tutti gli Stati membri applicheranno le stesse regole, evitando differenze nazionali che potrebbero creare incertezze per le imprese e difficoltà per i consumatori.

Cosa cambia per le aziende?

Le principali novità riguardano chi produce, importa o distribuisce dispositivi digitali.

Le imprese dovranno dimostrare che i propri prodotti rispettano requisiti di sicurezza comuni prima dell'immissione sul mercato europeo.

Questo significa una maggiore attenzione a:

  • progettazione sicura dei dispositivi;
  • gestione delle vulnerabilità;
  • aggiornamenti software;
  • protezione dei dati degli utenti;
  • documentazione tecnica.

Per molte aziende il cambiamento rappresenta anche una semplificazione, perché sarà possibile fare riferimento a un unico regolamento europeo invece di applicare norme parzialmente sovrapposte.

Cosa cambia per i cittadini?

Per i consumatori le novità saranno meno visibili, ma molto importanti.

L'obiettivo è acquistare dispositivi più sicuri già al momento della vendita.

Questo significa, ad esempio, avere maggiori garanzie che:

  • un router domestico riceva aggiornamenti di sicurezza;
  • una videocamera Wi-Fi protegga meglio i dati personali;
  • un dispositivo smart non presenti vulnerabilità facilmente sfruttabili dagli hacker;
  • i prodotti digitali rispettino standard comuni in tutta Europa.

Naturalmente nessuna norma può eliminare completamente il rischio di attacchi informatici, ma l'intenzione dell'Unione Europea è ridurre le vulnerabilità già nella fase di progettazione dei prodotti.

Quando entreranno in vigore le nuove regole?

Il regolamento pubblicato nella Gazzetta stabilisce che il Regolamento delegato (UE) 2022/30 sarà abrogato a decorrere dall'11 dicembre 2027, in coincidenza con la piena applicazione del nuovo Regolamento sulla ciberresilienza.

Fino a quella data continueranno ad applicarsi le disposizioni transitorie necessarie per garantire i controlli sui prodotti già immessi sul mercato.

Perché questa decisione è importante?

La sicurezza informatica è diventata una componente essenziale del mercato unico europeo.

Un dispositivo vulnerabile venduto in uno Stato membro può essere utilizzato anche negli altri Paesi dell'Unione. Per questo motivo è fondamentale che le regole siano uniformi.

La scelta della Commissione europea punta quindi a:

  • ridurre la frammentazione normativa;
  • semplificare gli adempimenti per le imprese;
  • aumentare la protezione dei consumatori;
  • rafforzare la resilienza digitale dell'intero mercato europeo.

Si tratta di un ulteriore passo nella strategia europea per affrontare le crescenti minacce informatiche e promuovere un ecosistema digitale più sicuro.

Glossario

Regolamento europeo
È un atto normativo dell'Unione Europea direttamente applicabile in tutti gli Stati membri, senza bisogno di una legge nazionale di recepimento.

Regolamento delegato
È un atto adottato dalla Commissione europea per integrare o modificare alcuni elementi non essenziali di una normativa approvata dal Parlamento europeo e dal Consiglio.

Ciberresilienza (Cyber Resilience)
È la capacità di un prodotto digitale di resistere agli attacchi informatici, proteggere i dati e continuare a funzionare anche in presenza di minacce informatiche.

FAQ – Domande frequenti

Il nuovo regolamento riguarda solo i produttori di software?

No. Si applica a una vasta gamma di prodotti con componenti digitali, compresi molti dispositivi hardware connessi a Internet.

Il Regolamento (UE) 2022/30 viene cancellato immediatamente?

No. L'abrogazione decorrerà dall'11 dicembre 2027, quando il nuovo quadro normativo sarà pienamente applicabile.

I cittadini dovranno fare qualcosa?

No. Gli obblighi ricadono principalmente sui produttori, sugli importatori e sui distributori dei prodotti digitali.

Perché l'Unione Europea ha deciso di unificare le regole?

Per evitare duplicazioni normative e garantire un livello uniforme di sicurezza informatica in tutto il mercato europeo.

Questa normativa renderà i dispositivi completamente sicuri?

Nessuna legge può eliminare tutti i rischi informatici, ma l'obiettivo è ridurre le vulnerabilità e imporre standard di sicurezza più elevati fin dalla progettazione dei prodotti.

Paragone semplice per capire la norma

Immaginiamo che ogni costruttore di automobili utilizzi regole diverse per installare gli airbag. Alcune auto avrebbero sistemi molto sicuri, altre meno. L'Unione Europea decide quindi di introdurre un unico standard valido per tutti i costruttori.

Lo stesso principio viene applicato ai prodotti digitali: invece di avere norme diverse per alcune categorie di dispositivi, il nuovo Regolamento sulla ciberresilienza stabilisce un insieme comune di requisiti di sicurezza per tutti i prodotti con elementi digitali destinati al mercato europeo.

Incorpora questo articolo

Copia e incolla questo codice HTML nel tuo sito web:

Anteprima:

Nota: Il widget è completamente responsive e si adatta automaticamente alla larghezza del contenitore.