Per rafforzare in modo strutturale la resilienza cyber dell’Unione e la sua capacità di risposta alle minacce emergenti, la Commissione europea ha deciso di intervenire con un nuovo pacchetto normativo. Il fulcro dell’iniziativa è la proposta di revisione del Cybersecurity Act, un aggiornamento sostanziale rispetto al quadro introdotto nel 2019 che punta sia a mettere in sicurezza le catene di approvvigionamento ICT, sia a semplificare l’ecosistema normativo e operativo in cui imprese e pubbliche amministrazioni devono muoversi.

Uno dei punti più delicati riguarda la sicurezza delle supply chain ICT, sempre più esposte a rischi che vanno ben oltre le vulnerabilità tecniche dei singoli prodotti. Gli incidenti degli ultimi anni hanno mostrato come dipendenze tecnologiche critiche, fornitori extra-UE e interferenze geopolitiche possano trasformarsi rapidamente in fattori di instabilità sistemica. La nuova impostazione proposta dalla Commissione UE introduce un quadro armonizzato e basato sul rischio, pensato per consentire a Bruxelles e agli Stati membri di individuare e mitigare congiuntamente le criticità lungo l’intera catena di fornitura, tenendo conto anche degli impatti economici e delle dinamiche di mercato.

In questo contesto, la revisione del Cybersecurity Act apre esplicitamente alla possibilità di interventi obbligatori di derisking, in particolare per le reti di telecomunicazione mobili. L’esperienza maturata con il toolbox di sicurezza 5G viene così estesa e consolidata, con la possibilità di ridurre o escludere fornitori considerati ad alto rischio provenienti da Paesi terzi. Un passaggio che conferma come la sicurezza delle reti, oltre a essere valutata in termini di prestazioni o affidabilità tecnica, includa considerazioni strategiche legate all’autonomia e alla sicurezza dell’Unione.

9502d83f-d9db-49fa-9b7d-6b0af55130f3

Accanto al tema delle supply chain, la Commissione interviene in modo deciso sul sistema europeo di certificazione della cybersecurity. Il nuovo European Cybersecurity Certification Framework viene infatti ripensato per essere più rapido, chiaro e funzionale alle esigenze del mercato. L’intenzione è superare la lentezza e la complessità che hanno finora limitato l’adozione delle certificazioni, introducendo procedure più snelle e tempi standardizzati per lo sviluppo degli schemi. La certificazione viene proposta come uno strumento pratico e volontario, capace di aiutare le aziende a dimostrare la conformità alle normative europee senza trasformarsi in un ulteriore onere burocratico.

Il perimetro della certificazione si amplia, includendo non solo prodotti e servizi ICT tradizionali, ma anche processi, servizi gestiti e persino la postura complessiva di sicurezza di organizzazioni e imprese. In una prospettiva industriale, questo approccio mira a trasformare la cybersecurity in un fattore competitivo per le aziende europee, rafforzando la fiducia lungo catene di fornitura sempre più complesse e interconnesse.

Un altro asse centrale del pacchetto riguarda la semplificazione della compliance normativa. La stratificazione di regole e obblighi, in particolare dopo l’entrata in vigore della direttiva NIS2, ha sollevato preoccupazioni soprattutto tra le imprese di dimensioni medio-piccole. Le modifiche proposte puntano a chiarire ambiti di applicazione, ridurre le ambiguità giuridiche e alleggerire i costi di conformità per decine di migliaia di aziende operanti nel mercato unico. L’introduzione di una nuova categoria di imprese “small mid-cap” va letta proprio in questa chiave, come tentativo di calibrare meglio gli obblighi in base alla reale capacità organizzativa delle aziende.

Crediti: Shutterstock

Crediti: Shutterstock

La revisione prevede anche interventi sul coordinamento transfrontaliero e sulla gestione degli incidenti, con particolare attenzione al ransomware. La raccolta dei dati sugli attacchi viene razionalizzata e il ruolo di ENISA come punto di raccordo europeo viene ulteriormente rafforzato, anche in sinergia con Europol e i CSIRT nazionali.

Proprio ENISA emerge come uno dei pilastri del nuovo impianto. Da agenzia tecnica di supporto, il suo ruolo si evolve verso una funzione più strategica, orientata alla comprensione delle minacce comuni e alla preparazione coordinata a livello europeo. La possibilità di emettere allerte precoci, supportare la risposta agli incidenti e contribuire a una gestione più strutturata delle vulnerabilità segna un cambio di passo significativo.

Accanto agli aspetti tecnologici e operativi, la Commissione riconosce esplicitamente la dimensione delle competenze. La carenza di professionisti qualificati resta uno dei principali colli di bottiglia per la sicurezza informatica europea. In questo senso, l’avvio della Cybersecurity Skills Academy e la definizione di schemi comuni di attestazione delle competenze puntano a creare un mercato del lavoro più trasparente e a rafforzare il capitale umano necessario per sostenere le ambizioni dell’Unione.

Il percorso legislativo è ora avviato e passerà al vaglio del Parlamento europeo e del Consiglio. Una volta adottate, le nuove norme richiederanno agli Stati membri un periodo di adattamento, ma il segnale lanciato dalla Commissione è già evidente. In un’Europa esposta quotidianamente a minacce cyber e ibride, la sicurezza digitale viene finalmente trattata come un’infrastruttura strategica al pari dell’energia o delle reti di trasporto, con un approccio che intreccia tecnologia, mercato e geopolitica.

(Immagine in apertura: Shutterstock)