L'Unione Europea si trova sotto un fuoco incrociato digitale quotidiano. Attacchi informatici e campagne ibride orchestrate da attori statali e organizzazioni criminali altamente sofisticate colpiscono sistematicamente servizi essenziali e istituzioni democratiche, creando una pressione costante che va ben oltre gli episodi isolati di ransomware. È in questo scenario di minaccia persistente che la Commissione europea ha presentato un pacchetto normativo di cybersecurity destinato a ridisegnare l'architettura di difesa digitale del continente, puntando su resilienza, coordinamento e misurabilità della sicurezza lungo l'intera catena tecnologica.
Il cuore dell'iniziativa è la revisione del Cybersecurity Act (CSA), ma l'intervento si articola su tre assi interconnessi: sicurezza della catena di fornitura ICT, certificazione europea armonizzata e semplificazione della compliance normativa. L'obiettivo dichiarato è rendere l'ecosistema più coeso, riducendo la frammentazione attuale e potenziando il ruolo dell'Enisa come fulcro operativo della risposta europea alle minacce. Non si tratta solo di aggiornamento tecnico, ma di un tentativo di trasformare la cybersecurity da adempimento burocratico a leva strategica di competitività.
Il passaggio più controverso riguarda la sicurezza della filiera di approvvigionamento ICT, soprattutto quando coinvolge fornitori provenienti da Paesi terzi considerati problematici sul piano della cybersecurity. La Commissione propone un approccio basato sul rischio, armonizzato e proporzionato, che consenta a Bruxelles e agli Stati membri di identificare e mitigare i rischi nei 18 settori critici europei. Ma la novità sostanziale è il cambio di prospettiva: non più solo sicurezza tecnica del singolo componente, ma solidità sistemica dell'intera catena di fornitura, con particolare attenzione a dipendenze strategiche e possibili interferenze esterne.
Per il settore delle telecomunicazioni, l'impatto potrebbe essere dirompente. La proposta consentirà la riduzione obbligatoria del rischio nelle reti mobili europee rispetto a fornitori di Paesi terzi classificati come ad alto rischio, in continuità con la 5G security toolbox. Questo significa potenziali revisioni di architetture di rete, contratti pluriennali e scelte infrastrutturali strategiche. La commissaria Henna Virkkunen ha però precisato che non esiste ancora una lista predefinita di Paesi o società problematiche: le valutazioni arriveranno dopo l'entrata in vigore del regolamento, e le misure potrebbero includere limitazioni all'accesso a programmi UE e appalti pubblici.
Sul fronte della certificazione, Bruxelles promette una rivoluzione di efficienza. Il rinnovato European Cybersecurity Certification Framework dovrebbe garantire procedure semplificate con sviluppo degli schemi certificativi in 12 mesi come impostazione predefinita, governance trasparente e coinvolgimento strutturato degli stakeholder. L'ambizione è trasformare la certificazione da peso burocratico ad asset competitivo: per le aziende come strumento di posizionamento sul mercato, per cittadini e pubbliche amministrazioni come garanzia di affidabilità in catene tecnologiche sempre più complesse.
Il perimetro si estende oltre i prodotti ICT tradizionali, includendo servizi, processi e servizi di sicurezza gestiti, fino alla possibilità per aziende e organizzazioni di certificare la propria postura cyber complessiva in base a esigenze di mercato. La certificazione diventa volontaria ma strategica, utile a dimostrare conformità alla legislazione europea e quindi a ridurre costi e oneri amministrativi complessivi.
Parallelamente, la Commissione interviene sulla semplificazione della compliance, con modifiche mirate alla NIS2 destinate ad alleggerire gli adempimenti per decine di migliaia di aziende, incluse micro e piccole imprese. Viene introdotta una nuova categoria di "piccole imprese a media capitalizzazione" per ridurre i costi di conformità, mentre si semplificano le regole di giurisdizione e si migliora il flusso di dati sugli attacchi ransomware. Il tutto coordinato da un punto unico di accesso per la segnalazione degli incidenti, proposto nel Digital Omnibus.
L'Enisa esce rafforzata dalla proposta. Dal 2019 l'agenzia è cresciuta fino a diventare pilastro dell'ecosistema europeo di cybersecurity, ma ora Bruxelles vuole renderla ancora più centrale. Tra le funzioni operative: allerta precoce su minacce e incidenti, supporto alle aziende nella risposta agli attacchi ransomware in cooperazione con Europol e i Computer Security Incident Response Teams, sviluppo di un approccio unificato per la gestione delle vulnerabilità e gestione del punto unico per l'incident reporting. Resta anche la dimensione formativa, con la sperimentazione della Cybersecurity Skills Academy e schemi di attestazione delle competenze a livello UE.
Ma non mancano le resistenze. Connect Europe, che rappresenta circa il 70% degli investimenti nel settore connettività, pur prendendo atto della proposta, lancia un avvertimento chiaro: la sicurezza di reti e servizi non è solo necessità tecnica ma pilastro della resilienza europea, e l'eccesso di oneri regolatori rischia di compromettere gli investimenti necessari per completare il roll-out di 5G e fibra. L'associazione stima costi aggiuntivi per miliardi di euro, potenzialmente sottostimati, e teme che gli obblighi sulla catena di fornitura ICT possano imporre vincoli non sostenibili se non fondati su valutazioni del rischio solide e basate su evidenze.
Il punto critico è la proporzionalità. Come definire requisiti di sicurezza efficaci su infrastrutture con cicli di modernizzazione lunghi senza frenare gli investimenti? Connect Europe chiede un approccio basato sul rischio, concretamente applicabile, che riduca sovrapposizioni con NIS2, DORA, Cyber Resilience Act e altri framework, rendendo la certificazione europea rilevante per il mercato senza schemi obbligatori costosi e di valore limitato. C'è anche una questione istituzionale: le misure sulla catena di fornitura devono rispettare le competenze degli Stati membri sulle questioni di sicurezza nazionale, incidendo sulla prevedibilità necessaria per i piani industriali.
Plaude invece la Computer & Communications Industry Association (CCIA). Mitchell Rutledge, Technology and Security Policy Manager di CCIA Europe, sottolinea che la Commissione ha adottato l'approccio corretto, ancorando la certificazione dei servizi digitali a criteri di sicurezza tecnici e oggettivi invece di cedere a interventi politici. "Il Cybersecurity Act aveva bisogno di un vero riavvio, capace di ridurre la frammentazione e fornire certificazioni applicabili nel mondo reale, non un dibattito infinito su esclusioni dal mercato basate sul Paese di origine", afferma. L'associazione invita però le istituzioni UE a resistere alla tentazione protezionistica di reintrodurre restrizioni discriminatorie che danneggerebbero la sicurezza dell'ecosistema digitale europeo.
Sul piano istituzionale, il Cybersecurity Act sarebbe applicabile immediatamente dopo l'approvazione di Parlamento europeo e Consiglio, mentre gli emendamenti alla NIS2 darebbero agli Stati membri un anno per il recepimento nel diritto nazionale. La partita si giocherà tra impianto europeo e attuazione nazionale, tra obiettivi comuni e capacità operative, tra sicurezza della filiera e sostenibilità economica dei piani di rete. Il risultato finale dipenderà dalla calibrazione di obblighi, certificazioni e strumenti di supporto, e dalla capacità di trasformare la compliance in sicurezza misurabile e operativa, evitando che la burocrazia soffochi gli investimenti necessari per rendere l'Europa davvero resiliente sul piano digitale.