Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

regolamento UE

Cybersecurity act 2: terremoto sull’industria tlc. Come affrontarlo

Home Infrastrutture digitali
Partecipa al dibattito
Indirizzo copiato

La proposta europea rafforza certificazioni, competenze ENISA e controlli sulle catene ICT. Il nodo dei fornitori ad alto rischio apre però un conflitto con Cina e Stati membri perché intreccia sicurezza nazionale, commercio internazionale e costi industriali per operatori e infrastrutture critiche. Un tema che andrà affrontato meglio per trovare un equilibrio che non danneggi…

Pubblicato il 24 apr 2026
Sergio Boccadutri

Consulente antiriciclaggio e pagamenti elettronici

Alessandro Longo

Direttore agendadigitale.eu

cybersecurity act 2 telecomunicazioni
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Una proposta di regolamento UE, il Cybersecurity Act 2, è un terremoto nel settore delle telecomunicazioni, in Italia ed Europa.

Una scossa ora silenziosa ma il rumore comincia a essere percepito con forza a chi ha orecchie per sentire e presto esploderà: perché così com’è il regolamento impone, per motivi di sicurezza nazionale, una rivoluzione mai vista nelle reti degli operatori telefonici, fisse e mobili.

Dovranno eliminare apparati cinesi, ora economici e abbastanza diffusi. Risultato: possibili disservizi nel passaggio e aumento di costi per miliardi di euro per tutti, come già lamenta Aiip (l’associazione internet provider italiani). Ma a protestare è anche la Cina, che minaccia ritorsioni.

Insomma: un regolamento difficile e controverso, sebbene animato da motivi legittimi, perseguiti già da Usa e UK: migliorare la sovranità digitale sulle reti e la loro sicurezza contro possibili minacce esterne.

Cybersecurity Act 2 e sovranità digitale: la sfida europea e italiana

Cybersecurity act 2: cos’è e cosa ha dentro

Il testo è stato presentato il 20 gennaio 2026 dalla Commissione europea e ora è arrivato all’attenzione dei Paesi membri. Una proposta di revisione del Regolamento sulla cybersicurezza, destinato a sostituire integralmente il Regolamento (UE) 2019/881.

Il nuovo testo, comunemente noto come Cybersecurity Act 2, è stato adottato insieme a una proposta di modifica mirata della direttiva NIS2 e costituisce la riforma più ambiziosa del quadro europeo della sicurezza informatica dall’entrata in vigore del Cybersecurity Act originario.

A tre mesi dalla pubblicazione della proposta, il dibattito internazionale ha raggiunto un livello di intensità che non si registrava dai tempi della discussione sulla NIS2, con posizioni fortemente polarizzate fra chi considera la proposta un necessario aggiornamento dell’arsenale normativo europeo e chi ne denuncia la portata costituzionale, gli effetti sistemici e le ricadute geopolitiche e commerciali immediate.

Il perimetro del Cybersecurity Act 2

Il Cybersecurity Act 2 copre tre aree principali: la disciplina dell’Agenzia europea per la cybersicurezza ENISA; la riforma del Quadro europeo di certificazione della cybersicurezza; l’introduzione di un quadro orizzontale per la sicurezza delle catene di approvvigionamento delle tecnologie dell’informazione e della comunicazione. Quest’ultima parte costituisce l’elemento più dirompente sotto il profilo politico e giuridico.

Per la prima volta il diritto europeo si dota di uno strumento sistemico per affrontare i rischi non tecnici delle catene ICT, estendendo il raggio d’azione oltre la dimensione puramente tecnologica per incorporare considerazioni di natura geopolitica e strategica. La scelta dello strumento regolamentare, direttamente applicabile in tutti gli Stati membri, consolida la tendenza verso una maggiore centralizzazione del rulebook digitale europeo.

Il nodo dei fornitori ad alto rischio

Il cuore politico della riforma è il meccanismo dei fornitori ad alto rischio. La Commissione si è attribuita il potere di designare, attraverso atti di esecuzione, paesi terzi che pongano rischi strutturali e non tecnici alle catene di approvvigionamento ICT, e di qualificare come ad alto rischio i fornitori stabiliti o controllati da soggetti di quei paesi, tra questi paesi, anche se non è esplicitato, il pensiero si rivolge subito alla Cina.

La designazione produce effetti giuridici concreti: esclusione dagli appalti pubblici, impossibilità di ottenere certificazioni europee, allontanamento dai processi di standardizzazione, divieti d’uso o di installazione in asset considerati critici, con un periodo di phase-out che non può eccedere i trentasei mesi.

La proposta impone agli Stati membri di escludere i fornitori ad alto rischio da diciotto settori critici, fra cui energia, trasporti, sanità e servizi di gestione ICT, segnando un salto quantitativo e qualitativo rispetto al perimetro originariamente circoscritto alle reti 5G. L’analogia con il regime britannico dei designated vendors e con la covered list della Federal Communications Commission statunitense non è casuale.

Cybersecurity Act 2 e traiettoria transatlantica

È qui che emerge una delle questioni meno esplicite ma più riconoscibili della riforma. L’impianto europeo appare orientato anche a marcare una posizione chiara nel confronto geopolitico in corso, segnalando che sulla sicurezza delle infrastrutture critiche l’Unione intende mantenere un rapporto privilegiato con gli Stati Uniti, dove il processo di sostituzione degli apparati dei fornitori cinesi dalle reti di telecomunicazione è già largamente avviato, con i programmi federali di rip and replace finanziati dal Congresso.

Il Cybersecurity Act 2 si iscrive quindi in una traiettoria transatlantica, allineando il quadro europeo alle scelte di Washington e riducendo lo spazio di autonomia strategica che alcuni Stati membri avevano ritagliato attraverso valutazioni nazionali del rischio più graduate. Il prezzo di questo allineamento è significativo: si sposta l’equilibrio delle catene di fornitura, si consolida la dipendenza da un ristretto numero di produttori non europei e si accetta, implicitamente, che la sovranità digitale europea resti in qualche modo collegata all’alleato atlantico.

La pressione di Pechino sul testo europeo

Tutto ciò ha provocato la reazione del Governo della Cina che, nelle ultime settimane, è diventato uno degli elementi più rilevanti del dibattito. Il Ministro del Commercio cinese in questi giorni dichiarato formalmente che, qualora le imprese cinesi dovessero subire un trattamento discriminatorio a seguito della revisione del Cybersecurity Act, la Cina adotterebbe contromisure sulla base della propria legge sul commercio estero e delle regolamentazioni sulla sicurezza delle catene industriali e di approvvigionamento. Per questo il 17 aprile le autorità cinesi hanno ufficialmente trasmesso a Bruxelles osservazioni e proposte di modifica al testo, articolate su tre piani.

Sul piano del diritto internazionale, la proposta viene considerata incompatibile con principi cardine dell’Organizzazione mondiale del commercio quali la clausola della nazione più favorita e il trattamento nazionale, e in tensione con il GATT 1994, il GATS, l’Accordo sulle sovvenzioni e l’Accordo sugli ostacoli tecnici al commercio, oltre che con gli stessi impegni dell’Unione in materia di liberalizzazione dei servizi. Sul piano istituzionale europeo, la critica cinese riprende paradossalmente argomenti già avanzati da diversi Stati membri, sostenendo che il testo non abbia la necessaria copertura giuridica invadendo la competenza esclusiva degli Stati in materia di sicurezza nazionale.

Sul piano economico, Pechino denuncia un rischio di danno sostanziale alle relazioni commerciali, con effetti disgreganti sulle catene globali di valore. In concreto la Cina avanza tre richieste: eliminare le disposizioni sui paesi destinatari di preoccupazioni di cybersicurezza e sui rischi non tecnici; rimuovere o riformulare sostanzialmente i criteri di identificazione dei fornitori ad alto rischio; sospendere le misure restrittive collegate. Senza una revisione significativa, il Cybersecurity Act 2 potrebbe innescare una nuova fase di tensione commerciale fra Bruxelles e Pechino, in un contesto internazionale già fortemente instabile.

Cybersecurity Act 2 tra competenze, diritti e industria telecomunicazioni

Sul piano costituzionale europeo, la prima critica muove dal rilievo che la proposta ecceda i limiti della competenza dell’Unione in materia di mercato interno. L’articolo 4, paragrafo 2, del Trattato sull’Unione europea stabilisce che la sicurezza nazionale resta di esclusiva responsabilità degli Stati, e le cancellerie tedesca, svedese e olandese hanno sottolineato che la valutazione dei fornitori ad alto rischio deve rimanere una responsabilità nazionale. Il meccanismo di designazione si fonda su criteri vaghi e politicamente sensibili, e produce effetti simili a quelli delle sanzioni economiche attraverso una base giuridica di mercato interno, aggirando le garanzie procedurali previste per le azioni di politica estera.

Il caso Elisa Eesti AS davanti alla Corte di giustizia UE

Sul punto c’è causa pendente davanti alla Corte di giustizia UE, il caso Elisa Eesti AS. Si tratta di un fornitore di servizi telco che in sostanza ha chiesto alle autorità estoni l’autorizzazione a utilizzare hardware e software del produttore cinese di apparecchiature di telecomunicazione Huawei, ai fini dell’uso nelle sue reti di telecomunicazione 2G-4G e 5G. Le competenti autorità estoni hanno ritenuto che gli hardware e software rappresentassero un rischio per la sicurezza nazionale dell’Estonia sulla base del carattere «ad alto rischio» della Huawei.

Tale decisione è stata impugnata dinanzi al Tribunale amministrativo di Tallinn, che ha proposto una domanda di pronuncia pregiudiziale alla Corte di Giustizia; proprio pochi giorni fa l’avvocato generale ha depositato le proprie conclusioni nelle quali propone alla Corte di dichiarare che gli Stati membri possono, in linea di principio, escludere hardware e software dalle loro infrastrutture di telecomunicazione sulla base del fatto che il produttore di tali apparecchiature rappresenta un rischio per la sicurezza nazionale. Sarà interessante, dunque, leggere la decisione della Corte alla luce del diritto dell’Unione.

Libertà d’impresa e onere della prova

La seconda questione riguarda l’impatto sulla libertà d’impresa tutelata dall’articolo 16 della Carta. Il quadro proposto compromette la certezza del diritto, produce effetti dissuasivi sugli investimenti e si traduce in interferenze sproporzionate con i diritti di proprietà e con la libertà di condurre un’attività economica. L’argomento si regge su tre pilastri: l’assenza di un’analisi adeguata di sussidiarietà e proporzionalità, rinviata agli atti di esecuzione; la mancata dimostrazione che alternative meno invasive come audit, cifratura o certificazione siano state adeguatamente considerate; la vaghezza dei criteri di valutazione, fondati su elementi astratti come la mera esistenza di una determinata legislazione nel paese di origine del fornitore.

Ogni limitazione a un diritto fondamentale deve rispettare i criteri di legalità, proporzionalità e rispetto dell’essenza del diritto. A questa si aggiunge l’inversione dell’onere della prova: un fornitore designato può richiedere un’esenzione, ma dovrà dimostrare che il paese terzo di origine non eserciterà alcuna indebita interferenza, una prova di natura diabolica che pone interrogativi sotto il profilo del diritto di difesa.

Impatto industriale sugli operatori medi: AIIP protesta, un miliardo di euro di costi

Sul fronte industriale, il dibattito si è arricchito con la presa di posizione dell’Associazione Italiana Internet Provider, che ha portato all’attenzione pubblica una fotografia concreta dell’impatto del meccanismo dei fornitori ad alto rischio sul tessuto degli operatori medi e territoriali. Secondo un’indagine interna dell’Associazione, negli ultimi cinque anni questi operatori hanno investito circa 300 milioni di euro in apparati oggi suscettibili di essere qualificati come ad alto rischio, scelti per il miglior equilibrio fra costo, prestazioni e consumi energetici.

L’imposizione di una sostituzione forzata entro tre anni si tradurrebbe in un impatto complessivo non inferiore a un miliardo di euro, considerando costi di sostituzione, migrazione, riconfigurazione, prove di rete, continuità del servizio, smantellamento e riaddestramento del personale.

L’argomento è tecnico prima ancora che politico: il mercato degli apparati di rete non consente sostituzioni neutrali nei segmenti cruciali dell’accesso fisso, del GPON, dell’aggregazione e dei router casalinghi, dove le alternative effettivamente equivalenti ai principali produttori cinesi sono poche, spesso incomplete, talvolta soltanto nominali. La conseguenza pratica sarebbe un peggioramento tecnico, un aggravio economico e un’ondata di rifiuti elettronici di dimensioni rilevanti.

Dipendenze cloud e rischio sistemico

A questo si somma un paradosso di grande rilievo sistemico. Mentre una parte delle istituzioni europee concentra il proprio sforzo regolatorio sull’hardware cinese, i veri fornitori sistemici continuano a sedere al centro dell’ecosistema digitale europeo: sono i giganti globali americani del cloud e delle piattaforme. Secondo un’analisi del Future of Technology Institute, le aziende statunitensi detengono oggi circa l’ottanta per cento del mercato cloud europeo, e i sistemi in ventitré dei ventotto paesi analizzati risultano fare affidamento su tecnologia statunitense per funzioni critiche di sicurezza nazionale, con il rischio concreto di un kill switch digitale che, in presenza di determinate decisioni politiche o sanzionatorie, potrebbe rendere indisponibili servizi essenziali anche in Europa.

Il paradosso è evidente: da un lato si costringerebbero gli operatori a smaltire apparati funzionanti, riducendo il numero dei fornitori e concentrando il rischio proprio mentre il sistema economico globale si avvicina a una nuova fase di scarsità e discontinuità logistica; dall’altro si tollera una dipendenza strutturale da un ristretto numero di fornitori cloud e software globali che occupano una posizione dominante nei servizi digitali più delicati, incluse funzioni che toccano la difesa e la pubblica amministrazione.

Le tensioni nello Stretto di Hormuz, con il traffico marittimo ancora in larga parte perturbato, aggravano ulteriormente il quadro: immaginare una gigantesca operazione di rottamazione forzata in queste condizioni secondo molti operatori è un atto di autolesionismo economico e strategico. Il quadro di finanza pubblica europea, peraltro, rende improbabile qualsiasi forma significativa di indennizzo (come invece avvenuto negli Stati Uniti).

Cybersecurity Act 2, via difficile per l’Europa

La strada che attende la proposta del Cybersecurity Act 2 è quindi lunga e politicamente accidentata. Le negoziazioni in trilogo sono attese nel corso del 2026, con l’obiettivo di un accordo politico fissato per l’inizio del 2027. Le questioni aperte restano numerose e profondamente controverse: il perimetro della competenza dell’Unione rispetto alla sicurezza nazionale riservata agli Stati, la compatibilità con la libertà d’impresa e l’equilibrio delle relazioni commerciali con la Cina, la sostenibilità dell’impatto sugli operatori medi e indipendenti e il costo industriale di una sostituzione forzata stimato nell’ordine del miliardo di euro per il solo segmento degli Internet Provider italiani.

Costo che forse allora dovrebbe essere assorbito dall’UE, come ha già fatto gli Stati Uniti per liberare le reti dalla Cina.

Il Cybersecurity Act 2 resta al tempo stesso la riforma più ambiziosa del quadro regolatorio europeo della cybersicurezza dell’ultimo decennio e un banco di prova decisivo per la capacità dell’Unione di conciliare ambizione della resilienza cibernetica, rispetto delle competenze nazionali, tutela dei diritti fondamentali, coerenza con gli obblighi internazionali, relazioni privilegiate con gli Stati Uniti sui temi della sicurezza e realismo industriale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Sergio Boccadutri
Consulente antiriciclaggio e pagamenti elettronici
Seguimi su
Alessandro Longo
Direttore agendadigitale.eu
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • bugarmageddon

  • scenari

    Cyberwarfare e IA: strategie di difesa per le aziende

    02 Ott 2025

    di Nadir Izrael

    Condividi
  • rischio tecnologico UE

  • sovranità digitale

    Rischio tecnologico UE: dalla Corte di Giustizia i criteri per governarlo

    19 Mar 2026

    di Maurizio Carmignani

    Condividi
  • cybersecurity pmi zero trust network access Cybersecurity in azienda; competenze digitali terrorismo security awareness; cos'è la direttiva Nis2; cybersecurity OT; Enisa Nis2; CSIRT cybersecurity act 2

  • sicurezza informatica

    Cybersecurity Act 2, l’Ue stringe le regole: più Enisa, stop a fornitori a rischio

    21 Gen 2026

    di Sergio Boccadutri

    Condividi
0
Lascia un commento, la tua opinione conta.x