Per gli operatori delle infrastrutture critiche, l’approvvigionamento di tecnologia non è più soltanto una questione di capacità, prezzo o prestazioni: sta diventando sempre più una scelta strategica in termini di rischio.
Le infrastrutture digitali, le piattaforme di cybersecurity, i servizi cloud, le apparecchiature di rete e gli ambienti OT non sono facilmente sostituibili una volta implementati.
Cambiare fornitore, trasferire i dati, migrare i sistemi, riconfigurare le integrazioni, formare nuovamente i team e gestire le interruzioni operative sono tutte strade percorribili, ma costose, dispendiose in termini di risorse e rischiose. Per i CISO, i responsabili della sicurezza delle informazioni e gli addetti alla compliance, la domanda fondamentale non è quindi soltanto: “Questo fornitore è in grado di soddisfare le nostre esigenze attuali?”. È anche: “Possiamo fidarci di questo fornitore nel lungo periodo?”. Quesito che diventa ancora più importante mettere al centro in un contesto normativo europeo che continua a evolversi rapidamente.
Indice degli argomenti
L’attuale quadro normativo europeo
Oggi il quadro normativo UE rimane ancora frammentato. La Commissione europea è ricorsa a raccomandazioni, valutazioni del rischio e linee guida di policy per incoraggiare gli Stati membri ad affrontare la questione dei fornitori high-risk, in particolare nei settori delle telecomunicazioni e di altre infrastrutture critiche. Tuttavia, l’attuazione di tali misure ha registrato notevoli differenze all’interno dell’UE: alcuni Paesi hanno adottato un approccio più rigoroso, vietando l’utilizzo di determinati fornitori tecnologici, mentre altri hanno applicato il quadro normativo in modo più flessibile.
Ciò crea sfide e incertezza per le imprese che operano in più Paesi: lo stesso partner tecnologico può essere accettato in una giurisdizione, essere soggetto a restrizioni in un’altra e sottoposto a un controllo maggiore altrove.
Il caso Elisa Eesti
Questa frammentazione sta già generando conseguenze concrete per le imprese. Il recente caso Elisa Eesti davanti alla Corte di Giustizia dell’Unione europea ne è un chiaro esempio.
La questione riguarda la possibilità per le autorità estoni di imporre all’operatore di telecomunicazioni Elisa Eesti la rimozione di apparecchiature Huawei dalla propria rete per motivi di sicurezza nazionale. Nel parere espresso nel marzo 2026, l’avvocato generale Tamara Ćapeta ha concluso che il diritto dell’Unione europea non impedirebbe all’Estonia di imporre tali misure, purché vengano rispettate le garanzie previste dalla normativa europea applicabile.
Il caso non riguarda soltanto la regolamentazione delle telecomunicazioni; riguarda il costo della dipendenza a lungo termine da fornitori la cui affidabilità potrebbe essere successivamente messa in discussione dalle autorità pubbliche.
Per gli operatori delle infrastrutture critiche, la lezione pratica è chiara. Una decisione presa oggi in materia di tecnologia può trasformarsi domani in un onere normativo, operativo e finanziario. Qualora un fornitore venga giudicato ad alto rischio soltanto in un secondo momento, l’organizzazione potrebbe trovarsi ad affrontare sostituzioni obbligatorie, costi di migrazione, interruzioni di servizio, complessità contrattuali ed esposizioni reputazionali. Non si tratta di rischi teorici, ma di conseguenze concrete che gli operatori delle infrastrutture critiche devono ormai tenere in considerazione nelle scelte strategiche di procurement e gestione dei fornitori.
La proposta CSA2 e i rischi della supply chain ICT
L’approccio normativo di Bruxelles rafforza ulteriormente questo punto. La proposta di revisione del Cybersecurity Act dell’UE, spesso indicata come CSA2, andrebbe oltre il semplice coordinamento “soft” e introdurrebbe strumenti più diretti a livello europeo per affrontare i rischi legati ai fornitori di Paesi terzi nelle catene di approvvigionamento ICT critiche.
Negli ultimi tempi, le minacce informatiche lungo l’intera supply chain hanno esposto le organizzazioni ad attaccanti che sfruttano le difese più deboli dei partner per ottenere accesso ai sistemi. La proposta CSA2 mira a ridurre i rischi nelle catene di fornitura ICT derivanti da fornitori di Paesi terzi che presentano criticità sotto il profilo della cybersecurity, probabilmente attribuendo alla Commissione il potere di designare fornitori ad alto rischio e di limitarne o vietarne l’utilizzo nei settori collegati alle infrastrutture critiche.
Questo aspetto è rilevante perché eventuali restrizioni future potrebbero non dipendere più soltanto da approcci nazionali divergenti. Se venissero adottati poteri di designazione dei fornitori a livello europeo, gli operatori delle infrastrutture critiche potrebbero trovarsi a operare all’interno di un quadro normativo più armonizzato nei 27 Stati membri. Ciò ridurrebbe la frammentazione sotto un certo profilo, ma aumenterebbe anche la posta in gioco. Un fornitore classificato come ad alto rischio a livello europeo potrebbe diventare commercialmente inutilizzabile in ampie aree del mercato UE.
Industrial Accelerator Act e fiducia nella cybersecurity
La proposta Industrial Accelerator Act si muove nella stessa direzione: collega politica industriale, tecnologia pulita, resilienza e cybersecurity, prevedendo anche l’esclusione dei fornitori identificati come ad alto rischio – ai sensi delle normative UE sulla cybersecurity – da determinati progetti in settori quali l’energia, le rinnovabili e le infrastrutture industriali. Il progetto sottolinea dunque come la fiducia nella cybersecurity stia diventando una condizione necessaria per partecipare alla prossima stagione di investimenti digitali e industriali in Europa.
Le conclusioni da trarre
Per i CISO e i responsabili della compliance, la conclusione da trarre non deve essere che ogni fornitore non europeo sia problematico, né che le decisioni in materia di approvvigionamento debbano essere guidate esclusivamente da criteri geografici. Il punto è più pratico: l’affidabilità del fornitore deve diventare un elemento fondamentale della pianificazione aziendale nel lungo periodo.
Significa guardare oltre le specifiche tecniche e il valore commerciale a breve termine. Significa valutare la governance, la solidità finanziaria dell’azienda, la trasparenza, l’approccio secure-by-design, la resilienza della supply chain, l’esposizione normativa, la gestione dei dati e la capacità del fornitore di rimanere un partner affidabile in un contesto geopolitico e normativo in continua evoluzione.
Le organizzazioni che gestiscono infrastrutture critiche assumono decisioni di investimento sulla base di piani pluriennali. I loro partner tecnologici dovrebbero essere scelti tenendo conto dello stesso orizzonte temporale. In un contesto in cui regolamentazione, sicurezza nazionale e cybersecurity si sovrappongono sempre di più, la fiducia non è un fattore accessorio. È un requisito essenziale per la continuità operativa.












Partecipa alla community