Il Cybersecurity Act 2 segna una svolta nella strategia europea di sicurezza digitale, trasformando la cybersicurezza da tema tecnico a pilastro politico, economico e industriale.
In un contesto di crescente rischio “geocyber”, l’UE e l’Italia sono chiamate a utilizzare il nuovo quadro normativo come leva per rafforzare sovranità, resilienza e competitività.
Indice degli argomenti
La cybersecurity come imperativo strategico europeo
La cybersecurity ha, di fatto, smesso di essere una questione puramente tecnica per diventare un imperativo strategico, politico ed economico. L’aumento esponenziale delle minacce informatiche, spesso sofisticate e sponsorizzate da attori statali, ha imposto un’urgente revisione delle difese digitali dell’Unione Europea.
La proposta di revisione del Cybersecurity Act (CSA2) non rappresenta un’iniziativa isolata, ma il fulcro di un ecosistema normativo in rapida evoluzione. Insieme a strumenti legislativi come la Direttiva NIS2, il Cyber Resilience Act (CRA) e il Digital Operational Resilience Act (DORA), il CSA2 sancisce un principio fondamentale: costruire una solida architettura di sicurezza per affermare la sovranità digitale e l’autonomia strategica dell’Unione.
Il ruolo dell’Italia nella strategia cyber europea
E in Italia? Come vogliamo interpretare questo momento storico di rischio “geocyber” utilizzando queste ottime basi normative?
Le quattro criticità che hanno reso necessario il CSA2
Per comprendere appieno la portata strategica del Cybersecurity Act 2, è essenziale analizzare le criticità che la legislazione precedente non è riuscita a risolvere e i pilastri su cui si fonda la nuova proposta. Questa analisi rivela un cambiamento fondamentale nell’approccio dell’UE: si passa da una logica reattiva, focalizzata sulla gestione degli incidenti, a una strategia proattiva e olistica, volta a garantire la sicurezza intrinseca dell’intero mercato unico digitale.
Il documento di valutazione d’impatto della Commissione Europea ha identificato quattro problematiche principali che hanno reso indispensabile una revisione del Cybersecurity Act del 2019. Queste lacune hanno evidenziato l’inadeguatezza del quadro esistente di fronte a un panorama di minacce in continua evoluzione.
Disallineamento normativo e insufficienza operativa
Il primo punto è il disallineamento tra quadro normativo e minacce reali. Il mandato dell’Agenzia dell’Unione Europea per la Cibersicurezza (ENISA) e le politiche esistenti si sono rivelati insufficienti per fronteggiare la crescente sofisticazione degli attacchi informatici e le esigenze degli stakeholder. Le capacità operative dell’Agenzia non erano allineate con la necessità di supportare efficacemente la cooperazione tra gli Stati membri e fornire un quadro consolidato della situazione a livello europeo.
Il fallimento del quadro di certificazione europeo
Un secondo punto è il fallimento nell’attuazione del quadro di certificazione (ECCF). L’implementazione degli schemi di certificazione previsti dal quadro europeo di certificazione della cybersecurity (ECCF) è stata estremamente lenta e difficoltosa. Progetti chiave come lo schema per i servizi cloud (EUCS) e per il 5G (EU5G) hanno subito ritardi significativi o blocchi, ostacolando di fatto la creazione di un mercato unico per prodotti e servizi ICT cyber-sicuri e affidabili.
Complessità normativa e frammentazione degli obblighi
Un terzo punto è la complessità e frammentazione normativa. La sovrapposizione di diverse normative (NIS2, GDPR, DORA, CRA) ha generato un onere amministrativo eccessivo per le imprese. La mancanza di un quadro di conformità coerente e di meccanismi di semplificazione ha minato la possibilità di un approccio unificato e sinergico alla cyber, costringendo le organizzazioni a navigare in un labirinto di obblighi talvolta divergenti.
Vulnerabilità nelle supply chain e rischi geopolitici
L’ultimo punto è relativo alle vulnerabilità critiche nelle filiere ICT. La legislazione precedente non affrontava in modo adeguato i cosiddetti “rischi non tecnici“. Questi rischi sono definiti come “la probabilità che un fornitore sia soggetto a un’influenza indebita da parte di un paese terzo, con il potenziale di causare perdite o interruzioni… o di portare all’esfiltrazione di dati, anche a fini di spionaggio o di generazione di reddito”. Tale dipendenza rappresenta una vulnerabilità strategica che può compromettere la sicurezza delle infrastrutture critiche europee e la sovranità stessa dell’Unione.
Dal contenimento alla sovranità: il cambio di paradigma
Nel loro insieme, queste quattro carenze non descrivono semplici difetti normativi, ma il fallimento di un’intera filosofia che trattava la cyber come un problema tecnico da contenere, anziché come il fondamento strategico della sovranità e della competitività nel XXI secolo.
I tre pilastri della nuova architettura di sicurezza europea
La proposta di Cybersecurity Act 2 si fonda su tre pilastri interconnessi, progettati per superare le lacune del passato e costruire un ecosistema digitale più resiliente e sovrano.
Rafforzamento dell’ENISA e semplificazione normativa
Il primo pilastro è il rafforzamento dell’ENISA e la semplificazione della conformità. Il mandato dell’ENISA viene significativamente ampliato. L’Agenzia assumerà un ruolo centrale nel coordinamento operativo, nella gestione della “Riserva Europea per la Cybersicurezza” (uno strumento istituito dal Cyber Solidarity Act per rafforzare la risposta collettiva alle crisi) e nell’amministrazione del “Portale Unico di Segnalazione” (Single-Entry Point). Quest’ultimo, introdotto come parte di una più ampia strategia europea (il Digital Omnibus) per snellire e semplificare gli oneri normativi, unificherà le notifiche di incidenti ai sensi di NIS2, GDPR, DORA e CRA, riducendo drasticamente gli obblighi di segnalazione per le imprese. Questa centralizzazione segna il passaggio da un modello reattivo di gestione delle crisi a una postura proattiva di sorveglianza e preparazione a livello europeo.
La riforma del quadro europeo di certificazione
Il secondo pilastro è la riforma del quadro europeo di certificazione della cybersecurity (ECCF). La riforma mira a rendere gli schemi di certificazione più agili, trasparenti e funzionali. L’obiettivo è accelerarne lo sviluppo e l’adozione, garantendo che possano supportare efficacemente la conformità con altre normative. Ad esempio, l’ECCF riformato fornirà gli strumenti per attestare che i prodotti con elementi digitali soddisfino i requisiti di sicurezza imposti dal Cyber Resilience Act (CRA).
Sicurezza delle supply chain e sovranità digitale
Il terzo pilastro è la sicurezza della supply chain ICT e la sovranità digitale. Questo rappresenta un cambio di paradigma nella politica di sicurezza dell’Unione. Viene introdotto un meccanismo per mitigare i rischi non tecnici derivanti dalle catene di fornitura ICT. La Commissione Europea avrà il potere di designare “fornitori ad alto rischio” e “paesi terzi” che pongono rischi per la sicurezza dell’UE. Una delle misure più incisive è l’obbligo per gli Stati membri di eliminare gradualmente, entro 36 mesi, le apparecchiature di fornitori come Huawei e ZTE dalle reti di comunicazione, una mossa che collega direttamente la sicurezza della filiera al perseguimento della sovranità digitale.
La strategia italiana: da recepimento ad amplificatore europeo
L’efficacia della strategia europea di cibersicurezza dipende in modo cruciale dalla sua attuazione a livello nazionale. L’Italia emerge come un caso di studio emblematico, avendo risposto non solo in modo proattivo ma fungendo da amplificatore strategico degli obiettivi comunitari. Con la Legge n. 90/2024 (e, tutto sommato, anche con il Dlgs 138/2024 per il recepimento della NIS2), il Paese non si è limitato a recepire, ma ha anticipato e rafforzato i principi dell’UE, delineando una chiara strategia per la sicurezza e la sovranità digitale nazionale. Questo approccio trasforma gli obblighi europei in leve per la modernizzazione e la resilienza del sistema-Paese, offrendo un potenziale modello ad altri Stati membri su come la legislazione nazionale possa aggiungere slancio e strumenti concreti alla visione di alto livello dell’Unione.
Le innovazioni della normativa italiana sulla cybersecurity
Le normative italiane hanno introdotto disposizioni chiave che si allineano strettamente con il quadro europeo, creando un modello di governance nazionale robusto e centralizzato.
Da un lato si è allargato il perimetro per la notifica degli incidenti, estendendolo a un’ampia platea di soggetti pubblici. E’ stato introdotto un processo a due fasi: una segnalazione preliminare entro 24 ore dalla conoscenza dell’incidente e una notifica completa entro 72 ore, fornendo tutti gli elementi informativi disponibili che diventano 3 fasi nella NIS2 (chiusura incidente a un mese, con la relazione finale). Questo approccio garantisce una risposta rapida e una migliore visibilità sulle minacce a livello nazionale.
Poteri rafforzati dell’Agenzia per la Cybersicurezza Nazionale
I poteri dell’Agenzia per la Cybersicurezza Nazionale (ACN) sono stati significativamente rafforzati. Un elemento chiave è l’obbligo per i destinatari di una segnalazione di vulnerabilità da parte dell’ACN di adottare gli interventi risolutivi indicati entro 15 giorni. L’inadempienza comporta una sanzione amministrativa pecuniaria da un minimo di 25.000 euro a un massimo di 125.000 euro, creando così un meccanismo di risposta rapida e vincolante che mira a ridurre drasticamente la finestra di esposizione alle minacce.
Strumenti concreti per la sovranità digitale italiana
Oltre alla conformità normativa, la legge italiana introduce strumenti concreti che contribuiscono direttamente all’obiettivo di sovranità digitale, in perfetta sintonia con la visione del Cybersecurity Act 2.
Appalti pubblici come leva di politica industriale
In tale contesto, gli appalti pubblici sono visti come leva strategica. La normativa stabilisce che i contratti pubblici per l’acquisto di beni e servizi informatici debbano includere specifici requisiti cyber. Questa disposizione trasforma la spesa pubblica in un potente strumento di politica industriale, incentivando il mercato a orientarsi verso fornitori affidabili e promuovendo lo sviluppo di una filiera tecnologica nazionale ed europea. Si tratta di un’attuazione concreta dell’obiettivo UE di ridurre la dipendenza strategica da fornitori ad alto rischio.
Crittografia sovrana e responsabilità degli enti
Sotto un altro profilo, viene introdotto l’obbligo di rispettare le linee guida dell’ACN e del Garante Privacy sulla crittografia. Questa misura rappresenta una chiara mossa verso la sovranità digitale, garantendo che le tecnologie fondamentali per la protezione dei dati e delle comunicazioni siano conformi a standard di sicurezza nazionali e rafforzando il controllo su asset digitali strategici.
La strategia italiana si completa con un deciso inasprimento delle pene per i reati informatici e con l’ampliamento della responsabilità amministrativa degli enti (D.lgs. 231/2001). Questo duplice intervento mira a creare un ambiente digitale più sicuro, aumentando la deterrenza e responsabilizzando direttamente le organizzazioni per la loro postura di sicurezza, allineandosi all’obiettivo europeo di una cultura della sicurezza diffusa e pervasiva.
Dal rischio alla opportunità: il bivio del sistema-paese
Il Cybersecurity Act 2 segna un’evoluzione decisiva nella politica europea, spostando inequivocabilmente il focus dalla mera conformità normativa alla costruzione di una reale sovranità digitale strategica. Non si tratta più solo di difendersi dagli attacchi, ma di plasmare attivamente un mercato unico digitale basato sulla fiducia, la resilienza e l’autonomia tecnologica.
L’implementazione di una strategia così ambiziosa presenta sia sfide significative che opportunità strategiche per l’Italia, posizionando il Paese di fronte a un bivio cruciale per il suo futuro digitale.
Le sfide dell’implementazione normativa
Le difficoltà pratiche non possono essere sottovalutate. L’impatto dei costi di conformità potrebbe gravare pesantemente sul tessuto economico italiano, composto in gran parte da piccole e medie imprese (PMI). A ciò si aggiunge la persistente carenza di professionisti con competenze specialistiche, un problema europeo con forti ricadute nazionali. Infine, sarà cruciale bilanciare le rigide misure di sicurezza con la necessità di non soffocare l’agilità e l’innovazione.
Opportunità strategiche e vantaggi competitivi
Tuttavia, queste sfide sono direttamente affrontate dalle opportunità strategiche che il nuovo quadro normativo crea. La necessità di fornitori affidabili, indotta sia dal CSA2 che dalla legge italiana, rappresenta la soluzione di mercato alla dipendenza da attori ad alto rischio. Le aziende tecnologiche italiane ed europee possono sfruttare il nuovo quadro di certificazione UE per affermarsi come fornitori di fiducia (trusted vendors) nel mercato unico.
Una solida e verificabile postura cyber non è più solo un costo, ma un vantaggio competitivo tangibile. Questo costruisce fiducia nel mercato unico digitale, crea un premio per la tecnologia certificata “Made in Europe” e posiziona l’Italia come un polo digitale sicuro e resiliente, attraendo investimenti globali e consolidando il suo ruolo strategico. Il successo della sua effettiva implementazione sarà un indicatore chiave per il resto dell’Unione.
Verso una maturazione industriale della cybersecurity italiana
Ad avviso di chi scrive, per colmare il divario tecnologico e raggiungere una reale sovranità digitale, l’Italia e l’Europa non possono affidarsi esclusivamente alle startup, ma devono favorire la crescita di attori industriali di dimensioni maggiori, capaci di competere su scala globale. Attualmente, infatti, i 2/3 dei prodotti e servizi di cybersecurity utilizzati in Italia (sia in ambito civile che militare) sono forniti da soggetti non nazionali e non saranno di certo le tante startup italiane a poter competere in questo scenario.
Per velocizzare la strategia e creare la “massa critica” necessaria, appare non più rimandabile quello che alcuni addetti ai lavori chiamano “Cyberpark” nazionale o poli di competenza.
Un punto fondamentale di questa strategia sono le acquisizioni strategiche e aggregazioni industriali che, se guardiamo il mercato, sono ancora principalmente guidate da fondi di investimento esteri su società italiane, con scopo ovviamente nel breve/medio termine e di tipo marcatamente opportunistico. L’Italia, di contro, dovrà rafforzare la propria strategia industriale cyber nel medio-lungo periodo e con approccio non speculativo tradizionale, tipico dei fondi di investimento classici.
Casi di successo: Telsy e il Polo Strategico Nazionale
Un esempio di maturazione industriale positiva, che è tornata pienamente nel perimetro italiano grazie a Poste Italiane, è il caso Telsy, con le acquisizioni di QTI (specializzata in quantum key distribution) e di TSWay sulla cyber threat intelligence. Questo ha consentito di sviluppare prodotti di crittografia post-quantum e di intelligence con una filiera interamente nazionale.
Altri esempi interessanti da citare sono il Polo Strategico Nazionale (PSN), dove la collaborazione pubblico-privata è essenziale per garantire la sicurezza e la sovranità dei dati strategici e critici. In questo caso, si potrebbe decidere di spingere oltre questo progetto, per aiutare il sistema paese ad avere infrastrutture nazionali anziché appoggiarsi sempre a cloud pubblici esteri.
Ma non basta. Servono altri progetti, altri attori di analoga importanza per poter competere con i grandi brand internazionali, in un contesto geopolitico di cybersecurity che si sta complicando sempre più.
Le sfide future: oltre la normativa verso la sovranità reale
Per ridurre la dipendenza da fornitori extra-UE ad alto rischio, non bastano le normative e le certificazioni. Se queste norme, corrette e virtuose nell’impostazione, spingeranno il mercato a rivolgersi a fornitori “trusted” europei, creando enormi opportunità (stimate in 2 miliardi di euro l’anno di nuovi ricavi per i fornitori affidabili), dall’altro lato dovremmo avere più aziende adeguatamente mature per poter condurre questi progetti. Il rischio, infatti, è avere aziende con fondamenta deboli seppure italiane ed europee alle quali delegare la nostra sicurezza cyber. Sarà tutto apparentemente ottimale e Made in Italy, ma avremmo un livello di cyber non adeguato al rischio di questo periodo storico internazionale.
