Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

l'analisi

Revisione del Cyber Security Act: una questione di sovranità UE

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

La revisione del Cyber Security Act ridisegna il quadro normativo europeo: la certificazione diventa strumento di compliance, la supply chain ICT ottiene criteri comuni, ma il nodo della sovranità tecnologica resta irrisolto, penalizzando le PMI digitali nel mercato europeo

Pubblicato il 27 apr 2026
Davide Iaccarino

membro dell’Assintel Cyber Think Tank – Cybersecurity & Data Project Manager della European Digital SME Alliance

sovranità digitale europea (2) (1) ai continent action plan
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

La revisione del Cyber Security Act è molto più di un aggiornamento tecnico: ridisegna il rapporto tra certificazione, compliance e sovranità digitale nell’Unione Europea. Un cambiamento che riguarda da vicino le PMI digitali, chiamate a operare in mercati sempre più strategici e geopoliticamente sensibili.

Cybersecurity Act 2 e sovranità digitale: la sfida europea e italiana

Cyber Security Act, perché la revisione cambia le regole del gioco per le imprese

La revisione del Cyber Security Act (CSA), dunque, segna un cambio di prospettiva nell’approccio dell’UE: la cybersicurezza smette di essere una questione puramente tecnica, e diventa anche un elemento strategico di sovranità, fiducia e controllo delle infrastrutture digitali critiche.

Con l’entrata in vigore della Direttiva NIS2, del Cyber Resilience Act (CRA) e delle norme settoriali, la proposta della Commissione riconosce tanto la necessità di alleggerire il carico della compliance, soprattutto per le PMI, quanto l’urgenza di affrontare i rischi non tecnici nelle catene di fornitura. La revisione del CSA mira a rispondere a queste sfide attraverso la semplificazione, l’armonizzazione e un approccio più strategico alla sicurezza della supply chain.

La certificazione diventa un abilitatore di compliance

Uno degli aspetti più rilevanti della revisione riguarda il riposizionamento della certificazione di cybersicurezza, che passa da essere uno strumento volontario di mercato a essere un meccanismo abilitante per la compliance normativa. Ancorando esplicitamente gli schemi di certificazione alla legislazione UE, la proposta fa sì che la certificazione possa valere come dimostrazione di conformità ai requisiti di NIS2 e del CRA.

In concreto, questo significa che le imprese potranno:

  • Affidarsi a certificazioni basate su standard per dimostrare la conformità a più atti legislativi in modo simultaneo;
  • Ridurre la ripetizione di audit, questionari e richieste di documentazione;
  • Operare all’interno di un unico framework riconosciuto invece di gestire processi paralleli di conformità.

L’introduzione della certificazione a livello di entità, con un focus iniziale sulle entità NIS2, consente alle aziende di attestare la propria postura di sicurezza in modo unitario e strutturato. Si tratta di un cambiamento importante: semplificare senza abbassare il livello di sicurezza richiesto.

Supply chain ICT: un quadro europeo comune contro la frammentazione normativa

La revisione del CSA introduce anche un quadro orizzontale a livello UE per la sicurezza della supply chain ICT. La proposta ha l’obiettivo di superare la frammentazione del modello precedente basato sulle norme nazionali, istituendo criteri comuni di valutazione dei rischi sia tecnici che non tecnici con coordinamento a livello europeo.

Per le PMI digitali europee, si tratta di un passo avanti significativo. Valutazioni del rischio condotte a livello UE possono ridurre la frammentazione, aumentare la prevedibilità e consentire ai fornitori europei di competere oltre i confini nazionali senza doversi adeguare a requisiti di sicurezza differenti in ogni Stato Membro.

Attraverso valutazioni del rischio coordinate e l’identificazione dei fornitori ad alto rischio, la revisione del CSA può migliorare la capacità dell’Europa di gestire le dipendenze tecnologiche in modo più coerente, rafforzando la sua sovranità tecnologica e definendo condizioni più chiare per le PMI ICT che operano come fornitori affidabili nel Mercato Unico.

Perché la revisione del CSA conta per le PMI digitali

Per le PMI digitali, la revisione del CSA incide direttamente su come vengono valutate come fornitori in mercati sempre più strategici e geopoliticamente sensibili. La sicurezza della supply chain non è più una questione puramente tecnica: dipendenza, fiducia e controllo sulle infrastrutture digitali critiche sono diventati criteri di valutazione a tutti gli effetti.

In concreto, la revisione del CSA può consentire alle PMI di:

  • Ridurre la duplicazione degli adempimenti grazie alla presunzione di conformità e alle certificazioni basate su standard;
  • Semplificare la dimostrazione della maturità in cybersicurezza attraverso la certificazione a livello di entità;
  • Diminuire la pressione operativa durante gli incidenti tramite la segnalazione con punto di accesso unico;
  • Disporre di requisiti più chiari e uniformi a livello UE rispetto alle operazioni transfrontaliere.

Diventare un fornitore affidabile per entità critiche significa oggi saper dimostrare una postura di sicurezza coerente e credibile su più livelli: quello normativo, quello di mercato e quello geopolitico.

Il collegamento mancante tra cybersicurezza e sovranità tecnologica

Allo stesso tempo, la revisione compie una scelta deliberata: mantenere la certificazione di cybersicurezza focalizzata principalmente su criteri tecnici, nonostante le disposizioni sulla supply chain affrontino esplicitamente rischi non tecnici e legati alle dipendenze.

Certificazione e supply chain: un disallineamento strutturale

Questo crea un disallineamento strutturale, particolarmente penalizzante per le PMI digitali che operano in mercati strategici:

  • I clienti valutano sempre più congiuntamente fiducia, resilienza e dipendenze;
  • Gli schemi di certificazione non riflettono ancora queste dimensioni;
  • La differenziazione dei fornitori europei affidabili su questi criteri rimane limitata.

Dopo anni di dibattito senza esito sull’integrazione dei rischi non tecnici negli schemi di certificazione UE — di cui il caso dello schema EUCS per i servizi cloud è l’esempio più noto — la Commissione ha scelto di tenere separati certificazione e valutazione dei rischi della supply chain. Si tratta di una scelta pragmatica, ma che lascia aperto un problema strutturale: le regole sulla supply chain incorporano ormai considerazioni su sovranità, dipendenza e rischi strategici, mentre la certificazione rimane confinata ai soli criteri tecnici.

Per le piccole e medie imprese del settore digitale il risultato è che non esisterà ancora uno strumento europeo che consenta di differenziarsi dai concorrenti sulla base del livello di sovranità, nonostante quest’ultimo pesi sempre più nelle decisioni di acquisto dei clienti pubblici e privati.

Conclusioni: la strada è giusta, serve più ambizione

Guardando al futuro, il successo della revisione del CSA dipenderà dalla capacità dell’Europa di colmare il divario tra le modalità di valutazione del rischio e le capacità di dimostrare sovranità e attrarre fiducia. Per impegnarsi a colmare questo divario, Assintel ha recentemente aderito alla European DIGITAL SME Alliance — il principale network europeo di PMI digitali, con oltre 45.000 imprese rappresentate in tutta l’Unione – che si impegna attraverso iniziative come il Catalogo della Sovranità Tecnologica.

La revisione del CSA rappresenta un passo avanti reale. L’Europa ha capito che cybersicurezza e sovranità tecnologica non si possono più separare. Ma se si vuole davvero ridurre le dipendenze tecnologiche e permettere alle imprese europee, a partire dalle PMI, di competere come fornitori affidabili e sovrani, gli schemi di certificazione dovranno riflettere anche queste dimensioni.

Sarà inoltre fondamentale garantire che i meccanismi di semplificazione rimangano concretamente accessibili alle PMI: una semplificazione formale che non si traduce in un vantaggio operativo reale rischia di avere effetti anche peggiori dell’assenza di semplificazione.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

I
Davide Iaccarino
membro dell’Assintel Cyber Think Tank – Cybersecurity & Data Project Manager della European Digital SME Alliance
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • infrastrutture digitali pubbliche DevSecOps nella PA

  • cyber exposure management

    Infrastrutture critiche: perché la sicurezza fisica non basta più

    27 Feb 2026

    di Carlos Buenano

    Condividi
  • CIA e AI; Ai cybersecurity

  • la guida

    AI per la cybersecurity, ecco come proteggersi dalle minacce informatiche

    16 Mag 2025

    di Federica Maria Rita Livelli

    Condividi
  • hate speech online cultura del gratis

  • odio online

    Hate speech: perché i social proteggono gli odiatori da tastiera

    16 Lug 2025

    di Niccolò Lasorsa Borgomaneri e Marco Signorelli

    Condividi
0
Lascia un commento, la tua opinione conta.x