L’Unione europea ha deciso di trattare la cybersecurity come una questione che va oltre la protezione dei sistemi informatici. Con il nuovo Cybersecurity Package presentato dalla Commissione, la sicurezza digitale entra in modo esplicito nella politica industriale e nella sicurezza economica dell’Unione. Il messaggio è implicito ma leggibile. La resilienza tecnologica dipende certamente dalla capacità di reagire agli attacchi, ma anche dalla struttura delle filiere che rendono quegli attacchi possibili, efficaci o difficili da gestire.
Il pacchetto si muove lungo due direttrici che si rafforzano a vicenda. La prima riguarda la revisione del Cybersecurity Act, con l’obiettivo di razionalizzare i sistemi di certificazione europei e rafforzare il quadro di fiducia comune. La seconda interviene sulla supply chain, introducendo meccanismi che consentono di limitare o rimuovere progressivamente componenti e apparati di fornitori considerati ad alto rischio nei settori critici.
Dalla sicurezza tecnica alla sicurezza di filiera
Il passaggio più rilevante è il cambio di perimetro. La nozione di fornitore ad alto rischio, già emersa nel contesto delle reti 5G, viene estesa a un numero molto più ampio di ambiti. Secondo le ricostruzioni più attendibili, il perimetro include diciotto settori ritenuti sensibili, tra cui cloud, semiconduttori, dispositivi medici, droni e infrastrutture energetiche. Questo significa che l’impatto delle nuove misure non si concentra più su pochi operatori delle telecomunicazioni, ma coinvolge una parte consistente dell’industria digitale europea e delle sue catene di approvvigionamento.
Dal punto di vista formale, i testi europei evitano di indicare fornitori specifici. La categoria resta costruita su criteri di rischio astratti, legati a governance, controllo statale, accesso ai dati e ruolo nelle infrastrutture critiche. Nella pratica, però, il riferimento è chiaro. I casi già emersi nel contenzioso sul 5G continuano a fare da sfondo, a partire da Huawei e altri fornitori cinesi, che da anni sono oggetto di restrizioni o esclusioni progressive in diversi Stati membri. La differenza, oggi, è che quella logica non resta confinata alle reti mobili, ma viene estesa a intere filiere tecnologiche.
Il modello regolatorio evita divieti nominali e si fonda su una procedura graduale. La valutazione del rischio può essere avviata dalla Commissione o da gruppi qualificati di Stati membri. A valle di analisi di mercato e valutazioni di impatto, possono essere adottate misure di restrizione o di phase-out, con tempistiche differenziate in base al settore. Per le reti mobili, ad esempio, si ipotizza una finestra di trentasei mesi per la rimozione dei componenti considerati critici dopo la pubblicazione della lista dei fornitori ad alto rischio.
Secure by design e razionalizzazione degli obblighi
Il secondo asse del pacchetto agisce in modo meno visibile ma più strutturale. La Commissione rafforza la spinta verso requisiti di sicurezza integrati nel ciclo di vita dei prodotti e dei servizi digitali, in continuità con il percorso già tracciato dal Cyber Resilience Act. La sicurezza entra nella progettazione, negli aggiornamenti e nella manutenzione, trasformandosi in un requisito di base e non in un’aggiunta successiva.
In questo contesto, la revisione del Cybersecurity Act promette una semplificazione dei sistemi di certificazione, tema molto sentito dalle imprese alle prese con una frammentazione crescente degli obblighi. Allo stesso tempo, il livello di sicurezza atteso viene innalzato. I riferimenti a interventi mirati sulla direttiva NIS2 vanno letti come un tentativo di rendere più eseguibile un quadro normativo che include anche il regolamento sulla protezione dei dati e altri regimi settoriali. Per molti operatori il problema principale resta la gestione coerente degli adempimenti, più che la loro legittimità.
Gli effetti del pacchetto si manifestano anche prima dell’approvazione definitiva. La due diligence sui fornitori assume una dimensione regolatoria, i contratti vengono rivisti alla luce di possibili esclusioni future e i costi di transizione diventano una variabile concreta per infrastrutture e sistemi con cicli di vita lunghi. La sicurezza smette di essere una funzione isolata e diventa un metodo che attraversa progettazione, approvvigionamento e governance.
Nel suo insieme, il Cybersecurity Package segnala una traiettoria ormai chiara. L’Europa utilizza la regolazione della sicurezza digitale come leva per indirizzare il mercato, ridurre le dipendenze strategiche e costruire criteri comuni di fiducia. È una scelta che intreccia sicurezza, concorrenza e commercio internazionale e che apre inevitabilmente spazi di tensione, ma che riflette l’ambizione di governare il digitale invece di limitarne soltanto gli effetti.
