L’Unione Europea è esposta ad attacchi cyber e ibridi quotidiani che colpiscono “servizi essenziali e istituzioni democratiche”, portati avanti da gruppi “statali e criminali sofisticati”. È una formulazione che fotografa una pressione continua: non si parla soltanto di incidenti isolati o di campagne ransomware, ma di un livello di minaccia capace di mettere in discussione la continuità operativa dei servizi critici e la fiducia nelle istituzioni.
In questa cornice la Commissione europea ha messo sul tavolo un nuovo pacchetto di cybersecurity con l’obiettivo dichiarato di rafforzare resilienza e capacità di risposta dell’Ue “di fronte a queste minacce in crescita”, si legge nel comunicato. L’obiettivo è quello di ridurre la frammentazione, aumentare il coordinamento e rendere più misurabile il livello di sicurezza lungo l’ecosistema tecnologico, dalla progettazione dei prodotti fino ai servizi gestiti.
Indice degli argomenti
Più resilienza, più capacità, più governance
La proposta ruota attorno alla revisione del Cybersecurity Act (CSA), ma si presenta come un intervento complessivo che prova a tenere insieme tre piani: sicurezza della catena di fornitura Ict, certificazione europea e semplificazione della compliance, con un Enisa ulteriormente potenziata.
L’impianto vuole essere operativo: rendere più semplice certificare prodotti e servizi “sicuri dal punto di vista cyber fin dalla progettazione”, facilitare il rispetto delle norme già esistenti e dare all’agenzia europea un ruolo più incisivo nel supporto agli Stati membri e nella gestione delle minacce.
La revisione del Cybersecurity Act e la svolta sulla sicurezza della filiera Ict
Il cuore della revisione sta nel rafforzamento della sicurezza della catena di fornitura Ict, soprattutto quando entrano in gioco fornitori di Paesi terzi “con preoccupazioni in materia di cybersecurity”. La Commissione propone un quadro “affidabile” fondato su un approccio armonizzato, proporzionato e basato sul rischio, con l’obiettivo di permettere a Unione europea e Stati membri di identificare e mitigare i rischi nei 18 settori critici europei, tenendo conto anche degli impatti economici e delle dinamiche di offerta di mercato.
Nel contesto geopolitico attuale, la sicurezza della filiera viene letta anche in termini di dipendenze e interferenze esterne, oltre che di sicurezza tecnica di prodotti e servizi. Questo cambio di prospettiva sposta l’attenzione dal rafforzamento del singolo componente alla solidità del sistema di approvvigionamento.
Dentro questo disegno si colloca uno dei passaggi più sensibili per le tlc: l’atto rivisto “consentirà la riduzione obbligatoria del rischio nelle reti europee di telecomunicazioni mobili rispetto a fornitori di Paesi terzi considerati ad alto rischio”, in continuità con il lavoro svolto nel perimetro della 5G security toolbox. L’impatto potenziale riguarda scelte infrastrutturali pluriennali, architetture di rete, contratti e catene di fornitura.
Su questo aspetto è intervenuta la commissaria Henna Virkkunen, responsabile del settore sovranità tecnologica, chiarendo alcuni soetti. “Nella proposta odierna non abbiamo definito una lista di Paesi o di società verso i quali abbiamo una preoccupazione relativa alla sicurezza ai fini del Cybersecurity Act – ha spiegato – La lista sarà il frutto delle valutazioni che saranno fatte una volta che il regolamento diventerà legge”. Per quanto riguarda le misure eventualmente possibili, questo possono anche comprendere l’accesso a programmi Ue e a gare pubbliche d’appalto.
Certificazione europea: più rapida, più chiara, più “di mercato”
Il pacchetto promette di rendere la certificazione di cybersecurity più efficace attraverso un rinnovato European Cybersecurity Certification Framework. L’obiettivo è maggiore chiarezza e procedure semplificate, con schemi di certificazione sviluppabili “entro 12 mesi come impostazione predefinita” e una governance più trasparente, capace di coinvolgere i portatori di interesse tramite informazione pubblica e consultazione.
La certificazione, nella visione proposta, dovrebbe diventare uno strumento pratico e volontario per le imprese, utile a dimostrare conformità alla legislazione Ue e quindi a ridurre oneri e costi complessivi. L’ambizione è trasformarla in un asset competitivo: per le aziende come leva di posizionamento, per cittadini e PA come garanzia di fiducia in catene di fornitura complesse.
Il perimetro si amplia oltre i prodotti Ict: servizi, processi e servizi di sicurezza gestiti, fino alla possibilità per aziende e organizzazioni di certificare la propria postura cyber in base a esigenze di mercato.
Compliance: verso meno sovrapposizioni, con un occhio a Nis2
La Commissione inserisce anche misure di semplificazione della compliance e dei requisiti di gestione del rischio, in parallelo con il “punto unico di accesso per la segnalazione degli incidenti” proposto nel Digital Omnibus. L’obiettivo è ridurre la dispersione: più chiarezza legale, meno ambiguità e un flusso più lineare di adempimenti e segnalazioni.
Sono previste modifiche mirate alla Nis2 per aumentare la chiarezza e alleggerire l’adempimento per decine di migliaia di aziende, incluse micro e piccole imprese, oltre all’introduzione di una nuova categoria di “piccole imprese a media capitalizzazione” per ridurre i costi di compliance. Si parla anche di semplificazione delle regole di giurisdizione, di un miglior flusso dati sugli attacchi ransomware e di una supervisione più agevole delle entità transfrontaliere con un Enisa “con un ruolo di coordinamento rafforzato”.
Enisa potenziata
Dal 2019 a oggi Enisa è cresciuta fino a diventare “un pilastro dell’ecosistema europeo di cybersecurity”. La proposta mira a renderla ancora più centrale: aiutare Unione europea e Stati membri a comprendere le minacce comuni e a prepararsi e rispondere agli incidenti.
Tra le funzioni più operative: allerta precoce su minacce e incidenti; supporto alle aziende nella risposta e nel recupero dagli attacchi ransomware “in cooperazione con Europol e con i Computer Security Incident Response Teams”; sviluppo di un approccio “a livello di Unione” per migliorare i servizi di gestione delle vulnerabilità; e la gestione del “punto unico” per l’incident reporting previsto nel Digital Omnibus.
Resta anche la dimensione competenze, con la sperimentazione della Cybersecurity Skills Academy e schemi di attestazione delle competenze a livello Ue.
La posizione di Connect Europe
Nel dibattito entra Connect Europe, che rappresenta circa il 70% degli investimenti del settore connettività. L’associazione “prende atto” della proposta di revisione del Cybersecurity Act, ma richiama il quadro generale: mentre la dipendenza europea dalla connettività cresce e il rischio evolve, la sicurezza di reti e servizi “non è soltanto una necessità tecnica: è un pilastro della resilienza dell’Europa”. La frase definisce la posta in gioco: per le tlc la cybersecurity è parte della continuità del servizio e della resilienza complessiva.
Connect Europe ribadisce l’impegno nell’implementazione della Nis2 e degli altri requisiti nazionali ed europei, ma avverte sui rischi di un eccesso di oneri regolatori. Gli operatori devono affrontare investimenti elevati per completare roll-out 5G e fibra, in un contesto in cui condizioni regolatorie e mancanza di scala limitano la capacità di investire. Da qui la preoccupazione che l’adozione della bozza attuale del CSA possa aggravare il carico con costi aggiuntivi per miliardi di euro, peraltro “che oggi rischiano di essere sottostimati”.
Il punto più delicato riguarda gli obblighi sulla catena di fornitura Ict: secondo Connect Europe rischiano di imporre vincoli ulteriori significativi. Se questi vincoli non sono “fondati su valutazioni del rischio solide e basate su evidenze” e non sono accompagnati da misure mitigative come meccanismi di rimborso dei costi, l’impatto potrebbe essere “rilevante e negativo” su deployment, continuità operativa e pianificazione degli investimenti. Il messaggio è che l’Europa ha bisogno di più investimenti in connettività, non di un freno.
Proporzionalità, rischio e applicabilità: il punto di equilibrio che farà la differenza
La questione centrale è come definire requisiti di sicurezza efficaci e applicabili su infrastrutture con cicli di modernizzazione lunghi. Connect Europe insiste su un approccio “basato sul rischio, proporzionato e concretamente applicabile”, chiedendo che la revisione del CSA produca semplificazione, riduca sovrapposizioni con Nis2, Dora, Cra e altri framework e renda la certificazione europea “rilevante per il mercato” senza schemi obbligatori costosi e non testati che offrano valore limitato nella pratica.
C’è anche un punto istituzionale: le misure sulla catena di fornitura devono seguire un approccio basato sul rischio, rispettando “le competenze degli Stati membri per le questioni di sicurezza nazionale”. È un passaggio che incide sul modo in cui gli Stati membri gestiscono il derisking dei fornitori e sulla prevedibilità necessaria per i piani industriali.
Connect Europe chiede ai legislatori Ue di correggere la proposta nel processo legislativo per ottenere risultati di sicurezza efficaci senza compromettere la competitività digitale europea.
Il plauso della Computer & Communications Industry Association
Un plauso al pacchetto arrica dalla Ccia (Computer & Communications Industry Association). “La Commissione ha adottato l’approccio corretto, ancorando la certificazione dei servizi digitali a criteri di sicurezza tecnici e oggettivi, invece di piegarsi a interventi politici – sottolinea Mitchell Rutledge, Technology and Security Policy Manager di Ccia Europe – Il Cybersecurity Act aveva da tempo bisogno di un vero e proprio riavvio, capace di ridurre la frammentazione e di fornire certificazioni applicabili nel mondo reale, non un dibattito infinito su una grossolana esclusione dal mercato basata sul Paese di origine.
“Invitiamo le istituzioni dell’UE a continuare a resistere alla tentazione protezionistica di reintrodurre restrizioni discriminatorie che danneggerebbero la sicurezza dell’ecosistema digitale europeo, e a offrire invece un quadro chiaro e prevedibile su come vengono condotte, in tutta Europa, le valutazioni dei fornitori ad alto rischio lungo la catena di fornitura Ict”, conclude.
I prossimi passaggi: entrata in vigore e recepimento
Sul piano istituzionale, il Cybersecurity Act sarebbe applicabile immediatamente dopo l’approvazione da parte del Parlamento europeo e del Consiglio. In parallelo viaggiano gli emendamenti alla Nis2 che, una volta adottati, darebbero agli Stati membri un anno per il recepimento nel diritto nazionale e la comunicazione dei testi alla Commissione.
La partita si giocherà tra impianto europeo e attuazione nazionale, tra obiettivi comuni e capacità operative, tra sicurezza della filiera e sostenibilità economica dei piani di rete. Il risultato dipenderà dalla calibrazione di obblighi, certificazioni e strumenti di supporto e dalla capacità di trasformare la compliance in sicurezza misurabile e operativa.
