L’Europa sta prendendo finalmente sul serio la cybersecurity: non solo proteggersi, ma governare
Commenti
L’Europa ha finalmente smesso di raccontarsi la cybersecurity come un capitolo tecnico, da delegare agli “informatici”, e la sta trattando per ciò che è: un pezzo di sovranità, di sicurezza nazionale ed economica, e – soprattutto – di tenuta democratica dei servizi essenziali. Il “New Cybersecurity Package” presentato adesso dalla Commissione fotografa un contesto in cui gli attacchi ibridi non sono più un rumore di fondo, ma una pressione sistematica capace di bloccare energia, trasporti, sanità, banche, acqua, cioè i nervi vitali di una società avanzata.
Nel documento si richiamano dati che, letti senza retorica, sono già un atto di accusa verso l’inerzia politica: il costo globale del cybercrime ha superato i 9 trilioni di euro nel 2025; il ransomware è indicato come la minaccia più impattante del 2025 e viene persino prospettato un ritmo “ogni 2 secondi” entro il 2031; tra le minacce più rilevanti compaiono gli attacchi alla supply chain e l’effetto dirompente di AI e quantum computing sulle difese tradizionali. Il punto è che, se la minaccia è sistemica, anche la risposta deve esserlo: e qui la Commissione propone di rivedere il Cybersecurity Act per costruire un impianto “orizzontale” sulla sicurezza delle catene di fornitura ICT, con un focus esplicito sui rischi legati a Paesi terzi ritenuti fonte di preoccupazioni di cybersecurity.
In concreto: valutazioni coordinate a livello UE dei rischi e delle vulnerabilità in specifiche supply chain; identificazione degli “asset chiave” nelle catene; misure mirate di mitigazione che possono arrivare fino al divieto di utilizzare componenti di fornitori ad alto rischio in asset chiave, previa analisi di mercato e valutazione dell’impatto economico.
È una svolta concettuale rilevante: non si discute più solo di “proteggere i sistemi”, ma di governare il rischio geopolitico incorporato nella tecnologia che compriamo, integriamo e rendiamo infrastruttura. Eppure, proprio qui si gioca l’equilibrio più delicato: trasformare la sicurezza della supply chain in una politica industriale coerente, senza ridurla a una guerra di etichette tra “fornitori buoni” e “fornitori cattivi”, e senza scaricare i costi di riconversione sui soggetti più deboli (pubbliche amministrazioni locali, sanità territoriale, PMI) che già oggi faticano a sostenere obblighi frammentati e contraddittori. La Commissione tenta di prevenire il rischio “burocrazia come difesa” intervenendo su due leve: certificazione e compliance. Sul primo fronte, propone un quadro europeo di certificazione più semplice e “security-by-design”, includendo una novità politicamente significativa: la possibilità di certificare non solo prodotti/servizi, ma anche la “cyber posture” delle organizzazioni, cioè una sorta di attestazione sintetica del livello di maturità e controllo.
Questa scelta può diventare un’arma a doppio taglio: se è seria, misurabile e auditabile, aiuta mercato e PA a selezionare fornitori e partner riducendo asimmetrie informative; se invece diventa un bollino reputazionale acquistabile, rischia di istituzionalizzare la cosmetica della sicurezza – quella che nei tribunali e negli incident response chiamiamo, brutalmente, “carta contro ransomware”. Non a caso il pacchetto lega la semplificazione a tempi e procedure: un timeline “di default” di 12 mesi per sviluppare gli schemi, con procedure snellite. Sul secondo fronte, la Commissione promette linee guida più chiare e un’armonizzazione dell’applicazione dei requisiti, per ridurre i costi di compliance soprattutto per chi opera in più Stati membri.
E qui compare un dato che merita attenzione perché rovescia un luogo comune: non è vero che l’Europa pensa solo a “imporre”; prova anche a semplificare, dichiarando un obiettivo di facilitazione per 28.700 aziende, incluse 6.200 micro e piccole imprese, tramite “targeted NIS2 amendments”, e soprattutto armonizzando i requisiti di supply chain che le entità NIS2 scaricano sui loro fornitori. È una partita cruciale: oggi la compliance cyber è spesso un gioco a cascata in cui i grandi trasferiscono obblighi ai piccoli, ma i piccoli non hanno né risorse né potere contrattuale per governare davvero la sicurezza. Un’armonizzazione intelligente può ridurre il caos; un’armonizzazione mal concepita può invece standardizzare l’adempimento e non la resilienza, con il paradosso di rendere i sistemi più “uniformi” e quindi più vulnerabili a campagne di attacco scalabili.
Allora la domanda non è se l’architettura sia “bella”, ma se sarà effettiva. Il successo dipenderà da come verrà protetto chi segnala, da come verranno trattati i dati di incidente, e da quanto la filiera “reporting → supporto → remediation” sarà concreta, rapida, e misurabile.
In definitiva, questo nuovo pacchetto europeo ha un merito: sposta il baricentro dall’illusione della “sicurezza per compliance” a una strategia che prova a integrare supply chain, certificazione e capacità operativa. Ma la vera posta in gioco è evitare che il nuovo impianto produca un’altra iper-regolazione che fa sentire “a posto” le organizzazioni senza renderle più difendibili quando l’attacco arriva. Se l’UE vuole davvero “address these security risks while strengthening its cybersecurity”, come dichiara il factsheet, deve pretendere che ogni certificazione e ogni obbligo si traducano in evidenze verificabili. Perché la cybersecurity, nel 2026, non è più un tema di tecnologia: è un tema di prova, di accountability e di fiducia pubblica.
