Con il #Cybersecurity Act 2 l’Unione europea compie un passo deciso verso una concezione più matura e politica della sicurezza informatica. La proposta presentata dalla #Commissione #europea non si limita ad aggiornare strumenti tecnici o a rafforzare le difese contro gli #attacchicyber, ma ridisegna l’intero perimetro della #protezione #digitale europea, collocandola esplicitamente nel contesto delle tensioni geopolitiche globali.
Rispetto al primo Cybersecurity Act del 2019, il contesto è profondamente cambiato. Gli attacchi informatici non sono più eventi isolati o circoscritti a singole aziende: colpiscono infrastrutture critiche, servizi essenziali, istituzioni pubbliche e cittadini, spesso come parte di strategie più ampie di destabilizzazione. Il cyberspazio è diventato un vero e proprio terreno di conflitto, dove criminalità organizzata, attori statali e interessi geopolitici si sovrappongono.
È in questo scenario che Bruxelles sceglie di intervenire con un approccio più incisivo. Il Cybersecurity Act 2 rafforza innanzitutto il ruolo dell’#ENISA, trasformandola da agenzia prevalentemente di supporto e coordinamento a soggetto con funzioni operative più marcate. ENISA diventerà un punto di riferimento unico per la segnalazione degli incidenti informatici, riducendo la frammentazione degli obblighi di notifica e facilitando la risposta coordinata agli attacchi, in particolare a quelli di tipo ransomware.
Accanto a questo, l’agenzia sarà chiamata a sviluppare capacità comuni di gestione delle vulnerabilità e a offrire servizi di assistenza alle imprese colpite, in collaborazione con le autorità nazionali e con Europol. È un cambio di passo significativo, che riconosce come la sicurezza informatica non possa più essere demandata esclusivamente agli Stati membri, ma richieda una regia europea.
Il cuore più innovativo – e politicamente sensibile – della proposta riguarda però la sicurezza delle catene di approvvigionamento ICT. Per la prima volta l’Unione introduce regole vincolanti che permettono di intervenire non solo su aspetti tecnici, ma anche su fattori di rischio legati al contesto geopolitico e al controllo dei fornitori. In sostanza, Bruxelles si riserva la possibilità di escludere dai mercati critici europei aziende collegate a Paesi considerati a rischio per la sicurezza informatica.
Questa scelta segna una rottura con il passato. Finora, strumenti come il Toolbox 5G si basavano su raccomandazioni e misure volontarie, applicate in modo disomogeneo dai diversi Stati membri. Il risultato è stato un mercato frammentato, in cui alcuni Paesi hanno limitato l’uso di fornitori ritenuti sensibili, mentre altri hanno continuato a utilizzarne le tecnologie. Con il Cybersecurity Act 2, l’Unione tenta di superare questa ambiguità, affermando che la sicurezza delle reti non è solo una questione nazionale, ma un interesse comune europeo.
Naturalmente, una simile impostazione solleva interrogativi delicati. Le aziende coinvolte temono discriminazioni basate sull’origine geografica più che su criteri tecnici oggettivi, mentre alcuni osservatori avvertono il rischio di contenziosi legali e tensioni commerciali. Tuttavia, dal punto di vista dell’Unione, la posta in gioco è più ampia: ridurre dipendenze strategiche, rafforzare la resilienza delle infrastrutture critiche e proteggere il funzionamento del mercato interno in un contesto di competizione globale sempre più aspra.
Il pacchetto include anche una riforma del sistema europeo di certificazione della sicurezza informatica, finora ritenuto troppo lento e poco efficace. L’obiettivo è rendere le certificazioni più snelle e allineate agli standard internazionali, favorendo prodotti e servizi sicuri fin dalla fase di progettazione. Parallelamente, vengono introdotte semplificazioni alla direttiva NIS 2 per ridurre gli oneri burocratici sulle imprese, soprattutto le più piccole, senza abbassare il livello di protezione.
Il Cybersecurity Act 2 racconta un’Europa più consapevole della propria vulnerabilità digitale e più determinata a difendere la propria autonomia tecnologica. Non si tratta solo di contrastare hacker e ransomware, ma di affermare un principio politico: in un mondo iperconnesso, la sicurezza informatica è parte integrante della sicurezza collettiva.
Il percorso legislativo sarà lungo e complesso, e il dibattito tra Parlamento, Consiglio e Stati membri metterà in luce interessi divergenti. Ma una cosa appare ormai chiara: per l’Unione europea la cybersicurezza non è più un tema tecnico riservato agli specialisti, bensì una leva strategica fondamentale per proteggere economia, democrazia e cittadini.
