di Oreste Pollicino – www.huffingtonpost.it – 06 Maggio 2026
La proposta Ue di revisione del Cybersecurity Act punta a rafforzare controlli e certificazioni sui fornitori tecnologici, soprattutto nei settori più sensibili come telecomunicazioni ed energia. Oggi non conta solo se una tecnologia è sicura, ma anche chi la produce, da dove arriva e quanto sia affidabile tutta la rete di aziende coinvolte
Questo articolo è stato scritto con Rebecca Pupella, avvocato, legal advisor Pollicino & Partners Advisory
Negli ultimi giorni, il dibattito riacceso dal caso Salt Typhoon e dal recente incidente che ha coinvolto Sistemi Informativi, società del gruppo IBM, ha riportato al centro una verità semplice ma decisiva: la sicurezza delle reti non riguarda soltanto i grandi operatori delle telecomunicazioni, ma anche i soggetti che, a monte, forniscono infrastrutture, servizi e soluzioni digitali a supporto di funzioni pubbliche e private essenziali. È proprio la dimensione di filiera a rendere particolarmente sensibile anche un incidente circoscritto: non rileva soltanto il perimetro formalmente colpito, ma il ruolo che quell’ambiente svolge nell’ecosistema digitale complessivo.
È in questa prospettiva che va letta la proposta della Commissione europea del 20 gennaio 2026 di revisione del Regolamento (UE) 2019/881 (Cybersecurity Act). L’intervento si inserisce in un quadro regolatorio già articolato, che comprende il Cyber Resilience Act, la Direttiva (UE) 2022/2555 e il Regolamento (UE) 2022/2554, e si colloca nel più ampio processo di rafforzamento della resilienza digitale dell’Unione europea.
La proposta interviene sul sistema europeo di certificazione della cybersecurity, imperniato sul ruolo di ENISA e basato su schemi di certificazione per prodotti, servizi e processi ICT. Nella sua configurazione originaria, tale sistema si fonda prevalentemente su strumenti volontari, volti a definire livelli comuni di garanzia della sicurezza. La revisione mira a rendere questo framework più efficace e coordinato, anche nel rapporto tra le autorità europee e quelle nazionali.
Le implicazioni geopolitiche emergono soprattutto dal contesto in cui la proposta è stata presentata: il rafforzamento del quadro europeo di cybersecurity si accompagna a iniziative volte a ridurre progressivamente la presenza, nelle infrastrutture critiche, di componenti e tecnologie provenienti da fornitori considerati ad alto rischio, in particolare nei settori delle telecomunicazioni e dell’energia. Pur in assenza di riferimenti espliciti a specifici operatori o giurisdizioni, questa traiettoria segnala una crescente attenzione alla sicurezza della supply chain ICT e ai rischi connessi alla provenienza delle tecnologie.
Il punto, quindi, non è soltanto la sicurezza tecnica del singolo prodotto, servizio o processo ICT, ma la fiducia nell’intera filiera: chi sviluppa la tecnologia, chi la fornisce, in quale contesto regolatorio e geopolitico opera e quali effetti sistemici potrebbe produrre una sua compromissione.
Questo orientamento riflette un’evoluzione del modello europeo: da un approccio fondato principalmente su strumenti volontari, raccomandazioni e standard tecnici, verso una maggiore integrazione tra requisiti di sicurezza, gestione del rischio e condizioni di utilizzo delle tecnologie in contesti critici. Non si tratta necessariamente di trasformare ogni certificazione in un requisito obbligatorio di accesso al mercato, ma di rendere la conformità agli standard europei e la valutazione dei fornitori elementi sempre più rilevanti nelle scelte di procurement e nella gestione delle infrastrutture strategiche.
Le reazioni internazionali confermano la rilevanza geopolitica di questa evoluzione: alcuni Paesi terzi hanno espresso preoccupazione per il possibile impatto delle nuove misure sugli investimenti e sulle relazioni economiche, segnalando il rischio che requisiti di sicurezza più stringenti possano tradursi, di fatto, in barriere all’accesso al mercato.
In questo quadro, la sicurezza della supply chain ICT, già centrale nella Direttiva (UE) 2022/2555, assume una valenza che va oltre la dimensione strettamente tecnica. Gli obblighi di gestione dei rischi legati ai fornitori impongono infatti di valutare non solo le caratteristiche tecnologiche delle soluzioni adottate, ma anche il contesto in cui tali soluzioni sono sviluppate, fornite e mantenute e gli strumenti di certificazione possono contribuire a rendere queste valutazioni più omogenee e a rafforzare il coordinamento tra Stati membri.
Nel complesso, la proposta si inserisce in una traiettoria in cui la cybersecurity assume una dimensione sempre più strategica. Il rafforzamento dei requisiti tecnici, dei meccanismi di certificazione e delle valutazioni sui fornitori contribuisce a definire le condizioni concrete di utilizzo delle tecnologie nel mercato europeo, con effetti che si estendono oltre il perimetro strettamente normativo. La portata effettiva di tali effetti dipenderà dall’evoluzione del processo legislativo e dalle modalità di attuazione del nuovo quadro.
