La Commissione europea ha presentato un nuovo pacchetto sulla cybersecurity per rafforzare la resilienza digitale dell’Unione in un contesto segnato da attacchi informatici e ibridi sempre più frequenti e sofisticati contro infrastrutture critiche, servizi essenziali e istituzioni democratiche.
Il pacchetto include una proposta di revisione del Cybersecurity Act, che introduce un approccio armonizzato e basato sul rischio alla sicurezza delle supply chain ICT. L’obiettivo è ridurre le vulnerabilità sistemiche, in particolare quelle legate a fornitori di paesi terzi ad alto rischio, in continuità con le misure già adottate per la sicurezza delle reti 5G.
La sicurezza della supply chain ICT diventa così un elemento centrale della difesa europea. I recenti incidenti hanno dimostrato come vulnerabilità in componenti hardware, software o servizi gestiti possano propagarsi rapidamente lungo l’intera catena del valore. Il nuovo Cybersecurity Act introduce un quadro armonizzato e risk-based per l’analisi e la mitigazione dei rischi nei 18 settori critici dell’UE, includendo esplicitamente la valutazione del profilo di rischio dei fornitori e delle interferenze esterne. Particolare attenzione è rivolta alle reti di telecomunicazione mobili, in continuità con il toolbox 5G, prevedendo misure obbligatorie nei confronti di vendor considerati ad alto rischio.
Un altro asse strategico è la riforma del European Cybersecurity Certification Framework (ECCF). L’obiettivo è superare la frammentazione e la lentezza dei processi attuali, introducendo schemi di certificazione più rapidi (fino a 12 mesi), chiari e orientati al mercato. La certificazione, gestita dall’ENISA, si configura come strumento volontario ma altamente strategico per dimostrare la security-by-design di prodotti, servizi, processi e servizi di sicurezza gestiti. Per le imprese europee, l’ECCF rappresenta non solo un mezzo di compliance normativa, ma anche un fattore di competitività e fiducia lungo supply chain sempre più complesse.
Il pacchetto affronta inoltre uno dei nodi più critici per il settore: la complessità della compliance. Le modifiche alla Direttiva NIS2 mirano a migliorare la chiarezza giuridica, razionalizzare gli obblighi di segnalazione e introdurre uno sportello unico per la notifica degli incidenti, riducendo significativamente l’impatto su PMI e imprese a media capitalizzazione. L’obiettivo dichiarato è spostare risorse dalla burocrazia alla gestione attiva del rischio e alla capacità di risposta agli incidenti.
In questo ecosistema rafforzato, l’ENISA consolida il proprio ruolo di hub operativo della cybersecurity europea. Oltre al supporto agli Stati membri nella prevenzione e risposta agli incidenti, l’Agenzia sarà coinvolta nella gestione coordinata delle crisi ransomware, nello sviluppo di servizi avanzati di vulnerability management e nel potenziamento delle competenze attraverso la Cybersecurity Skills Academy e programmi di certificazione professionale a livello UE.
