Argomenti trattati
Il Cybersecurity Act 2 rappresenta una proposta normativa europea che potrebbe trasformare in profondità le infrastrutture di telecomunicazione. Presentato il 20 gennaio 2026, il testo amplia il perimetro della regolazione rispetto al Regolamento (UE) 2019/881 e introduce strumenti nuovi e stringenti per gestire i rischi nelle catene di fornitura ICT. Per molte imprese italiane ed europee la questione non è più teorica: si tratta di valutare costi, tempi e rischi operativi derivanti da obblighi che toccano hardware, software e processi di certificazione.
La discussione che si è aperta è fortemente politicizzata e attraversata da istanze di sicurezza nazionale, interessi industriali e tensioni commerciali internazionali. In questo contesto il testo non solo rafforza il ruolo dell’ENISA e aggiorna il quadro di certificazione europeo, ma introduce un quadro orizzontale per la sicurezza delle catene di approvvigionamento ICT, con conseguenze concrete su appalti, certificazioni e partecipazione ai processi di standardizzazione.
Che cosa introduce il regolamento
La proposta del Cybersecurity Act 2 interviene su tre direttrici principali: il rafforzamento dell’ENISA, la revisione del quadro di certificazione e la definizione di regole per le catene di approvvigionamento ICT. La novità più impattante è il meccanismo che consente alla Commissione di individuare paesi terzi e, conseguentemente, qualificare come fornitori ad alto rischio soggetti stabiliti o controllati in quei paesi. Questo approccio estende la valutazione del rischio oltre la sola componente tecnica, includendo elementi di natura strategica e geopolitica che incidono direttamente sulle possibilità di utilizzo di determinati apparati nelle reti critiche.
Il meccanismo dei fornitori ad alto rischio
La designazione comporta effetti pratici: esclusione da gare pubbliche, divieto di ottenere certificazioni europee e obblighi di phase-out con tempi massimi definiti (fino a trentasei mesi). Il testo impone l’esclusione da diciotto settori ritenuti critici, tra cui energia, trasporti e sanità, ampliando il raggio d’azione rispetto alle misure mirate al 5G. Dal punto di vista giuridico questo strumento ricorda analoghe liste di paesi o fornitori presenti in altre giurisdizioni, ma la sua applicazione su scala europea solleva dubbi su competenze, proporzionalità e impatto sul mercato interno.
Geopolitica, reazioni e implicazioni commerciali
L’intento dichiarato è incrementare la sovranità digitale e proteggere le infrastrutture critiche, ma il risultato operativo colloca l’Unione Europea in una traiettoria transatlantica che allinea molte scelte di sicurezza a quelle già attuate negli Stati Uniti e nel Regno Unito. Questa convergenza riduce la possibilità per alcuni Stati membri di adottare valutazioni nazionali più sfumate, e al tempo stesso può trasformare le relazioni commerciali con paesi terzi in un terreno di forte tensione politica.
La pressione della Cina e le obiezioni formali
Le autorità cinesi hanno risposto formalmente inviando osservazioni a Bruxelles (tra cui note arrivate il 17 aprile) e minacciano contromisure sulla base delle proprie norme commerciali e di sicurezza delle catene. Pechino contesta la compatibilità del testo con le regole dell’Organizzazione mondiale del commercio e denuncia discriminazioni economiche, chiedendo la rimozione di elementi centrali come i criteri per la lista dei paesi o la qualificazione dei fornitori. La disputa mette sul piatto anche il rischio di ritorsioni e la possibilità di un irrigidimento delle relazioni economiche tra UE e Cina.
Impatto sull’industria delle telecomunicazioni e sulle PMI
Dal versante industriale emergono preoccupazioni concrete: molti operatori regionali e provider indipendenti hanno montato negli anni apparati scelti per costo-efficacia ed efficienza energetica che oggi potrebbero essere dichiarati non utilizzabili. L’Associazione Italiana Internet Provider (AIIP) ha stimato investimenti significativi in hardware suscettibile di essere compreso nelle liste di rischio, e il costo di una sostituzione forzata per il solo segmento dei provider italiani è stato valutato in oltre un miliardo di euro, considerando migrazione, test, smaltimento e formazione del personale.
Costi, tempistiche e alternative tecnologiche
Il mercato degli apparati di rete non offre sempre alternative equivalenti nei segmenti dell’accesso fisso, del GPON e di dispositivi per l’aggregazione: questo può tradursi in un peggioramento tecnico, in maggiori costi e in rifiuti elettronici su larga scala. Allo stesso tempo resta sottovalutata un’altra dipendenza critica: quella dai grandi fornitori cloud statunitensi, che oggi controllano una quota rilevante del mercato cloud europeo e rappresentano un rischio sistemico per servizi essenziali. La sfida regolatoria, dunque, richiede una valutazione equilibrata tra limitazioni hardware e vulnerabilità legate al cloud.
Profili legali e il caso Elisa Eesti AS
Il tema delle competenze e del rispetto delle libertà economiche è già approdato alla giustizia europea: il caso Elisa Eesti AS chiesto alla Corte di giustizia riguarda l’esclusione di apparati di un fornitore ritenuto ad alto rischio. L’opinione dell’avvocato generale propone che gli Stati membri possano, in linea di principio, adottare misure di esclusione per motivi di sicurezza nazionale, ma la decisione finale sarà cruciale per definire i confini della competenza europea e i diritti di impresa tutelati dalla Carta dei diritti fondamentali.
La strada verso un accordo politico sul Cybersecurity Act 2 è ancora lunga: le negoziazioni in trilogo sono attese nel corso del 2026, con l’obiettivo di un’intesa per l’inizio del 2027. Tra obiezioni giuridiche, pressioni internazionali e costi concreti per gli operatori, l’Unione deve bilanciare la necessità di proteggere le infrastrutture critiche con la tutela della concorrenza, dell’innovazione e della resilienza industriale.