Argomenti trattati
Negli ultimi anni la sovranità digitale è salita al centro del dibattito pubblico e delle politiche dell’UE. Il pacchetto legislativo noto come Cybersecurity Act 2 propone nuovi criteri per la gestione del rischio nelle catene di approvvigionamento ICT, introducendo valutazioni che mescolano elementi tecnici e fattori geopolitici. Questa iniziativa, presentata dalla Commissione il 20 gennaio 2026, mira a ridurre le dipendenze da fornitori esterni ritenuti ad alto rischio, ma apre questioni economiche, giuridiche e operative che richiedono un bilanciamento attento.
La posta in gioco non è solo tecnica: la proposta sposta competenze decisionali verso Bruxelles, definendo meccanismi per etichettare stati e produttori come posing cybersecurity concerns o fornitori ad alto rischio (HRV). Questo approccio solleva dubbi di proporzionalità e di sussidiarietà, in particolare per paesi come l’Italia che dispongono già di strumenti nazionali avanzati per la sicurezza. Il confronto tra obiettivi strategici e costi reali per il mercato è oggi centrale per comprendere l’impatto della riforma.
Il cuore del Cybersecurity Act 2
Il CSA2 ha l’ambizione di costruire una governance europea più coerente della cybersicurezza, integrando direttive già esistenti come la NIS 2 e strumenti come il Cyber Resilience Act. Nel testo si prevede un quadro armonizzato per la gestione dei rischi geopolitici nelle catene di approvvigionamento, con l’obiettivo di accelerare l’adozione di sistemi di certificazione europei e creare una presunzione di conformità che faciliti la compliance. Tuttavia, alcune misure vanno oltre le valutazioni tecniche tradizionali e introducono poteri decisionali di natura politica a livello comunitario.
Obiettivi e novità principali
Tra le novità più rilevanti figura la possibilità di vietare la commercializzazione di prodotti riconducibili a paesi che sollevano preoccupazioni di sicurezza, oltre all’imposizione di obblighi di sostituzione degli apparati già installati senza misure compensative. Per le reti mobili 5G si prevede un phase-out massimo di 36 mesi per componenti forniti da operatori ad alto rischio e misure analoghe, seppure con tempistiche differenziate, sono contemplate per la rete fissa. Queste disposizioni rappresentano un cambio di paradigma nel rapporto tra politica e tecnologia.
Meccanismi pratici e responsabilità
Il regolamento attribuisce alla Commissione e all’ENISA poteri più ampi per definire liste di paesi e produttori, decidere i tempi di sostituzione e stabilire criteri di idoneità dei prodotti. Questo centralismo operativo riduce la discrezionalità nazionale in materia di sicurezza, accendendo il dibattito sulla corretta applicazione del principio di sussidiarietà. L’effetto pratico potrebbe essere un processo decisionale più veloce ma anche meno sensibile alle diversità territoriali e agli investimenti già realizzati dagli operatori.
Impatto economico e criticità per l’industria
Le imprese del settore hanno espresso preoccupazioni sul costo e sulla rapidità delle misure: la Commissione stima i costi di dismissione dei componenti HRV per la rete mobile tra 3,4 e 4,3 miliardi l’anno per tre anni, mentre gli operatori parlano di oneri significativamente superiori, indicandoli in «non meno di 10 miliardi» all’anno. A questi si aggiungerebbero i costi per la rete fissa, i rallentamenti operativi e il rischio di concentrazione del mercato qualora alcuni fornitori venissero esclusi.
Il caso italiano e la dimensione della sussidiarietà
L’Italia si presenta con un quadro nazionale già maturo: un buon posizionamento nel Global Cybersecurity Index 2026 e strumenti come il Perimetro di Sicurezza Nazionale Cibernetica e il Golden Power consentono controlli su tecnologie critiche. Inoltre, i vincoli applicati agli operatori che hanno ricevuto fondi del PNRR per il 5G includono monitoraggio e trasparenza. Questo contesto rende legittimo interrogarsi sulla necessità e sulla proporzionalità di un trasferimento di poteri così esteso a livello UE.
Strumenti nazionali e armonizzazione
Pur riconoscendo l’utilità di coordinare la sicurezza a livello europeo, alcune parti del CSA2 sembrano sovrapporsi con competenze già esercitate dagli Stati membri. È dunque essenziale che il processo di armonizzazione preservi margini di discrezionalità per le scelte nazionali e che il legislatore europeo accompagni gli obblighi con misure di supporto finanziario e industriale per evitare che i costi ricadano in modo sproporzionato su pochi attori.
Verso una sovranità strategica sostenibile
La sfida principale è trasformare un insieme di regole in una strategia esterna coerente che non comprometta la competitività europea. Serve un approccio graduale, basato su analisi tecnico-economiche approfondite e su incentivi per lo sviluppo di capacità produttive locali. Solo così la sovranità tecnologica potrà tradursi in resilienza reale senza sostituire una dipendenza estera con un’altra o penalizzare gli investimenti già effettuati.
In conclusione, il dibattito sul Cybersecurity Act 2 mette a confronto necessità di sicurezza e vincoli economici: trovare un equilibrio credibile richiederà tempo, dialogo tra istituzioni e industria e strumenti che uniscano regole chiare a sostegni concreti per la trasformazione delle catene di valore.