Anatomia del Cybersecurity Act 2 : NIS2 “ritoccata” e l’idea di una supply chain “trusted”, perché questa proposta è più politica di quanto sembri
Il 20 gennaio 2026, la Commissione UE ha presentato il Cybersecurity Act 2 , COM(2026) 11, una proposta di revisione della legge sulla sicurezza informatica (https://digital-strategy.ec.europa.eu/it/library/proposal-regulation-eu-cybersecurity-act) .
Chiamarla “revisione ordinaria” è una scelta narrativa, non una descrizione accurata. Quando un legislatore rimette mano ad una direttiva che ha appena iniziato a produrre effetti, e la NIS2 è del 2022, con recepimenti recentissimi, in Italia è legge da ottobre 2024, non sta facendo manutenzione, sta intervenendo prima che il sistema si stabilizzi, cioè nel momento in cui le prassi non hanno ancora creato un equilibrio tra obblighi, controlli, capacità operative e mercato.
Questo è, per definizione, un intervento di potere, significa che la Commissione non vuole aspettare che la NIS2 “sedimenti”, perché nel frattempo si è consolidata una consapevolezza più dura di quella che la direttiva del 2022 presupponeva. Quella consapevolezza è semplice e scomoda: l’insicurezza digitale non è più un tema principalmente tecnico.
Insicurezza digitale e supply chain: il rischio non è più solo tecnico
Non è un caso che l’impact assessment associato al pacchetto di modifiche riconosca, con dati e trend, quanto le compromissioni via supply chain siano diventate centrali e quanto i tempi di individuazione e contenimento risultino sistematicamente peggiori rispetto agli attacchi diretti. Il problema, dunque, non è che l’Europa “si svegli”, il problema è cosa decide di fare una volta sveglia. Nella proposta si evince non solo una richiesta di maggiore compliance ma il ridisegno delle leve di comando.Letta in controluce, la proposta compie tre spostamenti simultanei del centro di gravità del comando.
Il primo riguarda ENISA: da agenzia che coordina e pubblica report a infrastruttura che gestisce strumenti, canali, piattaforme e capacità mobilitabili. Gli early alerts strutturati verso i CSIRT, il supporto diretto nella risposta al ransomware, la gestione di piattaforme comuni per il reporting e l’idea di una riserva europea di capacità operativa non sono dettagli, sono la costruzione di un layer tecnico sovranazionale che, nelle crisi vere, non si limita a osservare e consigliare ma entra nella filiera dell’azione. Chi come me opera da decadi nella cybersecurity, sa che chi controlla lo standard operativo ed il canale informativo, controlla una parte sostanziale della risposta.
Il secondo spostamento riguarda la NIS2 e il suo pilastro informativo. Il registro europeo in capo a ENISA, alimentato dai single points of contact nazionali con obbligo di trasmissione senza ritardi, è una scelta apparentemente amministrativa ma strategicamente potente. Una mappa comune non serve soltanto a “fare ordine”, ma abilita una situational awareness transfrontaliera, accelera la mutual assistance, rende possibili analisi aggregate che nessuno Stato può produrre da solo e, soprattutto, crea un punto di riferimento europeo su cosa sia “critico” e dove. In sicurezza, una mappa è potere perché orienta priorità, risorse e narrativa del rischio, e come ogni infrastruttura informativa centralizzata, può diventare anche uno strumento di pressione nei momenti di tensione politica, proprio perché concentra visibilità.
Il terzo spostamento è quello più rivelatore, la cornice “trusted supply chain” per le reti di comunicazione digitale e la normalizzazione del rischio “non tecnico” come categoria regolatoria. Qui la proposta smette di parlare solo la lingua del patching e dell’audit e inizia a parlare la lingua del controllo. Il rischio non tecnico viene agganciato in modo esplicito alla possibilità che un fornitore sia influenzato da un Paese terzo, con effetti che vanno dall’interruzione del servizio alla compromissione del prodotto fino all’esfiltrazione dei dati anche per spionaggio.
È la formalizzazione giuridica di un principio che per anni è rimasto confinato al dibattito politico sulle telecomunicazioni, non basta che il prodotto sia sicuro “in laboratorio”, bisogna chiedersi chi controlla il fornitore, a quale giurisdizione risponde e quali pressioni esterne potrebbe subire. La vulnerabilità non è più solo un difetto tecnico, diventa anche un problema di affiliazione, di governance, di catena di comando.
In questo contesto, una singola prescrizione apparentemente tecnica vale più di molte pagine di principi generali, la richiesta che gli strumenti di comunicazione sicura, utilizzati nelle reti europee di coordinamento cyber, siano forniti da soggetti non stabiliti né controllati da Paesi terzi. È una frase breve ma dirompente perché introduce una regola di “igiene geopolitica” nel cuore del coordinamento istituzionale.
Non dice soltanto “usate strumenti sicuri”, dice “usate strumenti non contestabili sul piano del controllo giurisdizionale”, e qui il nesso con un programma UE tech-oriented diventa evidente, non serve proclamare campioni europei o distribuire sussidi a caso, basta cambiare la domanda regolatoria.. e il mercato segue. È industrial policy per via indiretta, procurement e requisiti di governance trasformati in architettura di mercato.
Ransomware, tracciabilità e “follow the money” nella nuova NIS2
Le modifiche alla NIS2 confermano questa traiettoria, l’introduzione del dettaglio sul ransomware, con la possibilità per CSIRT e autorità di richiedere informazioni su richiesta di riscatto e pagamento, importo, mezzo e destinatario, non è un perfezionamento burocratico, è l’ingresso del “follow the money” nel perimetro della disciplina cyber.
Non si vieta il pagamento, sarebbe ingenuo e spesso controproducente, ma si normalizza la tracciabilità, e normalizzandola si rende il pagamento un atto che lascia tracce istituzionali con conseguenze legali, reputazionali e investigative. La deterrenza non passa più soltanto dalla prevenzione tecnica, ma dall’erosione dell’opacità economica che rende il ransomware sostenibile.
Accanto a tutto questo, l’insistenza sull’ implementing acts e la “maximum harmonisation” è la guerra silenziosa contro la frammentazione nazionale. La Commissione tenta di impedire che, fissata una baseline tecnica a livello UE, ogni Stato la riscriva aggiungendo strati ulteriori e incompatibili. L’argomento è presentato come efficienza e semplicità, ed è vero, una baseline unica è più implementabile, quindi potenzialmente più efficace. Ma c’è anche un effetto politico inevitabile: riduce lo spazio per la sovranità tecnica nazionale e consolida l’UE come luogo in cui si stabilisce “quanto sicura” debba essere, in termini minimi e misurabili, l’economia digitale europea.
Dentro questo quadro, il ruolo di un’autorità come ACN tende a cambiare natura. Non perché una proposta UE scriva “ACN farà X”, ma perché il sistema si riposiziona, chi è punto di contatto nazionale diventa un nodo operativo di una rete che richiede flussi strutturati verso ENISA, capacità di gestire richieste informative più sensibili (anche finanziarie nel caso ransomware), contributo a valutazioni di filiera che incorporano criteri geopolitici e interoperabilità tecnica con piattaforme europee. ACN non sarebbe più soltanto vigilanza e recepimento, sarebbe anche qualità dei dati europei, coordinamento operativo, partecipazione a mutual assistance standardizzata, gestione di strumenti e canali che inevitabilmente aumentano la responsabilità e l’esposizione.
Cybersecurity Act 2 e sovranità digitale UE: big tech, de-risking e rischio di centralizzazione
A questo punto la domanda inevitabile è quella che spesso resta sullo sfondo, ma decide la sostenibilità politica del progetto, l’UE è davvero in grado di fare a meno della tecnologia straniera? Se la domanda significa “può sostituire integralmente, in tempi ragionevoli, l’intero stack digitale oggi dominato da attori extra-UE ?”, la risposta realistica è NO.
Non senza costi enormi, non senza un rallentamento dell’innovazione e non senza un rischio di inefficienza sistemica. La dipendenza non è solo commerciale, è tecnologica, culturale e organizzativa. Molti servizi sono diventati infrastruttura perché hanno creato ecosistemi, competenze diffuse, compatibilità di fatto, supply chain già ottimizzate e soprattutto un fattore di scala. Pensare a un taglio netto sarebbe più ideologico che strategico.
Ma se si pone la domanda nel modo corretto: “può ridurre le dipendenze critiche e rendersi capace di scegliere, senza essere ricattabile?”, allora SI, l’UE può farlo, e questo pacchetto va letto proprio come una tecnologia politica per arrivarci.
Fare a meno non significa autarchia, significa costruire opzionalità. Vuol dire poter spostare un carico di lavoro sensibile, poter cambiare fornitore senza paralisi, poter coordinare una crisi senza passare da canali giuridicamente contestabili, poter mantenere continuità operativa anche se un attore esterno cambia condizioni, prezzi, policy o diventa oggetto di tensioni geopolitiche. In sostanza, non è un progetto di sostituzione totale, ma di neutralizzazione del lock-in sistemico.
Il come allora, non passa dal duplicare tutto ciò che esiste fuori dall’Europa, ma dal presidiare i punti di controllo, identità e gestione delle chiavi, canali di comunicazione e coordinamento istituzionale, capacità di incident response federata, standard di reporting e telemetria, requisiti di portabilità e reversibilità contrattuale, certificazioni che non siano solo bollini ma condizioni di accesso ai segmenti critici del mercato.
Passa anche da una scelta industriale meno romantica e più dura, investire su infrastrutture e componenti che non si vedono ma che decidono la sovranità tecnica, come piattaforme cyber, di scambio e analisi, capacità forensi e di risposta, e un layer cloud/edge per i workload ad alta sensibilità, progettato per essere migrabile e non monolitico. Il fattore decisivo, infine, è il fattore di scala, senza procurement coordinato e standard applicabili ovunque, l’Europa continuerà a produrre magari ottime tecnologie che restano però piccole, mentre le big tech restano pervasivamente grandi.
In questa prospettiva, la pervasività delle big tech non è un destino, ma un vincolo. Un vincolo che l’UE può gestire solo se rinuncia alla fantasia della sovranità come isolamento e adotta una sovranità più moderna, la capacità di fissare le regole dei punti critici, garantire vie d’uscita praticabili e mantenere, nei gangli essenziali, strumenti e canali non dipendenti da architetture e controlli esterni. Il risultato non è una secessione digitale dall’ecosistema globale, ma un riequilibrio, restare interconnessi senza essere strutturalmente esposti.
E qui torna la geopolitica, senza bisogno di nominarla. Questa proposta non appare come ritorsione contro un Paese specifico; appare come un de-risking applicato al digitale, non tramite dazi o embarghi, ma tramite requisiti di controllo, standard operativi, piattaforme e condizioni di accesso al mercato pubblico e alle infrastrutture critiche.
Quando la resilienza diventa governance: il confine sottile del controllo
C’è inoltre un’ambivalenza, che vale la pena esplicitare senza scivolare né nel tecnicismo né nel complottismo, se questa proposta nasce per ridurre fragilità sistemiche, lo stesso movimento che la rende efficace, più piattaforme comuni, più registri, più standard operativi, più coordinamento sovranazionale, aumenta inevitabilmente anche la superficie politica del controllo. In altre parole, l’Europa sta costruendo muscoli, e i muscoli, per definizione, possono proteggere ma anche stringere.
Il punto non è sostenere che Cybersecurity Act 2 = sorveglianza, non è quello che i testi dicono. Il punto è che quando si centralizzano strumenti, canali e mappe, diventa più facile, domani, spostare la finalità d’uso. È il rischio classico del “mission creep”, infrastrutture create per la resilienza finiscono per essere utilizzate come infrastrutture di governance sociale.
In questo senso, il dibattito ad es. sul cosiddetto Chat Control è un campanello culturale, dimostra quanto sia sottile il confine, nella politica europea contemporanea, tra protezione (minori, sicurezza, criminalità) e tentazione di normalizzare forme di controllo generalizzato o di scansione preventiva delle comunicazioni. Anche quando l’intenzione dichiarata è genuina, l’effetto istituzionale può essere quello di rendere pensabile ciò che prima era impensabile, soprattutto se la tecnologia “abilitante” è già lì.
Su questo si inserisce un secondo rischio, più concreto e spesso più realistico rispetto alla grande narrazione delle “èlite”: il lobbying dei Paesi terzi. In particolare, considerando anche il livello di “fragilità etica” che caratterizza alcuni ambiti decisionali dell’UE, esiste il rischio che proposte, inizialmente presentate come tecniche (standard, certificazioni, requisiti di filiera, liste di rischio, procedure di procurement, etc.), vengano modificate sotto la pressione di vari interessi.
In tal modo, si potrebbero favorire ancora una volta gli stessi attori di sempre, a scapito di altri, come già accaduto ad esempio con il progetto GAIA-X. In una prima bozza, tale progetto prevedeva una federazione di provider esclusivamente europei, ma nella seconda versione è stato senza giustificazioni plausibili, se non tramite soluzioni tecniche contorte, esteso anche ai soliti provider extra-UE, annullando di fatto lo spirito originario del progetto.
Non è necessario immaginare una cabina di regia unica che “controlli” ogni aspetto, basta una combinazione di incentivi, asimmetrie informative e dipendenze economiche per trasformare una normativa concepita per garantire la sicurezza in uno strumento che, passo dopo passo, consolida posizioni dominanti, permettendo il ritorno in scena di chi era stato escluso per motivi obiettivamente incompatibili con la sicurezza nazionale ed europea.
La cybersecurity è diventa una lingua usata per parlare di potere economico, non solo di rischio, è un cambio di regime presentato come aggiornamento tecnico, perché oggi, nell’UE, la geopolitica più efficace non si deve annunciare, ma implementare.
Progettista di sistemi esperti, software developer, network e system engineer, con oltre 30 anni di esperienza nell’ambito della sicurezza delle informazioni, Francesco Arruzzoli è il Resp. del Centro Studi Cyber Defense Cerbeyra, dove svolge attività di R&D, analisi delle cyber minacce e progettazione di nuove soluzioni per la cyber security di aziende ed enti governativi. Esperto di Cyber Threat Intelligence e contromisure digitali, autore di libri ed articoli sue riviste del settore, in passato ha lavorato per multinazionali, aziende della sanità italiana, collaborato con enti governativi e militari. In qualità di esperto cyber ha svolto inoltre attività di docenza presso alcune università italiane.
