eu space act

EU Space Act: lo spazio come infrastruttura critica e il nuovo paradigma normativo per la resilienza cyber

A cura di:Redazione Ore

L’EU Space Act rappresenta una risposta europea a una trasformazione radicale del dominio spaziale. Quando il 24 febbraio 2022, poche ore prima dell’invasione russa dell’Ucraina, un attacco cyber ha compromesso decine di migliaia di modem satellitari della rete KA-SAT di Viasat, il mondo ha assistito alla prima dimostrazione su larga scala di quanto le infrastrutture orbitali siano diventate teatro di conflitto e quanto la loro vulnerabilità possa propagarsi ben oltre i confini del teatro bellico originario. Le turbine eoliche tedesche di Enercon rimaste improvvisamente isolate, i servizi internet interrotti in mezza Europa, le comunicazioni militari ucraine compromesse: l’effetto domino scatenato dal malware AcidRain ha certificato l’urgenza di un ripensamento strategico sulla governance dello spazio.

È proprio in questo contesto che si inserisce l’EU Space Act, la proposta di regolamento presentata dalla Commissione Europea il 25 giugno 2025, che rappresenta il primo tentativo organico di creare un mercato unico europeo per le attività spaziali.

L’iniziativa arriva in un momento cruciale: con oltre undicimila satelliti attualmente attivi in orbita e proiezioni che stimano cinquantamila nuovi lanci entro il 2035, lo spazio extra-atmosferico si configura sempre più come un’infrastruttura critica al pari delle reti elettriche, delle comunicazioni terrestri e dei sistemi finanziari. Non a caso, la Direttiva NIS2 ha inserito per la prima volta le infrastrutture spaziali tra i settori essenziali soggetti a stringenti obblighi di cybersecurity, riconoscendo formalmente l’interdipendenza tra orbita terrestre e continuità dei servizi vitali per economia e società.

Tre pilastri per un ecosistema spaziale resiliente

Il regolamento europeo si articola su tre pilastri fondamentali che riflettono le lezioni apprese dai recenti eventi geopolitici. La sicurezza operativa costituisce il primo asse: introdurre sistemi robusti di tracciamento degli oggetti spaziali, mitigare la proliferazione dei detriti orbitali e garantire lo smaltimento sicuro dei satelliti a fine vita non sono più opzioni ma obblighi vincolanti per gli operatori. Con oltre centoventotto milioni di frammenti di detriti spaziali catalogati, il rischio di collisioni catastrofiche che potrebbero innescare la temuta sindrome di Kessler non è più un’ipotesi accademica ma una minaccia concreta alla sostenibilità dell’ambiente orbitale.

Il secondo pilastro, quello della resilienza, merita un’attenzione particolare da parte dei professionisti della cybersecurity. L’EU Space Act introduce requisiti di sicurezza informatica specifici per l’intero ciclo di vita dei sistemi spaziali, dalla progettazione alla dismissione. Gli operatori dovranno condurre valutazioni di rischio approfondite che considerino non solo il segmento spaziale ma anche le infrastrutture di terra e l’intera catena di fornitura.

L’obbligo di implementare programmi di threat-led penetration testing prima di ogni lancio, con ripetizione almeno triennale, rappresenta una novità significativa mutuata dal Digital Operational Resilience Act applicato al settore finanziario. Particolarmente rilevante è la previsione di notifica degli incidenti di sicurezza entro dodici ore dalla rilevazione, una tempistica ancora più stringente rispetto alle ventiquattro ore previste dalla NIS2, che sottolinea l’urgenza percepita dalle istituzioni europee rispetto alle minacce cyber nel dominio spaziale.

Viasat: l’anatomia di un attacco che ha cambiato tutto

L’analisi del caso Viasat offre uno spaccato illuminante delle vulnerabilità che il nuovo quadro normativo intende affrontare. Gli attaccanti hanno sfruttato una gestione frammentata della rete satellitare: mentre Viasat controllava direttamente alcune partizioni del network KA-SAT, altre erano operate dalla società italiana Skylogic, sussidiaria di Eutelsat.

Questa frammentazione gestionale ha creato superfici di attacco multiple e ha ostacolato l’uniformità delle misure di sicurezza. L’ingresso nel sistema attraverso vulnerabilità nella VPN del centro di gestione di Torino, il movimento laterale verso i server di amministrazione e infine il deployment del wiper AcidRain che ha sovrascritto irreversibilmente la memoria flash di migliaia di modem, costituiscono una sequenza che evidenzia criticità su tutti i livelli dell’architettura spaziale: supply chain, segmento di terra e interfaccia utente.

Il malware condivideva somiglianze non banali con VPNFilter, strumento attribuito al gruppo Sandworm del GRU russo, e l’attacco è stato formalmente attribuito alla Russia da Stati Uniti, Regno Unito e dodici stati membri dell’Unione Europea. Oltre al danno diretto in Ucraina, l’incidente ha interrotto il monitoraggio remoto di circa cinquemilaottocento turbine eoliche in Germania, dimostrando come la compromissione di un’infrastruttura spaziale possa propagarsi in modo imprevedibile attraverso catene di interdipendenza complesse.

L’Italia anticipa l’Europa: la Legge 89/2025

L’Italia ha anticipato questa evoluzione normativa europea con l’adozione della Legge 13 giugno 2025 numero 89, pubblicata in Gazzetta Ufficiale il 24 giugno e immediatamente operativa. La normativa italiana, prima nel suo genere tra i paesi membri dell’Unione, introduce un sistema completo di autorizzazione per tutte le attività spaziali, affidando all’Agenzia Spaziale Italiana funzioni di vigilanza tecnica in coordinamento con il COMINT e la Presidenza del Consiglio.

Ciò che rende particolarmente interessante la legge italiana dal punto di vista della security è l’approccio integrato alla resilienza: l’articolo 5 subordina l’autorizzazione all’esercizio di attività spaziali al possesso di requisiti di idoneità tecnica che includono esplicitamente la resilienza dell’infrastruttura satellitare rispetto a rischi informatici, fisici e di interferenze. Non si tratta di un requisito secondario o accessorio, ma di un prerequisito abilitante il cui mancato rispetto può comportare la sospensione o la decadenza dell’autorizzazione stessa.

La legge italiana ha collocato il paese all’avanguardia in Europa, anticipando Francia e Germania e fornendo un quadro operativo immediato per l’industria nazionale. Tuttavia, come evidenziato da autorevoli analisi dell’Istituto Affari Internazionali, la cybersecurity è affrontata solo marginalmente nell’articolato normativo, mentre sarebbe necessaria una maggiore specificazione dei requisiti tecnici e dei meccanismi di verifica della conformità.

Le controversie sulla base giuridica: regolamento o direttiva?

Una delle questioni più dibattute riguarda la base giuridica dell’EU Space Act. La Commissione ha scelto di fondare la proposta sull’articolo 114 del Trattato sul Funzionamento dell’Unione Europea, relativo alla creazione del mercato interno, piuttosto che sull’articolo 189 specifico per lo spazio. Questa scelta, unitamente alla decisione di utilizzare lo strumento del regolamento invece di una direttiva, ha generato significative resistenze tra gli Stati membri, Italia inclusa.

L’articolo 189 TFEU attribuisce all’Unione competenze per promuovere il progresso scientifico e tecnico, la competitività industriale e l’implementazione delle politiche comunitarie, ma esclude esplicitamente qualsiasi armonizzazione delle disposizioni legislative e regolamentari degli Stati membri. Questa esclusione appare in contraddizione con l’obiettivo dichiarato di armonizzazione del regolamento proposto. Il ricorso all’articolo 114, invece, consentirebbe un allineamento di “intensità variabile”, dalla completa uniformità tecnica a standard minimi comuni, con l’obiettivo di eliminare ostacoli alla creazione di un mercato unico europeo per servizi, prodotti e dati spaziali.

Diversi Stati membri, tra cui l’Italia, hanno richiesto chiarimenti giuridici al Servizio Legale del Consiglio dell’Unione Europea e informazioni su casi di studio specifici di frammentazione del mercato interno che potrebbero giustificare l’invocazione dell’articolo 114. La Commissione dovrebbe sostanziare il ricorso a questa base giuridica con maggiore precisione e profondità, quantificando più chiaramente le distorsioni competitive nell’Allegato 6 della Valutazione d’Impatto.

La forma giuridica scelta – un regolamento di centoventinovesette articoli – presenta vantaggi e criticità. Da un lato, garantisce uniformità di applicazione e certezza del diritto in tutti gli Stati membri. Dall’altro, la sua rigidità intrinseca mal si concilia con un settore caratterizzato da rapida evoluzione tecnologica, cicli di innovazione accelerati e un grado elevato e diffuso di imprevedibilità. Una direttiva, invece, avrebbe offerto quella flessibilità necessaria per gestire un quadro istituzionale complesso sia a livello europeo che nazionale, consentendo agli Stati membri di adattare le disposizioni ai contesti nazionali esistenti e facilitando la transizione per quei paesi che hanno già adottato legislazioni spaziali proprie.

È significativo che l’Unione Europea abbia scelto lo strumento della direttiva per normative analoghe in settori critici comparabili: la Direttiva NIS2 del 2022 per la cybersecurity e la Direttiva CER del 2022 per la resilienza delle entità critiche. Entrambe stabiliscono standard minimi comuni ma consentono agli Stati membri margini di adattamento alle specificità nazionali. Le considerazioni politiche e strategiche che hanno portato a preferire lo strumento della direttiva nei casi di NIS2 e CER potrebbero, a maggior ragione, sostenere il perseguimento dello stesso percorso per lo Space Act, come raccomandato da autorevoli think tank italiani ed europei.

Il nodo della governance: troppe competenze, troppa burocrazia

Il modello di governance proposto dall’EU Space Act solleva interrogativi sulla distribuzione delle competenze e sui confini giuridici tra istituzioni europee e autorità nazionali. Il regolamento non affronta la frammentazione strutturale della governance spaziale europea, pur rafforzando le prerogative della Commissione Europea nel controllo e coordinamento delle attività spaziali. Una situazione simile a quella già osservata nel settore della difesa rischia di ripetersi: nonostante il rafforzamento sostanziale dei poteri della Commissione attraverso la Direzione Generale per l’Industria della Difesa e dello Spazio, la governance rimane ampiamente distribuita, insufficientemente razionalizzata e caratterizzata da tensioni tra istituzioni dell’Unione e Stati membri.

La frammentazione verrebbe ulteriormente accentuata dall’adozione dello Space Act, che prevede la creazione di organismi aggiuntivi. Un Compliance Board articolato in Safety Board, Resilience Board ed Environmental Board, oltre a un Appeal Board, dotati di poteri investigativi e sanzionatori di ampia portata. Il ruolo centrale assegnato alla Commissione solleva interrogativi non solo sull’espansione delle sue competenze nel settore spaziale rispetto agli Stati membri, ma anche sul sostanziale onere amministrativo e burocratico associato all’implementazione del regolamento e all’esercizio dei nuovi poteri.

Particolarmente critico è il rapporto tra l’Agenzia Spaziale Europea e l’Unione. Nella sua forma attuale, lo Space Act consolida il ruolo dell’Agenzia dell’Unione per il Programma Spaziale, assegnandole un ruolo centrale in stretta coordinazione con la Commissione, mentre l’ESA rimane principalmente un braccio tecnico, tecnologico e operativo, senza un ruolo sostanziale di definizione delle politiche.

L’ESA può agire come operatore spaziale per asset di proprietà dell’Unione, condurre valutazioni tecniche, fornire supporto sulle specifiche tecniche necessarie per la standardizzazione sotto la supervisione della Commissione e supportare gli Stati membri nell’esecuzione di valutazioni tecniche. Questa distribuzione dei ruoli non si discosta sostanzialmente dalla situazione attuale e non segue le ambizioni dell’ESA di espandere il proprio ruolo rispetto all’Unione, anche nel campo della sicurezza.

I costi della compliance: un fardello insostenibile?

Una delle preoccupazioni più significative riguarda l’impatto economico del regolamento sugli operatori spaziali. I costi di implementazione sono in larga parte a carico degli operatori, inclusi quelli di paesi terzi e organizzazioni internazionali, mentre il testo rimane vago sull’applicazione del principio di proporzionalità. La proposta menziona costi aggiuntivi che potrebbero portare a un incremento del dieci per cento nei costi di produzione satellitare. Per gli operatori di lancio, il testo cita costi aggiuntivi fino a un milione e mezzo di euro per lanciatori pesanti e fino a duecentomila euro per le PMI. L’istituzione di meccanismi di gestione del rischio comporterebbe inoltre un incremento del dieci per cento nei costi IT.

Secondo la Valutazione d’Impatto della Commissione, la tariffa iniziale di autorizzazione o licenza per ciascuna piattaforma satellitare o linea di servizio è stimata in circa centomila euro. Per i fornitori di servizi di lancio, le tariffe potrebbero variare da circa duecentomila euro per lanciatori più piccoli fino a un milione e mezzo di euro per veicoli di lancio pesanti, riflettendo la complessità e la scala delle valutazioni di sicurezza e conformità associate.

Un elemento di costo non adeguatamente contabilizzato riguarda i poteri di ispezione, sanzionamento e auditing che verrebbero conferiti all’EUSPA. Questi poteri introdurrebbero probabilmente nuovi obblighi di conformità con implicazioni finanziarie potenzialmente significative. Inoltre, il regolamento prevede la possibilità di imporre tariffe agli operatori, proporzionate al loro fatturato, per sostenere i costi operativi dell’EUSPA stessa.

Sebbene il regolamento miri a facilitare gli operatori creando un quadro giuridico armonizzato, il suo onere economico potrebbe rivelarsi problematico non solo per gli attori spaziali consolidati ma anche per i player tecnologici e industriali emergenti, che dovrebbero affrontare costi di ingresso e conformità più elevati. Questo rischia di scoraggiare gli investimenti e rallentare l’innovazione e la competitività nel settore spaziale europeo, che già sconta ritardi rispetto ai grandi player come Cina e Stati Uniti.

Sorgono dubbi fondati sul fatto che i costi di conformità imposti all’industria dallo Space Act saranno compensati dai benefici attesi dalla sua adozione. Il bilancio proposto presuppone che il regolamento genererà benefici per l’industria attraverso una riduzione del cinquanta per cento dei detriti spaziali, standard di cybersecurity più elevati, durata di vita satellitare estesa e procedure amministrative semplificate. Tuttavia, questi benefici attesi appaiono più aspirazionali che garantiti, mentre l’aumento immediato, certo e potenzialmente insostenibile dei costi potrebbe mettere a repentaglio l’economia spaziale dell’Unione.

Supply chain e dipendenze strategiche: il paradosso della sovranità

Diversi operatori spaziali dell’Unione hanno sviluppato catene di approvvigionamento globali e profondamente interconnesse che coinvolgono attori extra-UE. La doppia procedura di verifica per gli operatori spaziali non appartenenti all’Unione da parte del Compliance Board e della Commissione potrebbe mettere in pericolo queste catene del valore e, paradossalmente, danneggiare gli operatori europei, scoraggiando al contempo le aziende non appartenenti all’Unione che mantengono forti legami con il mercato interno dell’UE.

Una questione analoga si pone per quanto riguarda l’accesso allo spazio, poiché il regolamento richiede che l’utilizzo di lanciatori non appartenenti all’Unione sia giustificato da un’importanza strategica dimostrata. Questo potrebbe rispecchiare la situazione che attualmente colpisce il settore della difesa: se gli operatori non appartenenti all’Unione sono disincentivati dal fornire servizi o investire nell’Unione, gli operatori spaziali dell’UE potrebbero non essere in grado di soddisfare la domanda interna di servizi spaziali in modo tempestivo.

Il regolamento dovrebbe prevedere meccanismi accelerati per le tecnologie strategiche provenienti da paesi partner dell’Unione, in particolare Stati Uniti, Regno Unito, Canada, Giappone e Norvegia, distinti dalle esenzioni ordinarie, al fine di preservare flussi di dati critici e garantire l’interoperabilità, ad esempio nel campo della Space Situational Awareness.

Questa fase è particolarmente delicata per le relazioni transatlantiche, caratterizzate da tensioni intermittenti tra Unione Europea e Stati Uniti. Per gli operatori non appartenenti all’Unione che cercano accesso al mercato europeo, il nuovo regolamento introdurrebbe barriere commerciali non tariffarie. Tali misure rischiano non solo di penalizzare gli attori europei profondamente integrati nelle catene di approvvigionamento globali, come l’Italia, e fortemente dipendenti dalle attività commerciali di esportazione e estero, ma anche di innescare controversie con l’alleato transatlantico.

L’integrazione con NIS2 e CER: coordinamento o sovrapposizione?

Lo Space Act si inserisce in un quadro legislativo e politico dell’Unione in cui diverse direttive e regolamenti già si applicano, ciascuno connesso in vari modi al settore spaziale, dalla Direttiva NIS2 sulla sicurezza delle reti e dell’informazione alla Direttiva CER sulla resilienza delle entità critiche, passando per il Cyber Resilience Act e l’AI Act. Sarà essenziale che lo Space Act si integri in modo coerente, coordinato e complementare all’interno di questo quadro, evitando sovrapposizioni, duplicazioni e incongruenze.

In particolare, è importante mantenere l’allineamento tra i flussi di segnalazione degli incidenti e le funzioni di supervisione di NIS2 e CER attraverso l’EU Space Resilience Network e il Computer Security Incident Response Team, al fine di prevenire doppi requisiti di conformità. Il fatto che lo Space Act preveda che le sue disposizioni in materia di cybersecurity prevalgano sugli obblighi generali della NIS2 per gli operatori spaziali, introducendo un regime di lex specialis, dovrebbe in teoria evitare sovrapposizioni normative. Tuttavia, questa specialità si applica solo quando il regolamento entrerà pienamente in vigore: nella fase transitoria, gli operatori spaziali rimangono integralmente soggetti alla NIS2.

Il dato emerso dal report ENISA sugli investimenti NIS evidenzia una preoccupante impreparazione del settore. Lo spazio si colloca in terzultima posizione per spesa mediana in cybersecurity con seicentomila euro annui, corrispondenti al dieci virgola tre per cento del budget IT. Peggio ancora, il settore presenta il livello più basso di consapevolezza sulla NIS2 con solo il cinquantasette per cento degli operatori informati sugli obblighi, seguito dalle acque reflue al sessanta per cento e dal manifatturiero al sessantadue per cento. Questi numeri fotografano un gap di preparazione significativo che dovrà essere colmato rapidamente.

Le implicazioni operative per i professionisti della security

Per i CISO e i responsabili della security nelle organizzazioni che operano nel settore spaziale o nelle organizzazioni che ne dipendono, questo momento rappresenta sia una sfida che un’opportunità. La natura distribuita e geograficamente dispersa delle infrastrutture satellitari, con segmenti di terra spesso localizzati in giurisdizioni diverse, componenti forniti da supply chain globali e sistemi in orbita inaccessibili per manutenzione o aggiornamento, rende l’applicazione dei tradizionali framework di cybersecurity particolarmente sfidante.

Il principio del “secure by design” deve essere implementato sin dalle prime fasi di progettazione, poiché una volta che un satellite è in orbita, le possibilità di remediation sono estremamente limitate. La gestione delle vulnerabilità assume quindi una dimensione diversa rispetto ai sistemi terrestri: non si tratta solo di applicare tempestivamente le patch alle falle scoperte, ma di progettare sin dall’inizio architetture che possano evolvere e adattarsi a minacce non ancora conosciute.

L’ENISA ha recentemente pubblicato uno Space Threat Landscape che identifica le principali sfide di cybersecurity per i satelliti commerciali. Il report, pubblicato nel marzo 2025, sottolinea come le minacce principali includano i rischi nella supply chain, con il settore spaziale fortemente dipendente da componenti commerciali off-the-shelf globali, i sistemi legacy dovuti alla natura remota e all’inaccessibilità dei sistemi spaziali, la visibilità limitata, le configurazioni deboli caratterizzate dalla mancanza di tecnologie crittografiche robuste, l’errore umano dato l’elevato grado di interazione umana in tutte le fasi del ciclo di vita, e la minaccia di attacchi cyber sofisticati lanciati da attori qualificati e capaci.

La questione della supply chain security emerge con particolare urgenza. Il settore spaziale dipende da catene di fornitura globali estremamente complesse, dove componenti hardware e software provenienti da multiple giurisdizioni vengono integrati in sistemi critici. L’EU Space Act impone che i principi di sicurezza si trasmettano “a cascata” lungo tutta la filiera, con controlli rigorosi implementati durante l’intero ciclo di vita della produzione. Questo approccio richiede non solo clausole contrattuali adeguate con i fornitori, ma anche capacità di auditing tecnico e di verifica della conformità che vanno ben oltre le tradizionali valutazioni documentali.

Il registro URSO e le ambiguità terminologiche

La proposta stabilisce l’obbligo di registrazione presso il Union Register of Space Objects. Tuttavia, il regolamento utilizza una terminologia fuorviante e ambigua quando si riferisce al registro, risultando in un capitolo poco chiaro. Infatti, il registro includerà informazioni sugli operatori spaziali, piuttosto che sugli oggetti spaziali, al fine di rilasciare loro un certificato elettronico. Questa chiarificazione è importante, poiché l’Unione Europea non ha aderito alla Convenzione delle Nazioni Unite sulla registrazione degli oggetti lanciati nello spazio extra-atmosferico del 1975.

L’obbligo di registrazione si applica anche agli operatori di paesi terzi, salvo ristrette esenzioni. Questo requisito potrebbe scoraggiare la fornitura extra-UE di tecnologie e servizi e ritardare missioni che si basano su dati esteri. Il funzionamento dell’URSO dovrebbe evitare duplicazioni o sovrapposizioni con i regimi di registrazione nazionali e internazionali esistenti.

Misure di supporto insufficienti

Le misure di supporto previste dall’Unione per gli operatori spaziali includono la fornitura di linee guida e voucher per facilitare la loro partecipazione a programmi di coaching volti a controbilanciare i nuovi costi, la formulazione di requisiti per settori innovativi come il servicing in orbita e la promozione della condivisione di informazioni, nonché l’istituzione di un portale informativo digitale sul regolamento. Sebbene queste misure siano valide, appaiono piuttosto limitate in portata e di modesta utilità pratica, data la complessità prevista nell’implementazione della proposta e nella pianificazione finanziaria delle imprese.

La Commissione Europea intende co-finanziare progetti congiunti di ricerca e sviluppo e di capacity building per incoraggiare l’industria ad acquisire soluzioni tecnologiche che facilitino la conformità con il regolamento proposto. Sebbene questa misura sia indubbiamente funzionale a una più rapida applicazione della proposta, rimane vaga rispetto all’allocazione di bilancio e al tipo di finanziamento, permanente o temporaneo, impedendo così agli operatori di stimare il grado in cui tale finanziamento potrebbe compensare i costi derivanti dall’implementazione del regolamento.

Per mitigare l’onere economico, i costi previsti dovrebbero essere parzialmente compensati attraverso una modulazione delle tariffe per PMI e startup, unitamente a un aumento sostanziale del budget di sviluppo del programma spaziale dell’Unione e del supporto industriale-tecnologico, con allocazioni concrete a partire dal Quadro Finanziario Pluriennale 2028-2035.

La Space Label: incentivo reputazionale o leva economica?

Riguardo all’istituzione di una Space Label per l’adesione volontaria a standard più elevati di protezione delle attività spaziali, il regolamento proposto non chiarisce quali incentivi concreti siano previsti per gli operatori che scelgono di partecipare e ottenere la Space Label, né specifica quali siano gli standard più elevati o quale obiettivo generale intendano raggiungere. La Space Label potrebbe invece essere collegata a incentivi misurabili, ad esempio attraverso punteggi preferenziali negli inviti a presentare proposte dell’Unione, classifiche più elevate nei processi di appalto o accesso a sandbox regolamentari, trasformando così questo strumento da mera etichetta reputazionale a leva economica efficace.

L’assenza di definizioni operative: dual-use e trattati internazionali

L’assenza di una definizione operativa di “dual-use” o “doppio scopo” pone incertezze in termini di implementazione, in particolare per quanto riguarda gli scambi di dati SSA e i progetti duali con alleati non appartenenti all’Unione. Sarebbe opportuno adottare una definizione riconosciuta a livello dell’Unione per risolvere tali ambiguità e prevenire così sovrapposizioni regolamentari con i domini della sicurezza e della difesa.

La bozza di regolamento fa quasi nessun riferimento ai trattati internazionali di cui gli Stati membri sono parti, Trattato sullo Spazio Extra-atmosferico, Accordo sul Salvataggio degli Astronauti, Convenzione sulla Responsabilità Internazionale per Danni Causati da Oggetti Spaziali, Convenzione sulla Registrazione, ma a cui l’Unione stessa non è parte. Sarebbe quindi opportuno che, in attesa dell’accettazione formale da parte dell’Unione dei diritti e degli obblighi derivanti da questi trattati, il testo dello Space Act includa una clausola di supremazia che affermi che gli obblighi derivanti da questi trattati hanno precedenza per gli Stati membri rispetto a quelli derivanti dal regolamento. È essenziale che lo Space Act non contenga disposizioni in conflitto con i trattati spaziali delle Nazioni Unite.

Verso una soluzione costruttiva: la via della direttiva

Le tre principali criticità dello Space Act, la scelta della base giuridica, il contenuto della proposta in termini di ampiezza e dettaglio operativo, e la decisione di adottare un regolamento, sono strettamente interconnesse e rischiano di rallentare significativamente il processo di approvazione. Sarebbe invece preferibile raggiungere un compromesso tempestivo che possa rafforzare la costruzione di un mercato spaziale europeo efficiente e competitivo, capace di sostenere l’autonomia strategica aperta dell’Europa in questo dominio sensibile.

L’esperienza delle Direttive NIS2 e CER offre un precedente rilevante. La Direttiva NIS2, entrata in vigore nel gennaio 2023, ha sostituito la direttiva del 2016 stabilendo nuovi standard minimi per un quadro regolamentare che governa la gestione del rischio di cybersecurity e meccanismi di cooperazione efficace tra le autorità competenti di ciascuno Stato membro. La Direttiva CER, entrata in vigore nell’ottobre 2024, riguarda la resilienza delle entità critiche con l’obiettivo di ridurre le loro vulnerabilità e rafforzare la loro resilienza nei settori vitali per mantenere le funzioni fondamentali della società, l’attività economica, la salute e la sicurezza pubblica e la tutela dell’ambiente.

Le considerazioni politiche e strategiche che hanno portato, negli anni recenti, a preferire lo strumento della direttiva nei casi di NIS2 e CER potrebbero, a maggior ragione, sostenere il perseguimento dello stesso percorso per lo Space Act.

Una direttiva consentirebbe infatti di gestire più agevolmente un quadro istituzionale altamente complesso, sia a livello europeo che nazionale, offrirebbe la flessibilità necessaria per conciliare i quadri giuridici più avanzati di alcuni Stati membri con l’assenza di tali quadri in altri, applicherebbe una logica evolutiva che potrebbe adattarsi più facilmente ai cambiamenti in un contesto caratterizzato da elevata e diffusa imprevedibilità, ridurrebbe automaticamente l’onere organizzativo, amministrativo, operativo e finanziario della proposta attuale, risolverebbe i dubbi e le riserve sulla base giuridica dell’iniziativa, e favorirebbe un dialogo più costruttivo tra Stati membri e tra le stesse istituzioni dell’Unione, inviando un segnale positivo in un momento particolarmente delicato per l’Unione Europea.

EU Space Act: costruire resilienza senza soffocare l’innovazione

Lo spazio non è più la frontiera remota e inaccessibile che era nell’era delle missioni Apollo. È diventato un’infrastruttura quotidiana, invisibile ma pervasiva, che abilita il funzionamento di sistemi da cui dipendono economia, società e sicurezza nazionale. Il fatto che la comunità internazionale, e l’Europa in particolare, stia finalmente affrontando con strumenti normativi adeguati le sfide di governance e security di questo dominio rappresenta un passo necessario e atteso.

L’attacco a Viasat ha dimostrato con drammatica chiarezza che la vulnerabilità dello spazio è la vulnerabilità di tutti noi. Le infrastrutture satellitari continuano a essere bersaglio di minacce sofisticate. L’obbligo di notifica degli incidenti, rafforzato sia dalla NIS2 che dallo Space Act, dovrebbe migliorare significativamente la comprensione delle minacce effettive e facilitare la condivisione di indicatori di compromissione tra operatori.

Tuttavia, il nuovo paradigma normativo deve trovare un equilibrio delicato tra sicurezza e competitività. I costi di conformità stimati, con incrementi fino al dieci per cento nei costi di produzione satellitare e IT, tariffe di autorizzazione fino a un milione e mezzo di euro per lanciatori pesanti, rischiano di soffocare l’innovazione proprio nel momento in cui l’Europa cerca di recuperare il ritardo rispetto a Stati Uniti e Cina. Le piccole e medie imprese e le startup, che dovrebbero essere il motore dell’innovazione europea nello spazio, potrebbero trovarsi schiacciate da obblighi di conformità progettati per player consolidati.

La legge italiana, con la sua entrata in vigore immediata, offre un laboratorio reale per testare l’efficacia di un approccio nazionale coordinato. L’esperienza italiana, che subordina l’autorizzazione alla resilienza cyber come prerequisito abilitante, potrebbe fornire lezioni preziose per l’implementazione del futuro regolamento europeo. Tuttavia, la marginalità con cui la cybersecurity è trattata nell’articolato italiano evidenzia la necessità di specificazioni tecniche più dettagliate e meccanismi di verifica più robusti.

Il percorso verso uno spazio europeo sicuro, resiliente e sostenibile richiede un cambio di paradigma culturale prima ancora che normativo. I professionisti della cybersecurity devono acquisire competenze ibride che integrino conoscenze di ingegneria aerospaziale, fisica orbitale e comunicazioni satellitari. Le organizzazioni devono passare da un approccio reattivo alla sicurezza a una progettazione “secure by design” che consideri la resilienza cyber sin dalle primissime fasi di concezione di un sistema spaziale. Le istituzioni devono trovare il coraggio di scegliere strumenti normativi flessibili, come le direttive, che consentano quella capacità di adattamento continuo indispensabile in un settore che evolve con cicli di innovazione misurati in mesi, non in anni.

La consultazione pubblica sull’EU Space Act, che si è conclusa a novembre 2025, ha rappresentato un’opportunità cruciale per la comunità della security di far sentire la propria voce, portando l’esperienza operativa e le lezioni apprese sul campo. Il processo legislativo ordinario che seguirà, stimato durare almeno uno o due anni, dovrà necessariamente tenere conto delle preoccupazioni legittime sollevate dagli Stati membri e dall’industria, pena il rischio di produrre un framework normativo tecnicamente perfetto ma operativamente inapplicabile.

Il nuovo paradigma normativo che si sta delineando tra Bruxelles e le capitali europee offre gli strumenti per costruire uno spazio più sicuro. Ma saranno l’implementazione concreta, l’enforcement coerente, la disponibilità di risorse adeguate per supportare la transizione e soprattutto la capacità di adattamento continuo a determinare se questa ambizione si tradurrà in realtà operativa o rimarrà un esercizio di ingegneria legislativa destinato a essere rapidamente superato dall’evoluzione tecnologica e dalla dinamica geopolitica. La sfida è aperta, e il tempo per affrontarla è adesso.

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi