Per troppo tempo, la conversazione sulla “Sovranità Digitale” nelle sale dei consigli di amministrazione è stata dominata dalla retorica geopolitica e da scelte binarie: innovazione globale contro conformità locale. Mentre affrontiamo il 2026, è giunto il momento di guardare alla realtà operativa. Per i CISO e i dirigenti di livello C, la sovranità non è più solo un vincolo legale o un ostacolo agli appalti: è probabilmente il driver più significativo della modernizzazione delle infrastrutture e degli investimenti pubblici.
Il passaggio dalla privacy alla strategia industriale
Cinque anni fa, la sovranità era principalmente una discussione sulla privacy dei dati radicata nel Regolamento Generale sulla Protezione dei Dati (GDPR). Oggi si è evoluta in una chiara strategia per le infrastrutture critiche. Il quadro normativo europeo è andato oltre la protezione dei dati personali per garantire la sicurezza stessa del tessuto dell’economia digitale.
Normative come la Direttiva NIS2 e il Cyber Resilience Act (CRA) non sono semplici checklist per la conformità; sono mandati per l’autonomia operativa e la resilienza. Richiedono alle organizzazioni nel settore delle infrastrutture critiche di dimostrare di poter mantenere la continuità, proteggere le proprie supply chain e gestire i rischi indipendentemente dalle tensioni geopolitiche esterne.
Il recentemente EU Cyber Solidarity Act mira esplicitamente a costruire uno “Scudo Informatico Europeo”. Non si tratta solo di regolamentazione; è un progetto architetturale per una rete federata di Security Operations Center (SOC) in tutto il continente. Segnala un chiaro passaggio dalla conformità passiva alla difesa collettiva attiva.
Anticipare la prossima ondata: DNA, CSA2 e Politica industriale
I player di mercato più lungimiranti si stanno muovendo in anticipo rispetto al ciclo legislativo, anticipando alcuni dei requisiti di sovranità previsti da nuove normative proposte come il Digital Networks Act (DNA) e la Revisione del Cybersecurity Act (CSA2). Il DNA segnala un massiccio aggiornamento delle infrastrutture, imponendo lo “switch-off del rame” e la transizione verso reti 5G (e 6G) a velocità fibra, spingendo la domanda di soluzioni di cybersecurity in grado di difendersi da attacchi informatici sempre più complessi senza compromettere velocità o prestazioni. Parallelamente, la CSA2 sta rafforzando la supervisione sulle supply chain in tutti i settori critici, con ulteriore enfasi sulla trasparenza riguardo a chi gestisce le proprie infrastrutture, sistemi e dati, e da dove.
Questa nuova ondata di normative è alimentata dal Digital Europe Program 2025-2027, che ha confermato che la sovranità è una strategia industriale supportata da miliardi di capitali privati e pubblici. L’Europa sta passando dalla regolamentazione della tecnologia straniera al finanziamento della capacità locale. I dirigenti stanno reagendo formando consorzi oggi per accedere a questi fondi, costruendo
piattaforme “cloud sovrano” che combinano la residenza europea dei dati con un’intelligence di sicurezza di livello globale.
L’opportunità da mille miliardi di euro
Ecco la realtà che spesso si perde nel rumore della conformità: la sovranità sta guidando una massiccia iniezione di capitale nel mercato. Gli investimenti europei in tecnologia previsti supereranno i 1.500 miliardi di euro nei prossimi anni.
Non sono soldi spesi per costruire muri; sono soldi spesi per costruire capacità. Iniziative come l’IPCEI-CIS (Important Projects of Common European Interest – Cloud Infrastructure and Services) e il Meccanismo di Emergenza del Cyber Solidarity Act stanno finanziando l’implementazione di edge computing di nuova generazione, rilevamento delle minacce guidato dall’intelligenza artificiale e connettività resiliente.
Per i C-suite, questo cambia completamente la prospettiva. I requisiti di sovranità non sono un ostacolo al dispiegamento di operazioni globali; sono un’opportunità per sfruttare lo slancio pubblico e modernizzare le architetture legacy.
Affrontare la “sovranità soft” in qualità di attore globale
Dobbiamo essere onesti riguardo alle sfide. Mentre le leggi vincolanti si concentrano sulla sicurezza e sulla resilienza, esiste un livello di “regolamentazione soft” – preferenze negli appalti e sistemi di certificazione come l’EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) e le direttive pubblicate dai governi nazionali (ad esempio, in Francia e Svizzera) – che può privilegiare la proprietà locale rispetto alle capacità tecniche.
Tuttavia, la realtà pragmatica per le infrastrutture critiche nazionali (sia nel settore pubblico che in quello privato) è che l’isolamento totale non è né fattibile né sicuro. Le organizzazioni più mature stanno adottando un approccio basato sul rischio piuttosto che una scelta netta. Stanno distinguendo tra:
1. Sovranità dei dati: garantire che i dati risiedano in specifiche giurisdizioni (ad es., data center basati nell’UE) e che si controlli chi vi ha accesso e per quale motivo.
2. Sovranità delle operazioni: garantire che i fondamentali dei propri sistemi – le chiavi di cifratura, l’accesso amministrativo, il personale critico – possano essere isolati dalla portata extraterritoriale, se necessario.
3. Sovranità della tecnologia: utilizzare la tecnologia globale di prim’ordine che consenta trasparenza, verifica e controllo delle dipendenze della catena di approvvigionamento.
Crediamo che, nella scelta della tecnologia giusta, l’attenzione debba essere posta sulla sua capacità tecnica di garantire la resilienza della funzione o dell’organizzazione che la utilizza. È possibile controllare chi può avere accesso alle chiavi di cifratura? Il proprio security fabric può continuare a operare in caso di crisi o è meglio passare a un altro fornitore? L’organizzazione ha la capacità di rilevare, rispondere e riprendersi rapidamente dalle minacce? La scala globale sta beneficiando degli investimenti nell’innovazione continua? Queste sono le domande ingegneristiche che necessitano di risposte concrete e a prova di futuro.
Il Percorso Strategico da Seguire
Per i CISO, il piano d’azione è chiaro:
• Separare il controllo dalla localizzazione: andare oltre la semplice localizzazione dei dati. Concentrarsi su chi detiene le chiavi e chi gestisce l’infrastruttura.
• Sfruttare l’ondata di investimenti: allineare i budget per la trasformazione della sicurezza con le iniziative a livello nazionale ed europeo.
• Esigere trasparenza, non solo prossimità: non dare per scontato che un fornitore locale sia intrinsecamente più sicuro. Esigere certificazioni rigorose (Common Criteria, ISO) che dimostrino che la tecnologia agisce esclusivamente nel proprio interesse.
• Selezionare partner tecnologici affidabili: condurre una due diligence approfondita sui propri fornitori di servizi e scegliere partner finanziariamente solidi che investano le proprie risorse nell’innovazione costante.
La sovranità è destinata a durare, ma non rappresenta un ostacolo. È piuttosto una forza trainante per la creazione di infrastrutture digitali più resilienti, distribuite e responsabili. A vincere saranno coloro che smetteranno di opporsi alla retorica, inizieranno a trarre vantaggio dallo sviluppo e collaboreranno con partner innovativi e affidabili per proteggere il tessuto delle nostre economie. Garantire il controllo locale è un tassello importante del puzzle, così come lo è la collaborazione continua con enti pubblici e privati in tutto il mondo per difendersi da un panorama di minacce alimentato dall’intelligenza artificiale.
