I prossimi anni di politiche informatiche e tecnologiche saranno plasmati dall’ondata di regolamenti recentemente emanati. L’Unione Europea ha approvato il Cyber Resilience Act (CRA), la Direttiva NIS2, la Direttiva CER, il Data Act e l’AI Act, e prossimamente sarà proposta una nuova serie di framework per il cloud e le certificazioni. Il Regno Unito ha portato avanti il proprio disegno di legge sulla resilienza informatica e sta ampliando la vigilanza settoriale. E in tutto il Medio Oriente, i governi hanno continuato a inasprire le norme sulla localizzazione dei dati e a istituire strutture di vigilanza con mandati più ampi.
Nel 2026, questi framework inizieranno a tradursi in supervisione normativa, audit, regole per il procurement e, potenzialmente, nelle prime azioni di enforcement. Le autorità di regolamentazione finalizzeranno i propri modelli, le agenzie definiranno le aspettative di assurance e le autorità settoriali inizieranno a ispezionare la maturità dei programmi relativi alla cybersecurity, alla governance di supply chain e alla resilienza operativa.
Per i CISO e i general counsel, questo sarà un anno in cui i cambiamenti politici diventeranno vincoli operativi. La compliance non sarà più un esercizio accademico. Le organizzazioni avranno bisogno di prove chiare in materia di controlli, governance del ciclo di vita, disciplina nella risposta agli incidenti e supervisione della supply chain. Le organizzazioni che si preparano ora saranno meglio posizionate per gestire la pressione normativa in più giurisdizioni.
Le seguenti previsioni evidenziano gli sviluppi che con tutta probabilità caratterizzeranno il 2026 spiegando cosa dovrebbero aspettarsi le organizzazioni.
1. Sovranità digitale oltre la localizzazione dei dati
La sovranità digitale continuerà a guidare le decisioni politiche in UE, Regno Unito e Medio Oriente. I governi porranno maggiore enfasi su dove vengono archiviati i dati, come vengono gestiti, chi ha accesso ad essi e quale livello di controllo nazionale o regionale è necessario.
In Europa, è probabile che le considerazioni relative alla sovranità appariranno sempre più spesso nelle normative sul cloud, nei sistemi di certificazione e nelle regole sugli appalti pubblici. Gli Stati membri continueranno a perfezionare i requisiti per le operazioni controllate dall’UE, in particolare per i servizi SOC, i carichi di lavoro sensibili e i dati appartenenti a enti pubblici o settori critici. Si prevede, inoltre, che le autorità appaltanti incorporeranno il punteggio di sovranità nelle gare d’appalto, il che influenzerà quali fornitori si qualificheranno per i principali contratti governativi e industriali regolamentati.
Il Medio Oriente amplierà questa tendenza. Paesi come Arabia Saudita, Emirati Arabi, Qatar ed Egitto continueranno a rafforzare i requisiti di residenza dei dati per gli enti governativi, i settori regolamentati e le infrastrutture critiche. I modelli di cloud sovrano, le joint venture locali e i controlli operativi specifici per regione rimarranno fondamentali per la compliance. Le organizzazioni potrebbero dover mantenere la gestione locale delle chiavi di cifratura, rispettare le norme di risposta agli incidenti specifiche di ciascun Paese, e utilizzare architetture in linea con le classificazioni di residenza di ciascuna giurisdizione.
Cosa implica tutto ciò: le organizzazioni multinazionali dovrebbero aspettarsi che il 2026 porti con sé linee guida più dettagliate, aspettative più rigorose e un’applicazione più ampia dei principi di sovranità. Una governance dei dati coerente e una disciplina architettonica saranno essenziali per soddisfare questi requisiti senza compromettere l’integrità operativa.
2. CRA, NIS2 e CSRB passeranno alla fase di applicazione
Nell’UE, la direttiva NIS2 entrerà nella fase di enforcement, mentre il Cyber Resilience Act (CRA) vedrà l’adozione di gran parte dei nuovi standard armonizzati nel 2026. Il loro impatto operativo diventerà decisamente più evidente.
Cyber Resilience Act L’attuazione della CRA accelererà con la definizione degli standard armonizzati e la concretizzazione delle valutazioni di conformità. I produttori dovranno garantire la sicurezza di pratiche di sviluppo, processi di gestione delle vulnerabilità, registrazione, documentazione SBOM e governance del ciclo di vita. Le organizzazioni con un ampio portfolio di prodotti dovranno adottare un approccio coordinato per allineare i team di sviluppo, i fornitori e i controlli interni ai requisiti della CRA.
NIS2 Gli Stati membri finalizzeranno i modelli di vigilanza, definiranno i programmi di audit e pubblicheranno i requisiti specifici per settore, mentre le entità essenziali e importanti inizieranno a essere sottoposte a una supervisione attiva. Ciò includerà valutazioni strutturate dei programmi di gestione dei rischi, delle pratiche di registrazione e monitoraggio, dei processi di segnalazione degli incidenti e della governance di terze parti. Anche la responsabilità dirigenziale sarà messa alla prova, dal momento che le autorità di regolamentazione stabiliranno le attese in materia di supervisione esecutiva dei programmi di cybersecurity.
Il CyberSecurity and Resilience Bill nel Regno Unito
Il Regno Unito sta promuovendo un proprio modello, strettamente allineato agli obiettivi della NIS2, ma operante sotto la propria specifica supervisione. Il governo amplierà le aspettative relative alle infrastrutture critiche, ai servizi digitali e agli enti pubblici, includendo un maggior numero di organizzazioni nell’ambito di applicazione della normativa.
Cosa implica tutto ciò: nel loro insieme, questi framework indicano che il 2026 porterà il passaggio dalla progettazione delle politiche alla loro applicazione operativa. I CISO e i GC devono aspettarsi che le autorità di regolamentazione richiedano prove concrete, conducano ispezioni e verifichino la maturità delle pratiche di governance.
3. Le infrastrutture critiche saranno al centro dell’attenzione
La protezione delle infrastrutture critiche rimarrà una priorità in tutti i paesi dell’UE, del Regno Unito e del Medio Oriente. I settori dell’energia, dei trasporti, della sanità, della finanza, delle telecomunicazioni e dell’acqua saranno sottoposti a un controllo più approfondito.
L’Europa lavorerà per allineare le direttive NIS2 e CER in modo da ridurre la frammentazione delle normative in materia di sicurezza e resilienza. Le autorità nazionali continueranno a creare agenzie con poteri di controllo sia sulla resilienza informatica sia su quella operativa. Il Regno Unito amplierà il numero di operatori regolamentati e introdurrà requisiti di garanzia più severi. I governi mediorientali amplieranno i mandati delle agenzie di cybersecurity nazionali, conferendo loro maggiori poteri di supervisione sugli operatori di servizi essenziali.
Cosa implica tutto ciò: in pratica, il 2026 porterà audit più mirati, maggiore attenzione alla dipendenza da terze parti e maggiore enfasi sulla capacità di dimostrare la propria resilienza. Le organizzazioni con programmi di gestione dei rischi incoerenti o obsoleti si troveranno in difficoltà, poiché le autorità di regolamentazione aumenteranno le aspettative in materia di trasparenza e prove.
4. La geopolitica e la militarizzazione della tecnologia influenzeranno le politiche aziendali
Le tensioni geopolitiche continueranno a influenzare le politiche cyber e digitali. Si prevede che i governi rafforzeranno i controlli sulle esportazioni, le sanzioni, le restrizioni sui fornitori e le norme che regolano l’acquisizione di tecnologia. Ciò avrà ripercussioni sull’infrastruttura cloud, sulla tecnologia dei semiconduttori, sulle telecomunicazioni, sui sistemi di AI e su tutti i servizi associati alle nazioni ostili.
Lo screening degli investimenti esteri diretti continuerà a essere uno strumento importante. I governi esamineranno più attentamente le acquisizioni transfrontaliere nei settori della tecnologia, dei dati e delle infrastrutture. Diverse giurisdizioni incoraggeranno lo sviluppo di ecosistemi nazionali o regionali affidabili, aumentando il peso strategico delle decisioni di approvvigionamento.
Cosa implica tutto ciò: per le organizzazioni multinazionali, la sfida nel 2026 sarà quella di gestire un portfolio di fornitori che soddisfi sia le esigenze operative che i vincoli geopolitici. I team di approvvigionamento e i responsabili della sicurezza dovranno operare in totale sinergia, poiché le decisioni tecnologiche saranno sempre più intrecciate con le considerazioni di sicurezza nazionale.
5. La governance dell’AI e la cybersecurity convergeranno
Al momento, si prevede che il 2026 sarà il primo anno in cui la legge dell’UE sull’intelligenza artificiale inizierà a influenzare il modo in cui le organizzazioni sviluppano, implementano e monitorano i sistemi di AI. Tuttavia, ci sono buone probabilità che alcune parti della legge vengano modificate o introdotte in modo più graduale. In questo modo, si darà alle organizzazioni più tempo per prepararsi, ma d’altra parte comporteranno anche una maggiore incertezza e confusione sui dettagli finali dei requisiti per i sistemi ad alto rischio. Naturalmente, i settori critici, come la sanità, la finanza, i trasporti e alcune aree della pubblica amministrazione, resteranno gli obiettivi prioritari su cui concentrare un controllo più approfondito, indipendentemente dai possibili adeguamenti temporali. Per questi settori, sarà fondamentale continuare a concentrarsi sulla governance dell’AI.
Cosa implica tutto ciò: poiché molti rischi legati all’AI si intersecano con la cybersecurity, la protezione dei dati e la resilienza operativa, i CISO assumeranno un ruolo centrale. Dovranno integrare i controlli dell’AI nei quadri di governance esistenti, nella gestione sicura della supply chain e nei programmi di risposta agli incidenti. I team legali saranno responsabili dell’allineamento dei requisiti dell’AI con il CRA, il NIS2, le norme sulla protezione dei dati e gli obblighi di governance dei prodotti.
6. Le assicurazioni per i rischi informatici diventeranno uno strumento di enforcement
I mercati delle assicurazioni per i rischi informatici continueranno ad adeguarsi a fronte di violazioni sempre più costose e complesse. Gli assicuratori perfezioneranno i propri criteri di sottoscrizione e li allineeranno maggiormente agli standard riconosciuti e ai requisiti normativi.
Nel 2026, un numero maggiore di assicuratori chiederà prova delle pratiche di gestione del rischio, della prontezza di risposta agli incidenti, della supervisione di terzi e dell’allineamento normativo. Le organizzazioni che non saranno in grado di dimostrare la maturità dei propri controlli dovranno affrontare premi più elevati, coperture più limitate o esclusioni.
Cosa implica tutto ciò: ciò renderà l’assicurazione per i rischi informatici un meccanismo di enforcement indiretto. La disciplina di governance, l’allineamento ai quadri normativi e una documentazione chiara diventeranno requisiti indispensabili per ottenere condizioni assicurative favorevoli.
Cosa dovrebbero fare CISO e General Counsels sin da subito
Per affrontare con successo il panorama del 2026, le organizzazioni avranno bisogno di un approccio disciplinato e lungimirante. In quest’ottica, sarà essenziale adottare diverse misure:
1. Istituire un programma normativo unificato: Integrare CRA, NIS2, norme settoriali, governance dell’AI e requisiti nazionali in un’unica struttura operativa.
2. Completare la mappatura dei dati e la classificazione della residenza: trattare le richieste di sovranità e localizzazione come vincoli architettonici che devono essere affrontati tempestivamente.
3. Prepararsi per gli audit e le richieste di prove concrete: creare una documentazione chiara per i controlli di sicurezza, i processi di gestione degli incidenti, le pratiche di sviluppo e la supervisione dei fornitori.
4. Rafforzare la governance dei fornitori: utilizzare un processo coerente per valutare i rischi tecnici, operativi e geopolitici nell’intero ecosistema dei fornitori.
5. Integrare la governance del ciclo di vita dell’AI: stabilire tracciabilità, test, monitoraggio e supervisione per soddisfare i requisiti emergenti.
6. Allineare i controlli alle aspettative assicurative: la maturità della governance influenzerà direttamente i prezzi e la copertura.
Prepararsi per il 2026
Il 2026 segnerà un punto di svolta: i quadri normativi degli ultimi anni passeranno dalla fase di pianificazione a quella di enforcement. Le organizzazioni che anticiperanno questo cambiamento, sviluppando programmi strutturati, inizieranno l’anno con chiarezza e resilienza. Al contrario, quelle che sceglieranno di aspettare si troveranno a dover gestire simultaneamente audit, requisiti di procurement e richieste assicurative.
A cura di Alessandro Liotta, Regulatory Affairs Lead di Fortinet – Europa
