Con la pubblicazione, il 20 gennaio, della proposta della Commissione europea di revisione del Cybersecurity Act dell’Unione Europea (EU Cybersecurity Act), l’Europa compie un passo importante verso il rafforzamento del proprio quadro di sicurezza informatica, in risposta a un mondo sempre più complesso e interconnesso. La proposta riflette quanto siano cambiati, dalla prima adozione dell’atto nel 2019, sia lo scenario delle minacce sia il più ampio contesto geopolitico.
La cybersecurity è diventata sempre più una questione strategica. La rapida adozione dell’IA generativa e agentica, unita alla profonda digitalizzazione di tutti i settori, ha ampliato portata, velocità e complessità delle minacce informatiche. Allo stesso tempo, i temi della resilienza, della dipendenza e della fiducia sono diventati centrali nel dibattito politico, in un contesto in cui geopolitica e sicurezza informatica sono sempre più interconnesse.
In questo contesto, l’attenzione della Commissione all’armonizzazione e all’interoperabilità è particolarmente apprezzabile. La resilienza informatica non si può costruire attraverso implementazioni frammentarie o approcci nazionali isolati. Essa dipende da quadri condivisi, definizioni comuni e dalla capacità di agire in modo coerente oltre i confini nazionali, soprattutto perché le minacce informatiche non conoscono frontiere.
Un elemento chiave della proposta è il rafforzamento del mandato di ENISA (Agenzia dell’Unione Europea per la Cybersecurity). Il potenziamento delle risorse, del ruolo di coordinamento e delle capacità operative dell’Agenzia, può migliorare la consapevolezza della situazione e sostenere un’implementazione più coerente delle politiche europee in materia di cybersecurity tra gli Stati membri. Se implementato efficacemente, questo rafforzamento può contribuire a colmare il divario tra il quadro normativo e la resilienza operativa.
La riforma proposta del Quadro di Certificazione della Cybersecurity dell’Unione Europea (EU Cybersecurity Certification Framework – ECCF) si muove anch’essa in una direzione costruttiva. Tempistiche più chiare, procedure semplificate e un allineamento più stretto con le altre normative dell’UE sono essenziali per rendere la certificazione più prevedibile e utile, sia per le autorità sia per gli operatori del mercato. Mantenere un approccio basato sul rischio, tecnicamente orientato e allineato agli standard internazionali, sarà fondamentale per garantirne l’adozione e la fiducia. In quest’ottica, formalizzare il contributo degli esperti nel processo di sviluppo degli schemi di certificazione rappresenterebbe un importante incentivo a percorsi più rapidi e un valido supporto per ENISA e per l’European Cybersecurity Certification Group (ECCG – Gruppo Europeo di Certificazione della Cybersecurity).
L’introduzione di un quadro orizzontale per la sicurezza della catena di approvvigionamento ICT riflette la consapevolezza che la cybersecurity è ormai strettamente connessa a considerazioni più ampie di resilienza e sicurezza economica. Affrontare i rischi non tecnici legati alla governance, alla proprietà e al controllo è un compito complesso, che richiederà un’attenta calibrazione nel corso del processo negoziale. Questo sarà essenziale per conseguire gli obiettivi di sicurezza prefissati, preservando al contempo apertura, innovazione e collaborazione con partner fidati.
Dal nostro punto di vista, l’impostazione complessiva della revisione del Cybersecurity Act dell’Unione Europea (CSA2) rafforza l’importanza di approcci alla sicurezza capaci di ridurre il rischio sistemico e le dipendenze. Con l’avvio della prossima fase del confronto, sarà fondamentale un dialogo costruttivo tra le istituzioni dell’UE, gli Stati membri e l’industria. Continueremo a rafforzare il nostro impegno verso l’Europa attraverso un’architettura cloud-native e Zero Trust, progettata per ridurre al minimo le superfici di attacco e disaccoppiare la sicurezza dall’infrastruttura sottostante, in pieno allineamento con gli obiettivi dell’Unione Europea e le sue aspirazioni in materia di sovranità digitale.
A cura di Casper Klynge, VP Government Affairs, Zscaler
