Cybersecurity Package, l’UE cambia passo, dalla compliance alla sovranità di filiera. La nuova strategia europea sulla sicurezza digitale cambia il modo di fare impresa

Il 20 gennaio 2026 la Commissione europea ha messo sul tavolo un pacchetto destinato a segnare una svolta profonda nel modo in cui l’Europa concepisce la cybersecurity. Una vera leva strutturale di politica industriale, sicurezza economica e autonomia strategica.

Il nuovo Cybersecurity Package, incentrato sulla revisione del Cybersecurity Act e su una stretta decisa sulla sicurezza delle catene di fornitura, segna il passaggio da una logica di responsabilità “best effort” a una logica obbligatoria, verificabile e misurabile. Un cambio di paradigma che riguarda direttamente imprese, pubbliche amministrazioni e operatori di infrastrutture critiche, ma che produce effetti a cascata su tutto il sistema produttivo.

La sicurezza informatica viene così spostata fuori dal perimetro tradizionale dell’IT e collocata dentro la sicurezza economica e industriale europea. In questa chiave, la cybersecurity diventa uno strumento per rafforzare la fiducia nel mercato unico e per ridurre le vulnerabilità sistemiche legate alle filiere tecnologiche globali.

Il pacchetto si muove lungo due direttrici principali.

La prima riguarda la revisione del Cybersecurity Act, con l’obiettivo di semplificare e razionalizzare i regimi di certificazione europei, riducendo frammentazioni e sovrapposizioni, ma rafforzando al tempo stesso il quadro di fiducia comune. In questo contesto, il ruolo di ENISA viene ulteriormente rafforzato, rendendo l’Agenzia un vero perno della governance cyber europea.

La seconda direttrice, quella più sensibile dal punto di vista politico e industriale, riguarda la sicurezza della supply chain. Il pacchetto introduce un meccanismo che punta al progressivo phase-out di componenti e apparati di fornitori considerati “ad alto rischio” nei settori critici, con tempi e modalità vincolanti e non semplici raccomandazioni.

La vera novità rispetto al passato è l’estensione della logica “high-risk vendor” ben oltre il solo ambito delle telecomunicazioni. Secondo le ricostruzioni più accreditate, la Commissione europea applicherà questo approccio a 18 settori considerati sensibili, tra cui cloud, semiconduttori, dispositivi medici, droni, infrastrutture energetiche e sistemi industriali avanzati.

Il risultato è un impatto che riguarda una porzione ampia dell’industria digitale e manifatturiera europea. Se il perimetro si allarga, si allargano anche le responsabilità e le scelte strategiche richieste alle imprese.

L’impostazione scelta dall’UE resta coerente con il suo stile regolatorio. Niente divieti nominali, ma criteri di rischio formalmente neutri, attivabili attraverso procedure definite. Una valutazione del rischio può essere avviata dalla Commissione o da un gruppo qualificato di Stati membri; a valle, possono essere introdotte misure di restrizione o phase-out basate su analisi di mercato e impact assessment.

Per alcuni segmenti, come le reti mobili, si parla di finestre temporali fino a 36 mesi per la rimozione dei componenti chiave, mentre per reti fisse e satellitari i tempi sarebbero differenziati. Un impianto pensato per essere difendibile sul piano giuridico, ma che apre inevitabilmente spazi di contenzioso quando una categoria formalmente neutra produce effetti selettivi.

Accanto al tema della filiera, il pacchetto rafforza un’altra traiettoria ormai chiara nella strategia europea, quella del secure-by-design. La sicurezza informatica non è

più un elemento aggiuntivo, ma un requisito che accompagna l’intero ciclo di vita di prodotti e servizi ICT, dalla progettazione alla manutenzione, fino agli aggiornamenti.

In questo quadro, la revisione del Cybersecurity Act dialoga con altri pilastri normativi come il Cyber Resilience Act, puntando a una sicurezza “by default” che diventa parte integrante del valore del prodotto e del servizio.

Gli annunciati interventi mirati sulla NIS2 vanno letti in controluce. L’obiettivo, pur tentando di mantenere inalterato il livello di sicurezza, è quello di rendere la compliance più coerente ed eseguibile, riducendo le sovrapposizioni tra regimi diversi: NIS2, CRA, GDPR, DORA e normative settoriali.

Per molte organizzazioni, infatti, la difficoltà non è decidere se adeguarsi, ma come farlo in modo strutturato, evitando duplicazioni e dispersione di risorse. Non a caso, nel dibattito europeo si fa sempre più strada l’idea di una razionalizzazione del reporting e di punti di accesso unificati agli adempimenti.

Anche prima dell’approvazione definitiva del pacchetto, gli effetti sul mercato sono già visibili. La due diligence sui fornitori diventa una priorità strategica, perché la supply chain si trasforma in rischio regolatorio oltre che tecnico. I costi di transizione e i cicli di vita lunghi di reti, data center e apparati industriali impongono una revisione delle pianificazioni di investimento.

La sicurezza, infine, smette di essere una funzione isolata e diventa un metodo di lavoro, che coinvolge progettazione, sviluppo, gestione delle vulnerabilità e aggiornamenti continui.

Con il Cybersecurity Package europeo la sicurezza digitale fuoriesce dalla semplice compliance e diventa una scelta strutturale che incide su organizzazione, investimenti, partner tecnologici e competitività di lungo periodo.

In questo scenario in mutamento, la mission di Sied assume un valore ancora più strategico. Accompagnare le imprese non significa soltanto “metterle a norma”, ma aiutarle a leggere in anticipo la direzione del mercato, a costruire architetture tecnologiche solide, verificabili e sostenibili, e a governare la complessità normativa senza subirla.

Supply chain controllata, soluzioni secure-by-design, infrastrutture affidabili e scelte tecnologiche consapevoli diventano fattori chiave anche per le PMI, chiamate a operare in un ecosistema digitale sempre più selettivo e regolato.