Certificazione cyber: freno o volano per le piccole imprese?

L’agenda strategica europea e le basi della revisione del Cybersecurity Act

Le indicazioni contenute nei rapporti Letta e Draghi hanno informato molte decisioni delle massime Istituzioni europee; in particolare, in diverse conclusioni delle ultime riunioni del Consiglio europeo se ne trovano consistenti tracce oppure espliciti riferimenti.

Nelle conclusioni del Consiglio europeo del 26 giugno 2025 si riprendono alcuni contenuti dell’agenda strategica approvata lo scorso anno nella quale, si ricorda, venivano espresse le azioni necessarie per garantire, nel quinquennio 2024-2029, la competitività dell’Europa, il rilancio del mercato digitale e una significativa semplificazione normativa.

Nell’ottica di una semplificazione che possa essere realizzata fino dalle fasi della progettazione di ogni percorso legislativo, si invoca, nelle conclusioni citate, un quadro normativo che favorisca l’innovazione in generale per chiarezza, semplicità e intelligenza e che venga incontro, per queste caratteristiche, soprattutto al vasto mondo delle PMI.

Ovviamente si raccomanda altresì di non “compromettere la prevedibilità, gli obiettivi strategici e gli standard elevati”.

Il Consiglio invita pertanto la Commissione e i colegislatori a “evitare un’eccessiva regolamentazione e l’introduzione di oneri amministrativi durante i processi legislativi e attuativi”.

Queste considerazioni ben si adattano ad introdurre gli ultimi aggiornamenti sul processo di revisione del Cybersecurity Act.

Origini e primi sviluppi del Cybersecurity Act

Il Cybersecurity Act ha introdotto, nel 2019, quando è stato approvato, il potenziamento dell’Agenzia Enisa e un framework unico, a livello europeo, per la certificazione di sicurezza informatica per prodotti e servizi ICT.

L’11 aprile 2025 la Commissione europea ha lanciato una consultazione pubblica in quanto, come dichiarato nel comunicato stampa relativo al lancio, vuole riconsiderare ancora il ruolo di Enisa, il Framework di certificazione e affrontare le sfide di sicurezza relative, in generale, alla supply chain nel settore ICT.

In questo percorso, agli obiettivi citati si aggiunge anche quello di intervenire nella complessità delle regole cyber per corrispondere alle indicazioni ormai riconfermate in ogni sede, a partire da quanto stabilito nell’Agenda strategica.

Per la revisione, la Commissione ha richiesto input a diversi attori interessati: gli stakeholder, le Autorità competenti di ciascuno Stato Membro, le associazioni di industria e commercio, i ricercatori, il mondo dell’Università, le organizzazioni dei consumatori e i cittadini.

Il 20 giugno scorso scadeva il termine concesso per produrre le osservazioni richieste.

Mentre consideriamo il percorso avviato per la modifica, appare utile ricordare che recentemente il Cyber Security Act, ovvero il regolamento (UE) 2019/881, aveva già subito una modifica, seppure limitata, riguardante i servizi di sicurezza gestiti (MSS).

L’emendamento sui servizi di sicurezza gestiti

La proposta di un nuovo Regolamento del Parlamento europeo e del Consiglio di modifica del CSA, ripetiamo solo per questo tipo di servizi di sicurezza, era stata lanciata a Strasburgo il 18 aprile 2023 e l’emendamento adottato il 15 gennaio 2025.

L’intervento di modifica si prefiggeva l’obiettivo di poter adottare, mediante atti di esecuzione della Commissione, sistemi europei di certificazione di cybersicurezza anche per i servizi di sicurezza gestiti, come già previsto per i prodotti, i servizi, i processi relativi al settore ICT.

Questa misura si era resa indispensabile in quanto occorreva far emergere i fornitori di servizi cyber affidabili per incrementare il livello complessivo di sicurezza cyber dell’Unione europea.

L’emendamento, inoltre, risultava coerente con la direttiva NIS 2 del 14 dicembre 2022, anzi, come si legge nella relazione di contesto inerente la proposta di modifica, risultava “strettamente complementare alla direttiva NIS 2”.

I soggetti essenziali e quelli importanti avrebbero dovuto, infatti, adottare criteri di particolare attenzione nell’individuare fornitori di servizi di sicurezza gestiti, in caso di necessità di ausilio per organizzare eventuali risposte ad incidenti significativi, per i penetretion test, per gli audit di sicurezza, per tutte quelle fasi, cioè, di massima delicatezza.

Nella relazione che analizza il contesto da cui scaturisce la necessità e l’inderogabilità dell’emendamento relativo ai servizi di sicurezza gestiti, è riportato anche l’esito della valutazione di coerenza con altre normative dell’Unione.

In particolare, non è stato rinvenuto alcun contrasto con il regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati), né con il regolamento (CE)n.765/2008 relativo alla materia dell’accreditamento e della vigilanza sul mercato.

Questi due risultati, oltre ad altre importanti valutazioni, hanno quindi confermato la possibilità di emendare il CSA senza intaccarne l’impianto globale.

La cyberdifesa europea e il ruolo dei fornitori

Il 10 novembre 2022 la Commissione europea aveva adottato, congiuntamente con l’Alto Rappresentate, la comunicazione “La politica di cyberdifesa dell’UE”.

In tale documento veniva annunciato che “la Commissione vaglierà lo sviluppo di sistemi di certificazione della cibersicurezza a livello UE per l’industria della cibersicurezza e le imprese private. Anche i fornitori di servizi di sicurezza gestiti svolgeranno un ruolo importante nel contesto della riserva per la cibersicurezza a livello di UE, la cui costituzione graduale è sostenuta dal regolamento sulla cibersolidarietà”.

La preoccupazione, a livello europeo, riguardava la necessità di prepararsi a condurre azioni qualificate di risposta e ripresa immediata in caso di incidenti cyber di particolare rilievo e caratterizzati dalla circostanza di verificarsi su vasta scala.

Era quindi risultato chiaro che l’ambito della riserva per la cybersicurezza a livello di UE dovesse comprendere anche i fornitori dei servizi di sicurezza gestiti.

Per maggiore chiarezza, quando si parla di “riserva dell’UE per la cybersicurezza “ ci si deve riferire all’art.14 del Cyber Solidarity Act, dal titolo “Istituzione della riserva dell’UE per la cibersicurezza”.

In tale articolo si precisa che la riserva dell’UE consiste in servizi di risposta erogati da fornitori di fiducia di servizi di sicurezza gestiti selezionati in base a particolari criteri.

Nel Cyber Solidarity Act un intero articolo, il 17 per la precisione, descrive le caratteristiche ed i numerosi requisiti specifici che devono essere posseduti dai fornitori di servizi di sicurezza gestiti per essere valutati nelle procedure di appalto per l’istituzione della riserva di cui si parla.

Nello specifico, risulta, al comma 2 lettera j, che fra i documenti di gara deve essere assicurato che “una volta posto in essere un sistema europeo di certificazione della cibersicurezza per i servizi di sicurezza gestiti a norma del regolamento (UE) 2019/881, il fornitore è certificato conformemente a tale sistema entro due anni dalla data di applicazione del sistema”.

Nuovi regolamenti europei tra resilienza e solidarietà

Non sembri pleonastico riprendere il titolo del Cyber Solidarity Act, che ben descrive la natura dell’atto e contiene un interessante riferimento alla normativa precedente che viene con l’atto stesso modificata.

Il titolo esatto è: Regolamento (Ue) 2025/38 del Parlamento Europeo e del Consiglio, del 19 dicembre 2024, che stabilisce misure intese a rafforzare la solidarietà e le capacità dell’Unione di rilevamento delle minacce e degli incidenti informatici e di preparazione e risposta agli stessi, e che modifica il regolamento (UE) 2021/694 (regolamento sulla cibersolidarietà).

Una ulteriore considerazione specifica va riservata al regolamento sulla cyberresilienza, meglio noto come Cyber Resilience Act.

Il CRA, nella versione in italiano è individuato come il “Regolamento (UE) 2024/2847 del Parlamento Europeo e del Consiglio, del 23 ottobre 2024, relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828”, rappresenta un ulteriore passaggio importante nella regolamentazione europea di particolari categorie di prodotti.

Esso interviene, infatti, alla fine dello scorso anno, per regolare lo sviluppo di prodotti con elementi digitali sicuri.

Obiettivi principali prefissati nel CRA sono quelli di garantire che i prodotti hardware e software siano immessi sul mercato con un minor numero di vulnerabilità e di indurre i fabbricanti a prendere la sicurezza in seria considerazione durante l’intero ciclo di vita di un prodotto.

Le caratteristiche di cybersicurezza, quindi, con il CRA, possono diventare elementi qualificanti al momento della scelta e durante l’utilizzo di prodotti con elementi digitali, grazie anche ai maggiori obblighi di trasparenza posti a carico dei fornitori che dovranno altresì assicurare periodi di assistenza dei prodotti in questione, immessi sul mercato.

Nel CRA è chiaramente espresso che l’attuale normativa a livello europeo, relativa alla cybersicurezza, e specificatamente il Cybersecurity Act e la direttiva NIS 2, non contengono requisiti obbligatori per la sicurezza dei prodotti con elementi digitali.

Su questa base, si dovrebbe procedere verso un’armonizzazione tra le norme esistenti, senza perdere di vista il mercato, che necessita di interventi volti a favorire la sicurezza degli utilizzatori ma anche l’ingresso di micro, piccole e medie imprese, per le quali è fondamentale che vi sia certezza del diritto.

Risulta infine che, per alcune categorie di prodotti con elementi digitali critici, si utilizzino già forme di certificazione.

Per raggiungere l’armonizzazione auspicata, allora, occorrerebbe prevedere l’obbligo di utilizzare un esistente e pertinente sistema europeo di certificazione europea obbligatoria, a condizione che la Commissione ne valuti contestualmente l’impatto sul mercato.

Il regolamento DORA e la catena dei fornitori

Infine, un cenno al Regolamento DORA, che si occupa dei servizi finanziari.

Anche negli ambiti di pertinenza del DORA, la questione dei fornitori riveste carattere di estrema delicatezza ed è significativa l’attenzione riservata, anche in questo settore, alle piccole ed anche micro-imprese che fanno parte della supply chain.

La contrattualistica da adottare con i fornitori di servizi ICT che gravitano nell’orbita delle grandi organizzazioni bancarie deve tenere ben presenti i principi di cybersicurezza; in mancanza di obblighi specifici, si deve ricorrere a standard esistenti, tipo quelli del Framework nazionale, del NIST e a quelli relativi alla Data Protection.

In effetti, una girandola di interventi normativi si è attivata nel giro di pochi anni, segnatamente dal 2022 al 2024, e poi anche nell’anno corrente.

La causa di questi numerosi interventi normativi spesso interconnessi, quasi bulimici, può ricercarsi nel moltiplicarsi di minacce cyber sempre più complesse con impatti anche distruttivi su settori che non avevano ancora ricevuto la giusta attenzione, per esempio dalla direttiva NIS.

L’esclusione o, meglio, la non inclusione di troppe tipologie di soggetti aveva lasciato scoperte intere filiere di servizi dagli obblighi di adozione di qualsiasi misura di protezione cyber, anche minima, rendendo vulnerabili in special modo i soggetti critici, perfino già inseriti nel Perimetro di cybersicurezza nazionale.

Esigenze di armonizzazione e criticità emerse

L’intento di recuperare i soggetti esclusi era stato volutamente colmato dalla direttiva NIS 2, ma evidentemente si era palesata contestualmente la necessità di una razionalizzazione dei numerosi obblighi, anche nell’ambito della certificazione, a carico di attori importanti.

Alla luce di queste esigenze concomitanti si è forse tentato, con le norme sopra citate, di regolare meglio le azioni da fare, ma la presenza di un quadro internazionale compromesso in diverse parti del monto, ha innalzato la consapevolezza di non poter lasciare nulla di intentato anche in ambito di cybersicurezza.

Si registrano pertanto, anche attualmente, fortissime esigenze di continuare ad innalzare la capacità di protezione cyber in ogni Stato Membro e nell’Unione europea nel suo complesso, delle Organizzazioni Pubbliche, del settore privato in tutte le sue componenti, comprese quindi le micro-imprese e le start-up e, non ultimi, dei cittadini.

In questo panorama, forse come non mai, la certificazione, volontaria o cogente, rappresenta un tassello importante per rafforzare la resilienza di interi sistemi, o di servizi particolarmente delicati o di infrastrutture critiche.

La rassegna sopra riportata delle principali misure contenute nei più importanti provvedimenti normativi, vuole proprio evidenziare quanto possa rivelarsi importante la revisione del Cyber Security Act.

In questo momento storico, infatti, la competitività dell’Unione europea deve essere potenziata e la certificazione cyber, trasversale a tutti settori, invece che uno strumento di alta protezione e volano di crescita, potrebbe essere vista come un freno.

Siamo oggi in attesa dei risultati dell’analisi che la Commissione sta effettuando, a valle del termine di scadenza per la presentazione di osservazioni sulla proposta di modifica del Cyber Security Act.

Da certa documentazione rinvenuta in rete, relativa ad alcuni contributi presentati, sembrano emergere alcune criticità in particolare e alcuni specifici inviti sembrerebbero rilevanti per diversi attori.

A titolo esemplificativo si possono enucleare di seguito alcune richieste specifiche: vanno evitate duplicazioni di schemi esistenti; schemi esistenti e requisiti previsti da altre norme devono essere armonizzati; deve anche essere garantita un’armonizzazione con gli standard internazionali; vanno eliminate certe sovrapposizioni tra NIS 2, GDPR, DORA, CRA etc che impattano sensibilmente sulle fasi di notifica degli incidenti.

Altri aspetti critici segnalati riguardano la gestione del periodo di vita delle certificazioni, le responsabilità, i rischi cyber della supply chain, eventuali interazioni tra il framework di certificazione volontaria e gli obblighi previsti dal CRA, la potenziale non sostenibilità degli oneri connessi alla certificazione a carico delle PMI, la diminuzione di condivisione di informazioni con Autorità governative a causa della sovrapposizione di obblighi di notifica.

Prospettive future e impatti sul mercato digitale

Sarà interessante seguire gli interventi della Commissione sulle criticità segnalate.

Il nuovo regolamento avrà forti impatti in molti settori e nella grande produzione normativa degli ultimi anni.

È quindi indispensabile una razionalizzazione di obblighi e previsioni e una marcata semplificazione di procedure e adempimenti amministrativi; solo così si può proteggere e incentivare lo sviluppo del mercato interno e nel contempo aumentare l’efficacia delle soluzioni individuate, in quanto più facilmente applicabili.