Bruxelles impone nuovi controlli sulle forniture ICT per la cybersicurezza

La Commissione europea ha presentato un pacchetto di misure per sottoporre a esame le catene di fornitura di hardware, software e servizi ICT. L'obiettivo dichiarato è ridurre la dipendenza da fornitori di paesi terzi considerati ad alto rischio sul fronte della cybersicurezza.

Il dato di partenza è netto. Nell'ultimo decennio circa l'8% delle importazioni UE da mercati extra-europei riguarda prodotti classificati come critici — circa 380 categorie merceologiche su un totale di poco meno di 5.000. Il settore più esposto resta l'ICT: quello dove la vulnerabilità della catena di approvvigionamento può tradursi in attacchi informatici su larga scala.

Il nuovo schema di certificazione EUCC

Il regolamento rivisto sulla cybersicurezza introduce il framework EUCC (European Common Criteria-based Cybersecurity Certification), che standardizza le certificazioni di sicurezza informatica in tutti gli Stati membri. Non si tratta solo di uniformare le procedure: il regolamento prevede esplicitamente la valutazione dei fornitori e dei loro paesi d'origine. In altre parole, non basta che un prodotto rispetti gli standard tecnici — conta anche provenienza e produttore.

Questa impostazione mira a contenere i rischi legati a fornitori di paesi terzi che sollevano preoccupazioni sul fronte della cybersicurezza. Il riferimento è chiaro, anche se non esplicito: catene di fornitura legate a giurisdizioni dove il controllo statale sulle aziende tecnologiche è pervasivo.

Cosa cambia per le imprese europee

Le aziende che forniscono prodotti o servizi ICT a enti pubblici o infrastrutture critiche dovranno sottoporsi a un percorso di certificazione più lungo e articolato. Dovranno inoltre documentare l'intera filiera: provenienza dei componenti, assemblaggi, localizzazione dei dati gestiti dai software.

Sul piano operativo, questo si traduce in costi più alti e tempi più lunghi per accedere al mercato europeo. Ma rappresenta anche un vantaggio competitivo per chi riesce a dimostrare catene di fornitura sicure e tracciabili. La partita si gioca sulla trasparenza, non solo sulla tecnologia. Chi non è in grado di fornire garanzie su entrambi i fronti rischia di restare escluso da una fetta significativa del mercato europeo delle forniture pubbliche e private ad alto valore aggiunto.

Contenuto a scopo informativo e divulgativo. Non costituisce consulenza finanziaria.