Cybersecurity UE: più regole, ma senza soffocare le imprese

Marnix Dekker, vicecapo dell'unità per la resilienza dei settori critici dell'Enisa, ha sollevato un problema ben noto a chi opera nei mercati: il trade-off tra protezione e competitività. In Europa abbiamo costruito un apparato normativo sulla sicurezza digitale imponente — forse il più articolato al mondo — ma il rischio è che diventi un freno operativo per le aziende.

Il nodo delle certificazioni disomogenee

Dekker sostiene la necessità di armonizzare le certificazioni di cybersecurity a livello europeo. Oggi un'impresa che opera in più Stati membri deve rispettare requisiti diversi, tempi di approvazione variabili e costi di compliance moltiplicati. Non si tratta solo di una questione burocratica: è capitale immobilizzato in procedure che non aumentano la sicurezza reale, ma solo la complessità amministrativa.

L'obiettivo è semplificare senza abbassare il livello di protezione. Certificazioni uniformi permetterebbero alle aziende di muoversi più velocemente nel mercato unico, riducendo i costi legati alla conformità multi-giurisdizionale. Per i fornitori di servizi digitali e le infrastrutture critiche, il risparmio potrebbe essere significativo.

Dove si gioca la partita

Il vero nodo non è se servano regole — servono — ma come vengono calibrate. Dekker riconosce che l'Europa ha prodotto molta normativa in poco tempo: GDPR, NIS2, Digital Operational Resilience Act, Cyber Resilience Act. Tutte necessarie, tutte giuste nelle intenzioni. Ma il loro accumulo crea un carico difficile da sostenere per le piccole e medie imprese.

Se le regole diventano un vantaggio competitivo solo per chi può permettersi team legali dedicati, si crea una barriera all'ingresso che favorisce i grandi player. Questo riduce la concorrenza e irrigidisce il mercato.

In pratica: serve una normativa che funzioni come infrastruttura, non come zavorra. Dekker sembra averlo capito. Resta da vedere se la macchina legislativa europea saprà tradurre questa visione in testi applicabili senza creare nuovi strati di burocrazia.

Contenuto a scopo informativo e divulgativo. Non costituisce consulenza finanziaria.