La cybersicurezza europea cambia approccio: non si tratta più solo di difendere reti e sistemi dagli attacchi, ma di intervenire sulla provenienza e sull’affidabilità delle tecnologie utilizzate. Con questo obiettivo l’UE ha adottato un ICT Supply Chain Security Toolbox, uno strumento operativo pensato per coordinare gli Stati membri nella gestione dei rischi lungo le catene di approvvigionamento digitali.
Le cosiddette catene di approvvigionamento ICT comprendono l’intero ecosistema tecnologico che permette a infrastrutture pubbliche e private di funzionare: hardware (server, chip, router), software e aggiornamenti, servizi cloud, manutenzione e assistenza remota, oltre ai diversi fornitori e subfornitori spesso situati fuori dall’Unione. Il rischio, quindi, non deriva solo da un attacco diretto, ma anche da vulnerabilità introdotte attraverso componenti, aggiornamenti o accessi remoti di terzi.
Il toolbox non introduce nuovi obblighi immediati, ma fornisce linee guida comuni agli Stati membri e agli attori pubblici e privati. Tra le principali misure: individuazione degli scenari di rischio più frequenti, valutazione dei fornitori critici, diversificazione dei fornitori (strategie multi-vendor) e attenzione anche ai rischi non tecnici, come possibili interferenze esterne o dipendenze eccessive da un unico operatore. L’iniziativa è stata sviluppata dal Gruppo di cooperazione NIS2 insieme alla Commissione europea e all’Agenzia dell’UE per la cybersicurezza (ENISA), e si collega alla revisione del Cybersecurity Act presentata a gennaio 2026.
Per le PMI le implicazioni sono concrete. Anche senza obblighi diretti, molte imprese fanno parte delle filiere di operatori essenziali o utilizzano servizi digitali esterni per gestionali, cloud o pagamenti. Sempre più spesso verrà quindi richiesto di dimostrare standard minimi di sicurezza informatica e di conoscere i propri fornitori tecnologici. La cybersicurezza diventa così non solo una questione tecnica, ma un requisito per restare partner affidabili nelle catene del valore europee.
Per le PMI l’impatto è concreto. Anche senza obblighi diretti, molte imprese sono inserite nelle filiere di operatori essenziali o utilizzano servizi esterni per gestionali, cloud e pagamenti; sarà quindi sempre più richiesto dimostrare livelli minimi di sicurezza informatica e una maggiore conoscenza dei propri fornitori tecnologici.
Per le Camere di commercio il tema riguarda sia l’organizzazione interna sia il supporto al sistema produttivo. In quanto enti che gestiscono infrastrutture digitali e grandi banche dati, a partire dai registri delle imprese, in prospettiva dovranno rafforzare la gestione dei fornitori ICT (cloud, software, conservazione digitale e accessi remoti), anche per garantire la continuità dei servizi economici essenziali. Parallelamente, le imprese avranno un crescente bisogno di orientamento, formazione e assistenza sulla gestione del rischio digitale e sui requisiti di cybersicurezza, anche attraverso i servizi camerali per la digitalizzazione.