L’EU Tech Sovereignty Package rappresenta uno dei segnali più chiari finora che l’Europa sta passando dal dibattito sulla sovranità digitale alla sua concreta attuazione. In un contesto caratterizzato da frammentazione geopolitica, crescente dipendenza tecnologica e minacce cyber in costante aumento, il pacchetto proposto suggerisce che Bruxelles sia pronta a richiedere maggiori garanzie ai fornitori di tecnologie che operano in Europa, siano essi europei o internazionali.

Quali implicazioni avrà questa proposta per le aziende tecnologiche non appartenenti all’UE e per le ambizioni europee in materia di cybersecurity, cloud, AI e sovranità digitale?

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

La sovranità è impossibile senza cybersecurity

Sebbene gran parte del dibattito si sia concentrata su cloud, IA e autonomia strategica, il pacchetto punta sempre più chiaramente su cybersecurity e resilienza come fondamenta della sovranità digitale. L’attenzione della proposta alla sicurezza della supply chain, alle valutazioni del rischio per la sovranità, alla resilienza del cloud, alla dipendenza da singoli fornitori e al controllo operativo segnala un cambiamento verso risultati di resilienza concreti e misurabili. È un fattore incoraggiante vedere la cybersecurity assumere un ruolo così centrale all’interno del pacchetto. Più volte è stato sottolineato che la sovranità senza cybersecurity è impossibile. È inoltre positivo il fatto che il pacchetto confermi che il raggiungimento della sovranità digitale non dipende dalla posizione in cui si trovi l’headquarter di un’azienda o dalla sua nazionalità. L’Europa fa bene a richiedere maggiori garanzie in termini di sovranità. Ma per farlo sono necessarie le tecnologie migliori e più affidabili, in grado di soddisfare i requisiti europei in materia di sicurezza, continuità operativa, controllo e responsabilità.

Casper Klynge, VP & Head of Government Partnerships and Public Policy EMEA di Zscaler

L’Europa ha una finestra di opportunità

Il pacchetto riflette un consenso sempre più diffuso a Bruxelles sulla necessità che l’Europa richieda maggiori garanzie ai fornitori di tecnologie che operano a supporto di governi, imprese e cittadini europei. I politici europei hanno davanti a sé un’opportunità storica. Il contesto geopolitico è cambiato radicalmente ed è naturale che l’Europa richieda maggiori garanzie ai fornitori di tecnologie che operano nel suo territorio. Sembra che i politici abbiano colto l’importanza di questo momento. La sfida ora consiste nel trasformare l’ambizione in azione concreta e nel trovare il giusto equilibrio. Come sempre, la differenza la faranno i dettagli.

Il settore privato ha un ruolo importante da svolgere come garante della fiducia e della cooperazione transatlantica. Se le aziende tecnologiche che non fanno parte dell’Unione Europea desiderano continuare a operare con successo in Europa, devono essere pronte a rispondere alle esigenze europee, investire nel continente e contribuire in modo concreto agli obiettivi europei di resilienza e sicurezza.

Un approccio alla sovranità articolato in livelli è una scelta pragmatica

Il quadro di riferimento per la sovranità proposto dal pacchetto si inserisce nel più ampio dibattito già in corso in Europa, inclusi i lavori della Direzione Generale per l'Informatica (DG DIGIT) sul tema della sovranità del cloud. Viene accolta con favore la crescente attenzione verso requisiti di sovranità basati sui risultati e approcci articolati per livelli. Non tutti i workload sono ugualmente sensibili e l’approccio europeo dovrebbe riflettere questa realtà. L’obiettivo dovrebbe essere quello di adeguare i requisiti al livello di rischio, preservando al contempo innovazione, concorrenza e accesso a tecnologie all’avanguardia affidabili e sicure. Questo approccio è pienamente in linea con il framework 5C di Zscaler per la sovranità digitale: Choice, Control, Continuity, Compliance e Collaboration. La sovranità dovrebbe essere misurata in base ai risultati. Le aziende sono in grado di mantenere il controllo? Possono garantire la continuità operativa anche in caso di interruzioni? Riescono a soddisfare i requisiti normativi preservando al contempo la libertà di scelta? Sono queste, in ultima analisi, le domande che contano davvero.

Il dibattito sul Cybersecurity Act e sui fornitori ad alto rischio

Il pacchetto sembra rafforzare un orientamento sempre più condiviso in Europa rispetto ai rischi legati alla supply chain, già emerso nel quadro delle discussioni sulle politiche europee di cybersecurity. I riferimenti alla sicurezza della supply chain e ai rischi per la sovranità riflettono una crescente attenzione da parte dell’Europa verso la comprensione e la mitigazione delle dipendenze che caratterizzano le infrastrutture digitali critiche. Mentre proseguono le discussioni sulla revisione del Cybersecurity Act e sull’eventuale introduzione di quadri normativi relativi ai fornitori ad alto rischio, i politici dovrebbero garantire che le valutazioni di sicurezza rimangano trasparenti, basate su evidenze concrete e orientate alla riduzione del rischio.

La fine del “sovereignty washing”?

Gli espliciti riferimenti del pacchetto alle valutazioni del rischio per la sovranità e le preoccupazioni legate al fenomeno del “sovereignty washing” suggeriscono che i politici stiano diventando sempre più scettici nei confronti di dichiarazioni di marketing non supportate da solide evidenze tecniche, operative o di governance. L’industria dovrebbe prestare particolare attenzione al focus della Commissione sul tema del sovereignty washing. È improbabile che le aziende che promettono più di quanto siano realmente in grado di garantire in termini di sovranità, resilienza o controllo possano trarre vantaggio dalla direzione intrapresa dall’Europa. Politici e clienti stanno sviluppando una crescente capacità di distinguere tra la retorica e la realtà.

La sfida cruciale: negoziazione e attuazione rapida

Sebbene gli obiettivi e la direzione della strategia tecnologica europea stiano diventando sempre più chiari, l’incertezza può generare conseguenze indesiderate. Le aziende in tutta Europa hanno bisogno di chiarezza. Ritardi nell’attuazione o un prolungato periodo di incertezza rischiano di rallentare investimenti fondamentali nella modernizzazione della cybersecurity, nell’adozione di architetture Zero Trust, nella trasformazione del cloud e nel superamento delle tecnologie legacy. Nell’attuale panorama delle minacce, ampliare il divario tra le minacce cyber e le tecnologie più avanzate in grado di contrastarle efficacemente rappresenta un rischio che l’Europa non può permettersi di correre.