Il Cybersecurity Act 2 introduce nuovi obblighi di certificazione e controllo sulle catene di fornitura ICT che ricadono direttamente sui contratti in essere tra operatori tlc e vendor tecnologici. Chi assiste operatori di infrastrutture critiche deve già oggi valutare le clausole di conformità e i meccanismi di exit verso fornitori classificabili come ‘ad alto rischio’. Il nodo dei fornitori cinesi apre scenari di risoluzione anticipata dei contratti e potenziale contenzioso commerciale che conviene anticipare in sede contrattuale.
Punti chiave
- Punto 1 — La proposta UE rafforza le competenze ENISA e introduce certificazioni obbligatorie per prodotti ICT nelle infrastrutture critiche.
- Punto 2 — I fornitori classificati ‘ad alto rischio’ possono essere esclusi dalla filiera, con impatto immediato sui contratti di fornitura in corso.
- Punto 3 — Gli operatori tlc italiani soggetti al Perimetro di Sicurezza Nazionale Cibernetica devono allineare i contratti ai nuovi standard di certificazione.
Se assisti operatori tlc, gestori di infrastrutture critiche o aziende che trattano forniture ICT, il Cybersecurity Act 2 non è una questione futura: impatta già oggi sulla redazione delle clausole contrattuali, sulle due diligence di vendor e sulle strategie di uscita dai rapporti con fornitori a rischio. La proposta europea amplia in modo significativo i poteri di ENISA e introduce certificazioni obbligatorie che diventeranno condizioni di ammissibilità alla fornitura.
La Commissione europea ha presentato la proposta di revisione del Regolamento (UE) 2019/881 — il Cybersecurity Act — con l’obiettivo di estendere il quadro di certificazione ai servizi gestiti ICT e rafforzare i controlli sulle catene di approvvigionamento. Il punto più controverso riguarda i cosiddetti fornitori ad alto rischio, categoria che interessa direttamente i vendor di origine cinese presenti nelle reti europee. L’analisi completa è disponibile su Agenda Digitale.
Il contesto normativo
In Italia il quadro di riferimento si articola su tre livelli. Il d.lgs. 18 maggio 2018, n. 65 (attuazione della Direttiva NIS) e il successivo d.lgs. 4 settembre 2024, n. 138 (NIS 2) impongono già obblighi di gestione del rischio della catena di approvvigionamento per i soggetti essenziali e importanti, inclusi gli operatori tlc. Il d.l. 21 settembre 2019, n. 105, convertito con modificazioni dalla l. 18 novembre 2019, n. 133, ha istituito il Perimetro di Sicurezza Nazionale Cibernetica: l’art. 1, comma 6, lett. a), impone agli operatori inclusi nel Perimetro di notificare l’impiego di beni, sistemi e servizi ICT e di sottoporli a procedure di valutazione del rischio presso il CVCN (Centro di Valutazione e Certificazione Nazionale). Il Cybersecurity Act 2 si innesta su questo sistema e rischia di creare disallineamenti tra i criteri di certificazione europei e le procedure nazionali già operative.
Cosa cambia per lo studio
- Revisione delle clausole di conformità normativa nei contratti ICT. I contratti con vendor tecnologici stipulati prima dell’entrata in vigore del nuovo regolamento potrebbero non contenere obblighi di certificazione adeguati. Occorre inserire clausole di adeguamento automatico agli standard ENISA e diritti di audit sulla supply chain.
- Gestione del rischio da fornitori ad alto rischio. La proposta prevede meccanismi di esclusione per i fornitori classificati ad alto rischio. Nei contratti già in essere, l’assenza di clausole risolutive espresse legate a questa classificazione espone il cliente a difficoltà operative senza tutele contrattuali. L’art. 1456 c.c. (clausola risolutiva espressa) diventa lo strumento da inserire preventivamente.
- Due diligence rafforzata nelle operazioni M&A su operatori tlc. L’acquisizione di un operatore con fornitori ad alto rischio nella propria catena ICT trasferisce i rischi di non conformità all’acquirente. La due diligence deve ora includere la mappatura dei vendor e la verifica delle certificazioni in corso di validità.
- Adeguamento dei contratti di servizi gestiti (MSP). ENISA acquisisce competenza di certificazione anche sui managed service provider. Chi assiste aziende che esternalizzano la gestione IT deve verificare che i contratti di MSP prevedano obblighi di certificazione coerenti con la nuova disciplina.
- Attenzione ai tempi di transizione. I regolamenti europei di questo tipo prevedono periodi di adeguamento: monitorare le date di applicazione per pianificare le rinegoziazioni contrattuali con anticipo sufficiente.
Attenzione a
Conflitto tra normativa UE e accordi commerciali internazionali. L’esclusione di fornitori cinesi dalle reti europee potrebbe configgere con obblighi derivanti da accordi bilaterali o con clausole di parità di trattamento presenti in contratti quadro già sottoscritti. Prima di consigliare l’exit da un fornitore classificato ad alto rischio, verifica l’esistenza di penali contrattuali e la compatibilità con le norme WTO recepite nell’ordinamento UE.
Sovrapposizione tra procedure CVCN e certificazioni ENISA. In Italia gli operatori del Perimetro seguono già le procedure del CVCN. Il Cybersecurity Act 2 non chiarisce ancora il rapporto di prevalenza tra le certificazioni nazionali e quelle europee. Consigliare un operatore di aderire solo a una delle due procedure, ignorando l’altra, espone oggi a un rischio di non conformità doppio.
Domande frequenti
Il Cybersecurity Act 2 è già in vigore in Italia?
No. Si tratta ancora di una proposta della Commissione europea di revisione del Regolamento (UE) 2019/881. Non ha ancora completato l’iter legislativo europeo. In Italia resta operativa la disciplina del Perimetro di Sicurezza Nazionale Cibernetica (d.l. 105/2019) e gli obblighi NIS 2 recepiti con d.lgs. 138/2024, che già impongono controlli sulla supply chain ICT.
Come posso inserire in un contratto ICT una clausola che tuteli il cliente dall’esclusione di un fornitore ad alto rischio?
La soluzione più efficace è una clausola risolutiva espressa ex art. 1456 c.c. collegata alla classificazione del vendor come fornitore ad alto rischio da parte di ENISA o dell’autorità nazionale competente. Affiancala a un obbligo di sostituzione del fornitore entro un termine definito (es. 12 mesi) e a una clausola di manleva per i costi di migrazione tecnologica.
Un operatore tlc non incluso nel Perimetro di Sicurezza Nazionale deve comunque adeguarsi al Cybersecurity Act 2?
Dipende dalla classificazione come soggetto essenziale o importante ai sensi del d.lgs. 138/2024 (NIS 2). Gli operatori tlc rientrano in linea generale tra i soggetti essenziali. Anche senza l’inclusione formale nel Perimetro, la NIS 2 impone già obblighi di gestione del rischio della supply chain ICT che il Cybersecurity Act 2 andrà ad integrare con requisiti di certificazione obbligatoria.
Fonte di riferimento: AgendaDigitale