La cybersecurity per Alessandro Liotta, Regulatory Affairs Lead di Fortinet Europa, vuole un approccio proattivo su regolamentazioni, governance e flessibilità.
La cybersecurity nel 2026 diventerà una priorità strategica per le organizzazioni, influenzata da una crescente ondata di regolamenti e normative in Europa, Regno Unito e Medio Oriente. CRA, NIS2, Data Act e AI Act segneranno il passaggio dalla teoria alla pratica operativa. Richiedendo controlli concreti, governance della supply chain e resilienza digitale.
1. Sovranità digitale e gestione dei dati
La sovranità digitale guiderà le politiche di cybersecurity: i governi porranno enfasi su dove vengono archiviati i dati, chi vi ha accesso e quale controllo locale è necessario.
In Europa, le normative sul cloud, le certificazioni e gli appalti pubblici integreranno requisiti di sovranità.
Nel Medio Oriente, paesi come Arabia Saudita, Emirati Arabi e Qatar rafforzeranno la residenza dei dati e i controlli operativi locali.
Cosa implica: una governance coerente dei dati e un’architettura disciplinata saranno fondamentali per la compliance senza compromettere l’integrità operativa.
2. Applicazione di CRA, NIS2 e CSRB
Nel 2026, CRA e NIS2 entreranno nella fase di enforcement, portando le organizzazioni a dover dimostrare controlli concreti.
Cyber Resilience Act: definizione degli standard armonizzati, gestione vulnerabilità, SBOM e governance del ciclo di vita dei prodotti.
NIS2: audit, supervisione e responsabilità dirigenziale sui programmi di cybersecurity.
Cyber Security and Resilience Bill (UK): modelli locali allineati alla NIS2 con focus su infrastrutture critiche e servizi digitali.
Cosa implica: CISO e General Counsel dovranno fornire prove concrete della maturità dei programmi di cybersecurity.
3. Protezione delle infrastrutture critiche
Le infrastrutture critiche – energia, trasporti, sanità, finanza, telecomunicazioni e acqua – saranno al centro dell’attenzione regolatoria.
L’UE ridurrà la frammentazione normativa e rafforzerà la supervisione operativa.
Il Regno Unito aumenterà gli operatori regolamentati.
Il Medio Oriente estenderà i mandati delle agenzie di cybersecurity nazionali.
Cosa implica: audit mirati, attenzione ai fornitori terzi e capacità di dimostrare resilienza operativa saranno essenziali.
4. Impatto della geopolitica e della tecnologia
La cybersecurity sarà influenzata dalla geopolitica e dalla militarizzazione tecnologica: esportazioni, sanzioni e restrizioni sui fornitori influenzeranno cloud, semiconduttori, telecomunicazioni e AI.
Cosa implica: le organizzazioni multinazionali dovranno gestire portfolio di fornitori rispettando vincoli geopolitici e operativi, con approvvigionamento e sicurezza strettamente integrati.
5. Convergenza tra AI e cybersecurity
Il 2026 vedrà l’influenza della legge UE sull’AI sui sistemi aziendali:
Controlli AI integrati nei framework di cybersecurity.
Governance della supply chain, gestione incidenti e compliance CRA/NIS2.
Settori critici: sanità, finanza, trasporti e pubblica amministrazione.
Cosa implica: CISO e team legali dovranno coordinare cybersecurity e governance AI, garantendo tracciabilità, supervisione e resilienza operativa.
6. Assicurazioni cyber come strumento di enforcement
I mercati assicurativi richiederanno prova della maturità dei controlli.
Prontezza di risposta agli incidenti, supervisione dei fornitori e allineamento normativo diventeranno prerequisiti per condizioni favorevoli.
Cosa implica: le assicurazioni informatiche diventeranno un meccanismo di enforcement indiretto, incentivando discipline di governance solide.
Azioni pratiche per CISO e General Counsel
Per prepararsi al 2026, le organizzazioni dovrebbero:
Istituire un programma normativo unificato integrando CRA, NIS2, AI e requisiti nazionali.
Mappare e classificare i dati secondo sovranità e residenza.
Prepararsi ad audit e richieste di prove su controlli e gestione incidenti.
Rafforzare la governance dei fornitori valutando rischi tecnici, operativi e geopolitici.
Integrare la governance del ciclo di vita dell’AI con tracciabilità, test e supervisione.
Allineare i controlli alle aspettative assicurative per ottenere condizioni ottimali.
Prepararsi per il 2026: anticipare l’applicazione dei quadri normativi permetterà di iniziare l’anno con chiarezza e resilienza.
La cybersecurity nel 2026 diventerà una priorità strategica per le organizzazioni, influenzata da una crescente ondata di regolamenti e normative in Europa, Regno Unito e Medio Oriente. CRA, NIS2, Data Act e AI Act segneranno il passaggio dalla teoria alla pratica operativa. Richiedendo controlli concreti, governance della supply chain e resilienza digitale.
