Cybersec Europe 2026: Bruxelles affronta la sfida dell’IA Mythos

Mentre i deputati al Parlamento europeo di Strasburgo dibattono questa settimana le capacità di resilienza informatica dell’Unione europea, la comunità europea della cybersicurezza si riunisce a Bruxelles per Cybersec Europe 2026, il principale evento di settore del continente, in programma il 20 e 21 maggio. L’accostamento è tutt’altro che casuale: i due appuntamenti insieme fotografano il momento attuale della politica UE in materia di cybersicurezza, in cui l’architettura regolamentare costruita negli ultimi cinque anni si trova ora a fare i conti con una generazione di sistemi avanzati di intelligenza artificiale che i quadri normativi originari non avevano previsto.

Perché Mythos ha cambiato il dibattito

Al centro di questa rinnovata urgenza c’è Mythos, il sistema avanzato di IA la cui comparsa negli ultimi mesi ha ridisegnato la riflessione europea sui rischi informatici legati all’intelligenza artificiale. Mythos e sistemi analoghi hanno dimostrato capacità che vanno ben oltre le ipotesi su cui si fondava la legislazione UE in materia di cybersicurezza già in vigore — la Direttiva NIS2 (Network and Information Security Directive 2), il Cyber Resilience Act (CRA) e il Cybersecurity Act istitutivo dell’ENISA.

Renew Europe è stato il gruppo politico che ha richiesto il dibattito plenario, sostenendo che l’UE necessita di una strategia dedicata alla cybersicurezza per l’IA avanzata, di una piena attuazione della NIS2 e di una riduzione della dipendenza da fornitori non europei di infrastrutture cloud, capacità di intelligenza artificiale e semiconduttori. L’impostazione ha trovato consensi trasversali lungo tutto lo spettro politico.

Il pacchetto sulla sovranità tecnologica del 27 maggio

Il tempismo politico è calibrato con precisione. Il 27 maggio la Commissione europea è attesa a presentare il pacchetto sulla sovranità tecnologica, che comprende il Cloud and AI Development Act e il Chips Act 2. Il pacchetto è concepito per dotare l’Unione sia degli strumenti regolatori sia delle leve di politica industriale necessarie per competere in un panorama tecnologico dominato da operatori statunitensi e cinesi.

Il Cloud and AI Development Act affronta quella che si è rivelata una delle debolezze strutturali della competitività europea: la dipendenza da un numero ristretto di grandi operatori di cloud non europei per le infrastrutture e l’assenza di una capacità europea su larga scala per l’addestramento di modelli di IA di frontiera. Il Chips Act 2 si innesta sul Chips Act del 2023, con un’attenzione più marcata alla fabbricazione di nodi avanzati e alla catena di approvvigionamento per gli acceleratori destinati all’IA.

L’applicazione della NIS2: la partita ancora aperta

Cybersec Europe 2026 torna più volte sul tema dell’applicazione della NIS2, che rimane disomogenea tra gli Stati membri nonostante sia scaduto il termine di recepimento. Le autorità nazionali competenti si trovano a stadi molto diversi di prontezza operativa, e la realtà concreta è che molti soggetti destinatari della NIS2 — in particolare le medie imprese nei settori coperti — sono ancora impegnate a costruire la postura di sicurezza richiesta dalla direttiva.

Il Cyber Resilience Act aggiunge un ulteriore livello. Gli obblighi di segnalazione ai sensi dell’articolo 14 entrano in vigore l’11 settembre 2026, con la piena applicabilità dei requisiti del CRA a partire dall’11 dicembre 2027. Per i fabbricanti, gli importatori e i distributori di prodotti con elementi digitali, questo non è più un progetto di conformità teorico: l’hardware sugli scaffali nel 2028 dovrà già incorporare i requisiti di sicurezza by design previsti dal Regolamento.

La geografia della minaccia

Il programma della conferenza di Bruxelles riflette la mutata geografia delle minacce. Le campagne condotte da attori statali russi, cinesi, nordcoreani e iraniani continuano a prendere di mira le infrastrutture critiche europee. Gli operatori criminali del ransomware, sempre più dotati di strumenti potenziati dall’IA, colpiscono sia le imprese private sia i servizi pubblici. E l’ascesa di sistemi avanzati di intelligenza artificiale crea superfici di rischio del tutto inedite — dalla ricognizione autonoma allo sfruttamento delle vulnerabilità, fino al social engineering attraverso deepfake su scala massiva.

Cosa osservano le imprese

Per le imprese europee, la questione pratica è come operativizzare uno stack normativo sempre più denso garantendo al contempo la protezione contro una minaccia in continua evoluzione. NIS2, CRA, AI Act, Digital Operational Resilience Act (DORA) per i soggetti finanziari e i requisiti di cybersicurezza settoriali si intersecano e si sovrappongono. La sfida della conformità è pari a quella delle competenze: molte organizzazioni faticano ancora a reclutare e trattenere specialisti in cybersicurezza.

Il dibattito di Strasburgo e la conferenza di Bruxelles insieme preparano il terreno per il pacchetto sulla sovranità tecnologica della prossima settimana. Le decisioni che verranno prese a Bruxelles da oggi alla fine della primavera plasmeranno il panorama europeo della cybersicurezza per il resto del decennio.

Articoli simili