Cyber Policy Outlook 2026: cosa cambia per CISO e General Counsel

Il 2026 segnerà un passaggio decisivo per la cybersecurity e la governance digitale. In Europa, nel Regno Unito e in Medio Oriente, i principali quadri normativi approvati negli ultimi anni inizieranno a tradursi in attività concrete di supervisione, audit ed enforcement, trasformando la compliance da esercizio teorico a vincolo operativo.

Secondo l’analisi di Alessandro Liotta, Regulatory Affairs Lead di Fortinet per l’Europa, i CISO e i General Counsel dovranno prepararsi a uno scenario in cui regolamenti come Cyber Resilience Act, NIS2, Direttiva CER, Data Act e AI Act inizieranno a incidere direttamente sulle pratiche organizzative, sui processi di procurement e sulla gestione della supply chain.

Dalla normativa all’applicazione operativa

Nel corso del 2026, le autorità di regolamentazione finalizzeranno i propri modelli di vigilanza e definiranno le aspettative in termini di assurance. Questo porterà a controlli più strutturati sulla maturità dei programmi di cybersecurity, sulla resilienza operativa e sulla governance dei fornitori.

Per le organizzazioni, sarà sempre più necessario dimostrare in modo documentato l’esistenza di controlli efficaci, processi di gestione degli incidenti, supervisione del ciclo di vita dei prodotti e disciplina nella gestione dei rischi.

Sovranità digitale e controllo dei dati

La sovranità digitale continuerà a essere un elemento centrale nelle politiche di UE, Regno Unito e Medio Oriente. L’attenzione non sarà limitata alla localizzazione dei dati, ma riguarderà anche la loro gestione, l’accesso e il livello di controllo nazionale o regionale richiesto.

In Europa, i criteri di sovranità entreranno sempre più spesso nelle normative sul cloud, nei sistemi di certificazione e nelle regole sugli appalti pubblici, influenzando l’accesso ai contratti governativi e ai settori regolamentati. Nei Paesi del Medio Oriente, come Arabia Saudita, Emirati Arabi, Qatar ed Egitto, continueranno a rafforzarsi i requisiti di residenza dei dati, con un’attenzione crescente a cloud sovrani, joint venture locali e controlli operativi specifici per ciascuna giurisdizione.

CRA, NIS2 e Regno Unito: inizia la fase di enforcement

Nel contesto europeo, la direttiva NIS2 entrerà nella fase di applicazione concreta, mentre il Cyber Resilience Act vedrà l’adozione di gran parte degli standard armonizzati. I produttori saranno chiamati a garantire la sicurezza delle pratiche di sviluppo, la gestione delle vulnerabilità, la documentazione SBOM e una governance strutturata del ciclo di vita dei prodotti.

Parallelamente, gli Stati membri definiranno programmi di audit e requisiti settoriali, sottoponendo le entità essenziali e importanti a una supervisione attiva. Anche la responsabilità del management sarà oggetto di verifica, con aspettative più chiare sulla supervisione esecutiva dei programmi di cybersecurity.

Il Regno Unito seguirà un percorso analogo attraverso il Cyber Security and Resilience Bill, ampliando il perimetro delle organizzazioni soggette a vigilanza e rafforzando i requisiti di garanzia per infrastrutture critiche, servizi digitali ed enti pubblici.

Infrastrutture critiche sotto osservazione

Energia, trasporti, sanità, finanza, telecomunicazioni e settore idrico resteranno al centro dell’attenzione delle autorità. In Europa, proseguirà l’allineamento tra NIS2 e Direttiva CER per ridurre la frammentazione normativa, mentre nel Regno Unito e in Medio Oriente aumenteranno i poteri di supervisione delle agenzie nazionali di cybersecurity.

Il risultato sarà un aumento degli audit mirati, una maggiore attenzione alla dipendenza da terze parti e una richiesta più stringente di prove sulla resilienza operativa.

Geopolitica, supply chain e scelte tecnologiche

Le tensioni geopolitiche continueranno a influenzare le politiche cyber e digitali. Controlli sulle esportazioni, restrizioni sui fornitori, screening degli investimenti esteri e sanzioni avranno un impatto diretto su cloud, semiconduttori, telecomunicazioni e sistemi di intelligenza artificiale.

Le decisioni di approvvigionamento assumeranno un valore strategico crescente, rendendo necessaria una collaborazione più stretta tra team di sicurezza, legali e procurement.

AI e cybersecurity sempre più integrate

Il 2026 sarà probabilmente il primo anno in cui l’AI Act europeo inizierà a influenzare concretamente lo sviluppo e l’utilizzo dei sistemi di intelligenza artificiale, in particolare nei settori critici. Anche in presenza di eventuali introduzioni graduali o modifiche temporali, la governance dell’AI resterà un elemento centrale.

Molti dei rischi legati all’AI si intrecciano con cybersecurity, protezione dei dati e resilienza operativa, rafforzando il ruolo dei CISO nell’integrazione dei controlli AI nei framework di governance esistenti, in coordinamento con i team legali.

Le assicurazioni cyber come leva di enforcement

Nel 2026, le assicurazioni per i rischi informatici diventeranno sempre più selettive. Gli assicuratori richiederanno prove concrete della maturità dei controlli di sicurezza, della gestione degli incidenti, della supervisione dei fornitori e dell’allineamento normativo.

Le organizzazioni meno strutturate dovranno affrontare premi più elevati, coperture limitate o esclusioni, trasformando di fatto le polizze cyber in uno strumento di enforcement indiretto.

Prepararsi al 2026

Il passaggio dall’elaborazione delle politiche alla loro applicazione operativa renderà indispensabile un approccio strutturato. Secondo l’analisi, le organizzazioni dovrebbero lavorare fin da ora su programmi normativi unificati, mappatura e classificazione dei dati, preparazione agli audit, rafforzamento della governance dei fornitori e integrazione della governance dell’AI.

Il 2026 rappresenterà un punto di svolta: chi si preparerà in anticipo affronterà il nuovo scenario con maggiore chiarezza e resilienza, mentre chi rimanderà dovrà gestire contemporaneamente audit, requisiti di procurement e pressioni assicurative.