L’adeguamento al Cyber Resilience Act non è prospettiva di medio termine, ma traiettoria operativa che le imprese europee devono iniziare a percorrere subito. In questo scenario si inserisce il progetto europeo Secure – Strengthening EU Smes Cyber Resilience, coordinato dall’Agenzia per la Cybersicurezza Nazionale, che ora apre il primo bando destinato a sostenere le micro, piccole e medie imprese nel processo di adeguamento ai nuovi requisiti normativi. Con una dotazione di 5 milioni di euro di finanziamenti a cascata e un contributo massimo di 30mila euro per singolo progetto, l’iniziativa si propone di accompagnare le Pmi verso una piena conformità al quadro europeo di cybersicurezza dei prodotti digitali.
Il bando, aperto fino al 29 marzo 2026, rappresenta la prima attuazione concreta di un programma più ampio, che dispone di un budget complessivo di circa 22 milioni di euro, di cui circa 16 milioni destinati direttamente al sostegno finanziario delle imprese. Le risorse provengono dal Digital Europe Programme e sono gestite dall’European Cybersecurity Competence Centre, confermando il ruolo centrale delle politiche industriali europee nel rafforzamento della resilienza digitale.
Il Cyber Resilience Act – in vigore nel dicembre 2024 e destinato a diventare pienamente applicabile a partire dal 2027 – introduce per la prima volta requisiti armonizzati di cybersicurezza per tutti i prodotti con elementi digitali immessi sul mercato dell’Unione. L’obiettivo è duplice: da un lato colmare le lacune di sicurezza che caratterizzano una parte significativa dell’offerta tecnologica europea, dall’altro rafforzare la fiducia di cittadini e imprese attraverso standard comuni e condizioni di concorrenza più eque. Il regolamento impone a produttori, importatori, distributori e sviluppatori di software di garantire la sicurezza lungo l’intero ciclo di vita del prodotto/servizio, includendo sviluppo, aggiornamenti, manutenzione e gestione delle vulnerabilità, fino alla fase di dismissione. I prodotti conformi saranno progressivamente contrassegnati dal marchio CE, a testimonianza dell’aderenza ai requisiti europei.
In questo contesto normativo, il progetto Secure si propone come strumento operativo per rendere sostenibile la transizione per le Pmi, spesso meno strutturate rispetto ai grandi player e più esposte alle criticità organizzative e finanziarie connesse all’adeguamento. Possono candidarsi produttori, importatori e distributori di prodotti con elementi digitali, così come sviluppatori di software, a condizione che rientrino nella definizione europea di micro, piccola o media impresa. Le proposte progettuali possono includere misure concrete per migliorare il livello di cybersicurezza dei prodotti, implementare processi di gestione delle vulnerabilità, rafforzare le procedure di secure development o introdurre strumenti di valutazione della conformità rispetto ai requisiti del Cra.
Il meccanismo di finanziamento a cascata rappresenta uno degli elementi più rilevanti dell’iniziativa. Con singoli progetti co-finanziabili fino a un massimo di 30mila euro, le imprese possono attivare interventi mirati, calibrati sulle proprie esigenze operative e tecnologiche. Le candidature vengono presentate e gestite interamente attraverso la piattaforma digitale sviluppata dal progetto, che copre l’intero ciclo di vita dell’iniziativa, dalla registrazione alla valutazione, fino alla fase di implementazione e monitoraggio. I criteri di selezione includono la pertinenza rispetto agli obiettivi del Cyber Resilience Act, l’impatto atteso in termini di rafforzamento della sicurezza, la fattibilità tecnica ed economica e la qualità complessiva della proposta.
Oltre al sostegno finanziario diretto, Secure integra una componente di accompagnamento che punta a ridurre il divario informativo e metodologico che ancora caratterizza molte PMI rispetto alle normative europee in materia di cybersicurezza. Sono previsti corsi di formazione e workshop ad accesso libero, eventi di networking con stakeholder rilevanti a livello nazionale ed europeo e un repository strutturato di risorse selezionate sulla conformità al Cra. I primi materiali formativi sono già disponibili e includono linee guida pratiche sugli obblighi introdotti dal regolamento, approfondimenti sui requisiti essenziali di cybersicurezza e un quadro metodologico per la valutazione della conformità. Si tratta di strumenti pensati per tradurre in prassi operative disposizioni normative che, per molte imprese, rischierebbero altrimenti di rimanere astratte o difficilmente interpretabili.
Il valore sistemico del progetto è sottolineato da Luca Nicoletti, alla guida del Servizio Programmi Industriali, Tecnologici e di Ricerca di Acn e responsabile dell’Ncc-IT: “Secure rappresenta una delle principali esperienze europee nel supporto alle Pmi in ambito di cybersicurezza”. Nicoletti rimarca inoltre come, attraverso la gestione di un significativo meccanismo di finanziamento a cascata, il progetto “incarna l’impegno concreto dell’UE a investire risorse laddove generano un impatto diretto, promuovendo un ecosistema europeo della cybersicurezza più interconnesso, resiliente e transfrontaliero”. Le sue parole inquadrano Secure quindi non solo come misura di sostegno puntuale, ma come tassello di una più ampia strategia europea di rafforzamento dell’autonomia digitale e della competitività industriale.
La dimensione transfrontaliera è infatti uno degli elementi distintivi dell’iniziativa. Il Cyber Resilience Act mira a superare la frammentazione normativa che ha caratterizzato finora il mercato interno, introducendo requisiti uniformi per tutti gli Stati membri. In questo quadro, il supporto alle Pmi assume una valenza strategica, poiché rappresenta la condizione per evitare che l’innalzamento degli standard si traduca in un fattore di esclusione per le realtà meno strutturate.
Per le imprese italiane, il coordinamento dell’Acn costituisce un ulteriore elemento di rilevanza. L’Agenzia, già impegnata nell’attuazione delle direttive europee in materia di sicurezza delle reti e dei sistemi informativi e nella definizione delle politiche nazionali di cybersicurezza, consolida con Secure il proprio ruolo di hub di competenze e di interfaccia tra livello europeo e tessuto produttivo nazionale. Il progetto consente di integrare le priorità industriali, tecnologiche e di ricerca con le esigenze concrete delle PMI, favorendo un approccio coordinato tra policy, finanziamenti e supporto operativo.
Il primo bando di Secure si configura allora come un banco di prova per la capacità del sistema europeo di accompagnare le Pmi in un passaggio regolatorio di portata strutturale. In prospettiva, l’efficacia dell’iniziativa sarà valutata non solo sulla base del numero di progetti finanziati, ma soprattutto in relazione alla capacità di generare un innalzamento diffuso degli standard di sicurezza lungo l’intera filiera europea dei prodotti digitali.
© RIPRODUZIONE RISERVATA
