Η νέα πρόταση για την αναθεώρηση του ευρωπαϊκού Cybersecurity Act, γνωστή ως CSA2, φέρνει στο προσκήνιο μια από τις πιο σύνθετες συζητήσεις της ψηφιακής εποχής: πώς μπορεί η Ευρωπαϊκή Ένωση να ενισχύσει την κυβερνοασφάλειά της χωρίς να θολώσει τα όρια ανάμεσα στην ευρωπαϊκή ρύθμιση, την ενιαία αγορά, την εθνική κυριαρχία και τον θεμιτό ανταγωνισμό.

Η πρόταση, που παρουσιάστηκε τον Ιανουάριο του 2026, επιδιώκει να ενισχύσει τις δυνατότητες της ΕΕ στην κυβερνοασφάλεια, να περιορίσει τον κατακερματισμό των κανόνων στην ενιαία αγορά και να αναμορφώσει το ευρωπαϊκό πλαίσιο πιστοποίησης. Στο επίκεντρο βρίσκονται η ενίσχυση του ENISA, η μεταρρύθμιση του European Cybersecurity Certification Framework, η απλοποίηση διαδικασιών που συνδέονται με την NIS2 και η μεγαλύτερη έμφαση στην ασφάλεια της εφοδιαστικής αλυσίδας ICT.
Η κατεύθυνση αυτή απαντά σε υπαρκτές ανάγκες. Οι ψηφιακές υποδομές αποτελούν πλέον κρίσιμο τμήμα της οικονομικής και κρατικής λειτουργίας, ενώ δίκτυα όπως το 5G, οι υπηρεσίες cloud και η εφοδιαστική αλυσίδα τεχνολογικού εξοπλισμού έχουν άμεση σχέση με την ανθεκτικότητα των ευρωπαϊκών οικονομιών. Ωστόσο, η συζήτηση γύρω από το CSA2 δεν αφορά μόνο την ασφάλεια. Αφορά και το ποιος αποφασίζει, με ποια κριτήρια και με ποια θεσμικά όρια.



Η βασική αλλαγή είναι ότι το CSA2 φαίνεται να μετατοπίζει το βάρος από την παραδοσιακή τεχνική πιστοποίηση προϊόντων και υπηρεσιών προς μια ευρύτερη αξιολόγηση κινδύνων. Στο νέο περιβάλλον, η ασφάλεια μιας ψηφιακής υποδομής δεν αξιολογείται αποκλειστικά με βάση τον κώδικα, την ανθεκτικότητα του λογισμικού ή τα τεχνικά πρότυπα. Μπορεί να συνδέεται και με μη τεχνικούς παράγοντες, όπως το νομικό σύστημα μιας τρίτης χώρας ή το πολιτικό της περιβάλλον.

Εδώ βρίσκεται και το πιο ευαίσθητο σημείο. Παρότι οι ανησυχίες για την ασφάλεια δεν μπορούν να αγνοηθούν, η μετάβαση από την τεχνική αξιολόγηση στη χρήση πρόσθετων γεωπολιτικών ή άλλων ασαφών θεσμικών κριτηρίων δημιουργεί εύλογο προβληματισμό. Ένα προϊόν ή μια υπηρεσία μπορεί να ελεγχθεί με συγκεκριμένα πρότυπα. Η αξιολόγηση, όμως, του πολιτικού περιβάλλοντος μιας χώρας είναι πιο σύνθετη, λιγότερο μετρήσιμη και δυνητικά πιο αμφισβητήσιμη.

Αυτό δεν σημαίνει ότι η Ευρώπη πρέπει να παραβλέπει τους κινδύνους. Σημαίνει, όμως, ότι οι αποφάσεις που επηρεάζουν ολόκληρες αγορές και κρίσιμες υποδομές πρέπει να βασίζονται σε σαφή, αντικειμενικά και αδιαμφισβήτητα τεχνολογικά  κριτήρια. Διαφορετικά, υπάρχει ορατός κίνδυνος, ο χαρακτηρισμός ενός προμηθευτή ως «υψηλού κινδύνου» να εκληφθεί όχι ως αποτέλεσμα τεχνικής αξιολόγησης, αλλά ως πολιτική επιλογή. Για τις επιχειρήσεις, αυτό μεταφράζεται σε νομική αβεβαιότητα. Για τα κράτη-μέλη, ανοίγει τη συζήτηση για τα όρια ανάμεσα στην ευρωπαϊκή πολιτική κυβερνοασφάλειας και την εθνική αρμοδιότητα σε ζητήματα ασφάλειας.

Το ζήτημα αποκτά ιδιαίτερο βάρος επειδή αγγίζει την έννοια της κυριαρχίας. Σύμφωνα με το Άρθρο 4(2) της Συνθήκης για την Ευρωπαϊκή Ένωση, η εθνική ασφάλεια παραμένει αποκλειστική αρμοδιότητα κάθε κράτους-μέλους. Παράλληλα, η ΕΕ έχει ισχυρή αρμοδιότητα στην ενιαία αγορά και στη θέσπιση κοινών κανόνων κυβερνοασφάλειας. Το CSA2 κινείται ακριβώς σε αυτό το σημείο τομής, όπου η ανάγκη κοινής ευρωπαϊκής δράσης συναντά τα όρια της εθνικής κυριαρχίας.

Δεν είναι η πρώτη φορά που ανακύπτουν τέτοιες επιφυλάξεις. Κατά την αρχική συζήτηση του Cybersecurity Act το 2017, θεσμικοί φορείς στη Γαλλία, τη Γερμανία και την Τσεχία είχαν εκφράσει προβληματισμούς για ζητήματα επικουρικότητας, αναλογικότητας και εθνικής ασφάλειας. Αντίστοιχοι προβληματισμοί διατυπώθηκαν πρόσφατα, μεταξύ άλλων από τη φινλανδική και την ολλανδική πλευρά, με έμφαση στην ανάγκη σαφών ορίων και αντικειμενικών κριτηρίων.

Υπάρχει όμως και το οικονομικό σκέλος, το οποίο συχνά υποτιμάται στη δημόσια συζήτηση. Εκτιμήσεις της GSMA έχουν δείξει ότι περιορισμοί ή σταδιακή απομάκρυνση συγκεκριμένων προμηθευτών από τα δίκτυα 5G θα μπορούσαν να αυξήσουν σημαντικά το κόστος ανάπτυξης δικτύων, με αναφορές σε επιβαρύνσεις δεκάδων δισεκατομμυρίων ευρώ. Μελέτη της Oxford Economics έχει εκτιμήσει πρόσθετο επενδυτικό κόστος σχεδόν 3 δισ. ευρώ ετησίως κατά μέσο όρο την επόμενη δεκαετία. Για τους παρόχους τηλεπικοινωνιακών υπηρεσιών, η αντικατάσταση εξοπλισμού δεν είναι μια απλή προσαρμογή, αλλά μακροχρόνια επιχειρησιακή διαδικασία με μεγάλο κόστος, τεχνικό ρίσκο και πιθανές καθυστερήσεις για την ψηφιακή μετάβαση της Ευρώπης και των κρατών-μελών της.

Από αυτή την άποψη, η συζήτηση δεν μπορεί να περιοριστεί στο δίλημμα «ασφάλεια ή κόστος». Η κυβερνοασφάλεια είναι απαραίτητη, αλλά η αποτελεσματικότητά της εξαρτάται και από την αξιοπιστία των κανόνων. Ένα πλαίσιο που βασίζεται σε τεκμηριωμένες τεχνικές αξιολογήσεις, σαφείς διαδικασίες και δυνατότητα ελέγχου των αποφάσεων μπορεί να ενισχύσει την ευρωπαϊκή ασφάλεια χωρίς να δημιουργήσει την αίσθηση διακριτικής μεταχείρισης συγκεκριμένων χωρών ή προμηθευτών.

Το ζητούμενο, επομένως, είναι μια πιο προσεκτική ισορροπία. Η Ευρώπη έχει κάθε λόγο να προστατεύσει τις κρίσιμες ψηφιακές της υποδομές και να μειώσει τις ευπάθειες της εφοδιαστικής αλυσίδας προϊόντων τεχνολογίας. Ταυτόχρονα, βέβαια, χρειάζεται να αποφύγει ένα πλαίσιο στο οποίο οι τεχνολογικές επιλογές θα καθορίζονται περισσότερο από γεωπολιτικές εντάσεις παρά από αποδείξιμα και συγκρίσιμα κριτήρια ασφάλειας.

Το CSA2 μπορεί να αποτελέσει σημαντικό βήμα για μια πιο ασφαλή και αυτόνομη Ευρώπη. Η επιτυχία του, όμως, θα κριθεί από το αν θα μπορέσει να συνδυάσει ασφάλεια, κυριαρχία και θεσμική σαφήνεια, χωρίς να δημιουργήσει νέα αβεβαιότητα για κράτη, επιχειρήσεις και προμηθευτές. Σε μια περίοδο όπου η τεχνολογία έχει γίνει πεδίο διεθνούς ανταγωνισμού, η ευρωπαϊκή απάντηση θα είναι ισχυρότερη αν δεν στηρίζεται σε γενικούς αποκλεισμούς, αλλά σε διαφανείς κανόνες, αντικειμενική αξιολόγηση βασισμένη σε αδιαμφισβήτητα τεχνολογικά διεθνή πρότυπα και κριτήρια.