剣 KENSAI
← All posts · security · 2026-03-21 · 10 min

La FCA del Regno Unito riforma la segnalazione degli incidenti cyber, la regolamentazione alimenta una spesa cyber record, Gartner avverte: l'IA dominerà la risposta agli incidenti entro il 2028

L'autorità finanziaria britannica FCA emana regole semplificate per la segnalazione degli incidenti cyber e dei fornitori terzi, in vigore da marzo 2027. Un nuovo rapporto Bridewell rivela che la regolamentazione è diventata il principale fattore trainante della spesa in cybersicurezza delle infrastrutture critiche del Regno Unito con il 35%, superando gli investimenti basati sulle minacce. Gartner prevede che i problemi legati all'IA assorbiranno il 50% degli sforzi di risposta agli incidenti entro il 2028. Il CA/Browser Forum conferma che la durata dei certificati TLS sarà ridotta a 47 giorni entro il 2029. Gli agenti IA ombra superano la visibilità della sicurezza aziendale. Sviluppi normativi critici — 21 marzo 2026.

Siete conformi ai requisiti di segnalazione NIS2, DORA e FCA? KENSAI mappa automaticamente la vostra postura di sicurezza rispetto ai quadri normativi.
Verifica di conformità gratuita →

🏦 La FCA del UK riforma la segnalazione degli incidenti cyber e dei fornitori terzi

Nuove regole di segnalazione FCA — In vigore dal 18 marzo 2027

L'autorità finanziaria britannica FCA ha emanato nuove regole per la segnalazione degli incidenti cyber e delle interruzioni dei fornitori terzi, concedendo alle imprese finanziarie 12 mesi per prepararsi a un regime semplificato allineato con la Prudential Regulation Authority e la Banca d'Inghilterra. Le modifiche rispondono al feedback dell'industria che segnalava che gli obblighi di segnalazione esistenti erano poco chiari e ridondanti.

Cosa è cambiato

Il direttore della FCA Mark Francis ha definito la riforma essenziale per un'era in cui « la resilienza viene messa alla prova come mai prima d'ora ». Le modifiche principali includono:

Parallelismi con DORA

L'attenzione della FCA al rischio dei terzi riflette il Digital Operational Resilience Act (DORA) dell'UE, in vigore da gennaio 2025. Entrambi i quadri condividono un riconoscimento fondamentale: la resilienza del settore finanziario dipende dalla visibilità della catena di fornitura. Le organizzazioni che operano nelle giurisdizioni UK e UE dovrebbero notare la convergenza — la conformità a un quadro riduce significativamente lo sforzo per l'altro.

Per le entità regolamentate da DORA: Il modello semplificato di segnalazione della FCA potrebbe fungere da modello per ottimizzare i vostri processi di segnalazione degli incidenti nell'UE. Confrontate i vostri flussi di lavoro di segnalazione DORA esistenti con le nuove soglie della FCA per identificare ridondanze e lacune.


📊 La regolamentazione è ora il principale fattore trainante della spesa cyber nelle infrastrutture critiche del UK

Rapporto Bridewell Cybersecurity in CNI 2026

Un rapporto fondamentale della società britannica di cybersicurezza Bridewell rivela che il 35% dei responsabili della sicurezza nei 13 settori delle infrastrutture nazionali critiche del UK ora cita i requisiti normativi come influenza principale sui propri programmi di sicurezza — rispetto al 26% nel 2025 e al 29% nel 2024.

L'effetto regolamentare

Nel frattempo, altri fattori trainanti tradizionali — maggiore connettività, supporto all'innovazione e minacce cyber in evoluzione — sono rimasti fermi al solo 25% come influenze principali. Il cambiamento è attribuito a:

Il divario conformità-resilienza

Nonostante gli investimenti guidati dalla regolamentazione, l'adozione rimane incoerente. Meno della metà dei rispondenti (46%) ha dichiarato di aver implementato il NCSC CAF, e solo il 29% ha segnalato l'adozione di NIS2. Più preoccupante: il 39% ammette una scarsa fiducia nelle proprie misure di cybersicurezza per la protezione dei dati.

Il CEO di Bridewell Anthony Young ha avvertito che « la conformità sulla carta non si traduce automaticamente in resilienza operativa. I regolatori pongono domande più difficili, e le organizzazioni dovranno dimostrare sia l'allineamento delle politiche che capacità nel mondo reale ».


🤖 Gartner: i problemi legati all'IA guideranno il 50% della risposta agli incidenti entro il 2028

Implicazioni per la governance del Regolamento IA dell'UE

Gartner prevede che entro il 2028, almeno la metà degli sforzi di risposta agli incidenti aziendali sarà dedicata alla gestione di problemi di sicurezza legati ad applicazioni IA sviluppate internamente. Questa previsione ha implicazioni dirette per la conformità al Regolamento IA dell'UE — le organizzazioni che implementano sistemi IA ad alto rischio devono integrare la sicurezza nel ciclo di sviluppo, non aggiungerla dopo il deployment.

La sfida della governance della sicurezza IA

« L'IA si evolve rapidamente, ma molti strumenti — in particolare le applicazioni IA sviluppate internamente — vengono implementati prima di essere completamente testati », ha avvertito Christopher Mixter, VP analista di Gartner. « Questi sistemi sono complessi, dinamici e difficili da proteggere nel tempo ».

Previsioni chiave di Gartner per il panorama della governance IA:

Cosa significa per la conformità al Regolamento IA dell'UE

In base al Regolamento IA dell'UE, gli operatori di sistemi IA ad alto rischio devono implementare una gestione dei rischi robusta, compresi test di sicurezza e monitoraggio. La previsione di Gartner valida l'approccio « shift-left » del Regolamento — se le organizzazioni aspettano che i sistemi IA siano in produzione per affrontare la sicurezza, i costi di risposta agli incidenti saranno insostenibili.


🔐 La durata dei certificati TLS si riduce a 47 giorni

Calendario del CA/Browser Forum confermato

Il CA/Browser Forum ha formalmente programmato una riduzione drastica dei periodi di validità dei certificati TLS, passando da un anno a 47 giorni nell'arco di circa tre anni. Il calendario:

FaseValidità massimaData obiettivo
Attuale398 giorni (1 anno)Ora
Fase 1200 giorni~2027
Fase 2100 giorni~2028
Fase 347 giorni~2029

Implicazioni normative

Per le organizzazioni soggette a NIS2, DORA o CRA, questo calendario significa che la gestione del ciclo di vita dei certificati diventa un requisito di conformità critico. Le organizzazioni devono essere in grado di:

Connessione NIS2: NIS2 richiede alle entità essenziali e importanti di mantenere una gestione robusta delle chiavi crittografiche. Le organizzazioni prive di automazione dei certificati sono già a rischio di non conformità — i certificati di 47 giorni renderanno impossibile ignorare questo divario.


👻 Gli agenti IA ombra superano la visibilità della sicurezza aziendale

Il problema della governance dell'IA agentiva

Un crescente corpo di ricerca indica che gli agenti IA autonomi che operano negli ambienti aziendali stanno superando la capacità dei team di sicurezza di monitorarli. Questi deployment di « IA ombra » — agenti IA implementati dalle unità aziendali senza la supervisione del team di sicurezza — creano esposizione normativa su più quadri:

Okta ha recentemente presentato un nuovo quadro specificamente progettato per proteggere gli agenti IA aziendali, mentre Gartner stima che entro il 2028, il 40% delle aziende subirà incidenti di sicurezza legati all'IA ombra. La convergenza tra la proliferazione dell'IA e l'applicazione normativa crea un imperativo di governance urgente.


📋 Azioni di conformità — 21 marzo 2026

  1. Segnalazione FCA (Servizi finanziari UK):
    • Esaminare il nuovo regime di segnalazione FCA pubblicato il 19 marzo 2026
    • Confrontare i processi di segnalazione degli incidenti esistenti con le soglie semplificate
    • Verificare la documentazione delle dipendenze dai terzi — il 40% degli incidenti segnalati coinvolge fornitori
    • Pianificare la transizione al portale congiunto FCA/PRA/BoE prima di marzo 2027
  2. Governance IA (Regolamento IA dell'UE / GDPR):
    • Inventariare tutte le applicazioni IA — inclusi i deployment di IA ombra da parte delle unità aziendali
    • Classificare i sistemi IA per livello di rischio del Regolamento IA dell'UE
    • Integrare i team di sicurezza nello sviluppo IA dall'inizio del progetto (« shift left »)
    • Implementare piattaforme di sicurezza IA per il monitoraggio dell'uso di IA di terzi e interna
  3. Gestione dei certificati (NIS2 / CRA):
    • Eseguire una scansione di scoperta dei certificati su tutta l'infrastruttura
    • Valutare gli strumenti di automazione della gestione del ciclo di vita dei certificati
    • Iniziare la pianificazione per periodi di validità di 200 giorni come primo traguardo
    • Documentare i processi di gestione delle chiavi crittografiche per la preparazione all'audit NIS2
  4. NIS2 & DORA (Applicazione in corso):
    • Verificare le capacità di segnalazione degli incidenti entro 24/72 ore
    • Aggiornare i registri dei rischi dei terzi ICT per includere i fornitori di servizi IA
    • Condurre test di penetrazione guidati dalle minacce come richiesto
    • Effettuare il benchmarking rispetto al NCSC CAF se si opera nei settori CNI del UK