Una settimana intensa per la regolamentazione della sicurezza informatica dell’UE. La Commissione europea ha pubblicato una bozza di linee guida sull’attuazione delle CRA per i fabbricanti di prodotti. È arrivata la prima ondata di rapporti sulla trasparenza dei DSA. Una coalizione di sette nazioni ha pubblicato le linee guida sulla sicurezza fin dalla progettazione del 6G. E le nuove vulnerabilità dell’IA, incluso un exploit Gemini ad alta gravità, sottolineano il motivo per cui l’EU AI Act non può arrivare abbastanza velocemente.
3 marzo 2026Legge sulla resilienza informatica (CRA). La guida è aperta al feedback del pubblico, segnando una tappa fondamentale nel momento in cui il regolamento passa dalla legislazione all’attuazione.
The CRA, which entered into force in dicembre 2024, establishes mandatory cybersecurity requirements fortutti i prodotti con elementi digitali venduto nell'UE. Produttori, importatori e distributori devono garantire che i prodotti soddisfino i requisiti di sicurezza essenziali durante tutto il loro ciclo di vita.
Gli orientamenti della Commissione affrontano le questioni di attuazione più comuni poste dall'industria:
Azione richiesta:Product manufacturers, software companies, and IoT vendors operating in the EU should review the draft guidance and submit feedback before the consultation period closes. Companies should begin CRA compliance programs now — settembre 2026 reporting obligations are only six months away.
Il primo giro di relazioni sulla trasparenza armonizzateunder the Digital Services Act (DSA) were due by the end of febbraio 2026. Providers of intermediary services — including platforms, hosting services, and search engines — were required to publish reports detailing their content moderation activities, government requests, and algorithmic recommendation systems.
La Commissione europea sta ora esaminando la prima serie di rapporti. Le piattaforme non conformi rischiano sanzioni fino a 6% del fatturato annuo globale. Secondo quanto riferito, diversi servizi intermediari più piccoli non hanno rispettato la scadenza e la Commissione ha segnalato che porterà avanti azioni di esecuzione.
4 marzo 2026Standard di telecomunicazione 6G. Il quadro prevede che i principi di sicurezza fin dalla progettazione siano integrati fin dalle prime fasi dello sviluppo del 6G.
Le linee guida affrontano direttamente le lezioni apprese dalle controversie sulla sicurezza del 5G, in particolare sui rischi della catena di fornitura e sulla fiducia dei fornitori. I principi chiave includono:
Il quadro si allinea con l’approccio più ampio dell’UE nell’ambito di NIS2 e CRA, creando una posizione normativa unificata per tutte le infrastrutture critiche di telecomunicazioni.
Gli sviluppi sulla sicurezza dell'intelligenza artificiale di questa settimana sottolineano la necessità fondamentale per Legge dell'UE sull'intelligenza artificiale quadro normativo:
Google ha corretto un problema vulnerabilità di elevata gravità (CVSS 8.8) nella sua implementazione Gemini AI all'interno del browser Chrome. Segnalato dall'Unità 42 di Palo Alto Networks, l'aumento dei privilegi potrebbe aver consentito a estensioni del browser dannose con autorizzazioni di base di dirottare il pannello Gemini Live — accedere alle conversazioni degli utenti ed eseguire azioni per conto dell'utente.
I ricercatori di sicurezza continuano a segnalare un'ondata di estensioni del browser "AI" contenenti trojan che appaiono negli app store ufficiali. Queste estensioni affermano di fornire funzionalità AI mentre segretamente esfiltrazione di dati utente, token di sessione e attività di navigazione. La tendenza sfrutta la domanda dei consumatori per strumenti di intelligenza artificiale senza un’adeguata sicurezza del mercato.
Una vulnerabilità critica denominata "ContestoCrush" è stato scoperto nel Context7 MCP Server, uno strumento utilizzato nelle pipeline di sviluppo dell'intelligenza artificiale. La falla potrebbe consentire agli aggressori di inserire istruzioni dannose nei flussi di lavoro di sviluppo dell’intelligenza artificiale, potenzialmente avvelenare i dati di addestramento dell'IA o gli output dei modelli alla fonte.
Cronologia della legge UE sull'intelligenza artificiale:The Act's prohibited practices provisions took effect in febbraio 2025. High-risk AI system obligations apply from agosto 2026. The EU AI Office is developing harmonized standards and guidance. These vulnerabilities demonstrate exactly why mandatory AI security requirements — including risk assessments, vulnerability management, and transparency obligations — are essential.
Gli stati membri dell’UE continuano a intensificare l’applicazione della normativa NIS2. Principali sviluppi di questa settimana:
17 gennaio 2025piena conformità. Principali attività di conformità del primo trimestre 2026:
| Data | Regolamento | Pietra miliare |
|---|---|---|
| giugno 2026 | NIS2 | Paesi Bassi: scadenza per l'autovalutazione dell'entità |
| Agosto 2026 | Legge dell'UE sull'IA | Si applicano obblighi in materia di sistemi di IA ad alto rischio |
| settembre 2026 | CRA | Iniziano gli obblighi di segnalazione delle vulnerabilità |
| Quarto trimestre 2026 | DORA | Completamento del primo ciclo TLPT per i soggetti rilevanti |
| dic 2027 | CRA | È richiesta la piena conformità del prodotto |
Monitoraggio continuo della conformità per NIS2, DORA, CRA, GDPR e EU AI Act. Monitoraggio normativo in tempo reale con analisi automatizzata delle lacune.
Inizia la valutazione gratuita →Rimani conforme. Stai avanti.
🗡️ KENSAI Compliance Intelligence
7 marzo 2026