← Torna al Blog
Conformità e normative 7 marzo 2026 9 min di lettura

Pubblicate le linee guida sulla legge sulla resilienza informatica dell'UE, previsti i rapporti sulla trasparenza dei DSA e lanciato il quadro di sicurezza 6G

Una settimana intensa per la regolamentazione della sicurezza informatica dell’UE. La Commissione europea ha pubblicato una bozza di linee guida sull’attuazione delle CRA per i fabbricanti di prodotti. È arrivata la prima ondata di rapporti sulla trasparenza dei DSA. Una coalizione di sette nazioni ha pubblicato le linee guida sulla sicurezza fin dalla progettazione del 6G. E le nuove vulnerabilità dell’IA, incluso un exploit Gemini ad alta gravità, sottolineano il motivo per cui l’EU AI Act non può arrivare abbastanza velocemente.


📋 Legge sulla resilienza informatica: bozza di linee guida pubblicata per feedback

Novità: linee guida per l'attuazione delle CRA aperte al commento

3 marzo 2026Legge sulla resilienza informatica (CRA). La guida è aperta al feedback del pubblico, segnando una tappa fondamentale nel momento in cui il regolamento passa dalla legislazione all’attuazione.

The CRA, which entered into force in dicembre 2024, establishes mandatory cybersecurity requirements fortutti i prodotti con elementi digitali venduto nell'UE. Produttori, importatori e distributori devono garantire che i prodotti soddisfino i requisiti di sicurezza essenziali durante tutto il loro ciclo di vita.

Scadenze principali delle CRA

Cosa copre la bozza di linee guida

Gli orientamenti della Commissione affrontano le questioni di attuazione più comuni poste dall'industria:

Azione richiesta:Product manufacturers, software companies, and IoT vendors operating in the EU should review the draft guidance and submit feedback before the consultation period closes. Companies should begin CRA compliance programs now — settembre 2026 reporting obligations are only six months away.


📊 Legge sui servizi digitali: superata la scadenza per i primi rapporti sulla trasparenza

Il primo giro di relazioni sulla trasparenza armonizzateunder the Digital Services Act (DSA) were due by the end of febbraio 2026. Providers of intermediary services — including platforms, hosting services, and search engines — were required to publish reports detailing their content moderation activities, government requests, and algorithmic recommendation systems.

Cosa devono includere i report sulla trasparenza dei DSA

La Commissione europea sta ora esaminando la prima serie di rapporti. Le piattaforme non conformi rischiano sanzioni fino a 6% del fatturato annuo globale. Secondo quanto riferito, diversi servizi intermediari più piccoli non hanno rispettato la scadenza e la Commissione ha segnalato che porterà avanti azioni di esecuzione.


🌐 Sicurezza informatica 6G: la Coalizione occidentale lancia le linee guida Security-by-Design

Nuovo framework: pubblicate le linee guida sulla sicurezza 6G

4 marzo 2026Standard di telecomunicazione 6G. Il quadro prevede che i principi di sicurezza fin dalla progettazione siano integrati fin dalle prime fasi dello sviluppo del 6G.

Le linee guida affrontano direttamente le lezioni apprese dalle controversie sulla sicurezza del 5G, in particolare sui rischi della catena di fornitura e sulla fiducia dei fornitori. I principi chiave includono:

Il quadro si allinea con l’approccio più ampio dell’UE nell’ambito di NIS2 e CRA, creando una posizione normativa unificata per tutte le infrastrutture critiche di telecomunicazioni.


🤖 Le vulnerabilità nella sicurezza dell'IA evidenziano l'urgenza della legge UE sull'intelligenza artificiale

Gli sviluppi sulla sicurezza dell'intelligenza artificiale di questa settimana sottolineano la necessità fondamentale per Legge dell'UE sull'intelligenza artificiale quadro normativo:

Exploit dell'intelligenza artificiale Gemini in Chrome (CVE-2026-0628)

Google ha corretto un problema vulnerabilità di elevata gravità (CVSS 8.8) nella sua implementazione Gemini AI all'interno del browser Chrome. Segnalato dall'Unità 42 di Palo Alto Networks, l'aumento dei privilegi potrebbe aver consentito a estensioni del browser dannose con autorizzazioni di base di dirottare il pannello Gemini Live — accedere alle conversazioni degli utenti ed eseguire azioni per conto dell'utente.

Estensioni AI false che proliferano negli App Store

I ricercatori di sicurezza continuano a segnalare un'ondata di estensioni del browser "AI" contenenti trojan che appaiono negli app store ufficiali. Queste estensioni affermano di fornire funzionalità AI mentre segretamente esfiltrazione di dati utente, token di sessione e attività di navigazione. La tendenza sfrutta la domanda dei consumatori per strumenti di intelligenza artificiale senza un’adeguata sicurezza del mercato.

ContextCrush: strumenti di sviluppo IA sotto attacco

Una vulnerabilità critica denominata "ContestoCrush" è stato scoperto nel Context7 MCP Server, uno strumento utilizzato nelle pipeline di sviluppo dell'intelligenza artificiale. La falla potrebbe consentire agli aggressori di inserire istruzioni dannose nei flussi di lavoro di sviluppo dell’intelligenza artificiale, potenzialmente avvelenare i dati di addestramento dell'IA o gli output dei modelli alla fonte.

Cronologia della legge UE sull'intelligenza artificiale:The Act's prohibited practices provisions took effect in febbraio 2025. High-risk AI system obligations apply from agosto 2026. The EU AI Office is developing harmonized standards and guidance. These vulnerabilities demonstrate exactly why mandatory AI security requirements — including risk assessments, vulnerability management, and transparency obligations — are essential.


📈 Aggiornamento stato NIS2 e DORA

NIS2: l'applicazione si intensifica

Gli stati membri dell’UE continuano a intensificare l’applicazione della normativa NIS2. Principali sviluppi di questa settimana:

DORA: Conto alla rovescia per la conformità del settore finanziario

17 gennaio 2025piena conformità. Principali attività di conformità del primo trimestre 2026:


🗓️ Prossime scadenze normative

Data Regolamento Pietra miliare
giugno 2026 NIS2 Paesi Bassi: scadenza per l'autovalutazione dell'entità
Agosto 2026 Legge dell'UE sull'IA Si applicano obblighi in materia di sistemi di IA ad alto rischio
settembre 2026 CRA Iniziano gli obblighi di segnalazione delle vulnerabilità
Quarto trimestre 2026 DORA Completamento del primo ciclo TLPT per i soggetti rilevanti
dic 2027 CRA È richiesta la piena conformità del prodotto

✅ Azioni di conformità questa settimana

  1. CRA: Esaminare la bozza delle linee guida CRA della Commissione europea e inviare feedback. Iniziare l'inventario dei prodotti e la documentazione SBOM.
  2. DSA: Se sei un fornitore di servizi intermediario, verifica che il tuo rapporto sulla trasparenza sia stato inviato. Affrontare eventuali lacune prima che inizino le azioni di applicazione delle norme.
  3. NIS2: Aggiorna i manuali di risposta agli incidenti con gli insegnamenti tratti dalle rimozioni LeakBase e Tycoon2FA. Esaminare la posizione in materia di sicurezza della catena di fornitura.
  4. DORA: Garantire che i quadri di gestione del rischio ICT siano documentati e presentati. Pianifica test di penetrazione guidati dalle minacce.
  5. Legge dell'UE sull'IA:Audit AI systems for the Gemini/ContextCrush vulnerability patterns. Update AI system risk classifications ahead of agosto 2026 obligations.
  6. Preparazione al 6G: Gli operatori di telecomunicazioni dovrebbero iniziare a rivedere le nuove linee guida di sicurezza 6G per la pianificazione delle infrastrutture a lungo termine.

Automatizza la tua conformità con KENSAI

Monitoraggio continuo della conformità per NIS2, DORA, CRA, GDPR e EU AI Act. Monitoraggio normativo in tempo reale con analisi automatizzata delle lacune.

Inizia la valutazione gratuita →

Rimani conforme. Stai avanti.

🗡️ KENSAI Compliance Intelligence

7 marzo 2026