Pubblicato in Gazzetta Ufficiale dell’Unione europea il Regolamento delegato (UE) 2026/88 dell’11 dicembre 2025 che integra il Regolamento (UE) 2024/2847 (Regolamento sulla ciberresilienza), specificando i termini e le condizioni per l’applicazione dei motivi connessi alla cibersicurezza relativamente al ritardo nella diffusione delle notifiche.
In circostanze eccezionali e, in particolare, su richiesta del fabbricante e alla luce del grado di sensibilità delle informazioni notificate, per motivi giustificati connessi alla cibersicurezza, il team di risposta agli incidenti di sicurezza informatica (CSIRT), designato come coordinatore, che ha ricevuto per primo la notifica di una vulnerabilità attivamente sfruttata o di un incidente grave che abbia un impatto sulla sicurezza di un prodotto con elementi digitali, può decidere di ritardare per un periodo di tempo strettamente necessario la diffusione di tale notifica mediante la piattaforma unica di segnalazione ai CSIRT designati come coordinatori, sul cui territorio, il fabbricante che ha trasmesso la notifica, ha indicato che è stato messo a disposizione il prodotto con elementi digitali.
Il Regolamento pubblicato stabilisce quindi i termini e le condizioni per l’applicazione di tali motivi.
Qualora si applichino tali motivi, il CSIRT che ha ricevuto per primo la notifica può ritardare la diffusione ai CSIRT pertinenti per un periodo di tempo strettamente necessario, ma non è tenuto a farlo.
A norma dell’art. 16, par. 2, del Regolamento sulla ciberresilienza, se decide di applicare tali motivi il CSIRT che ha ricevuto per primo la notifica deve informare immediatamente ENISA della decisione di ritardarne la diffusione e delle ragioni alla base di tale decisione, e indicare quando intende diffondere ulteriormente la notifica: in conformità al secondo comma di tale articolo, tuttavia, i termini e le condizioni per l’applicazione dei motivi connessi alla cibersicurezza stabiliti nel presente regolamento non si applicano all’accesso dell’ENISA alle informazioni notificate.
Tale accesso può essere limitato solo in circostanze particolarmente eccezionali, specificamente indicate nel comma 3 dell’articolo citato: in tali casi, le uniche informazioni che devono essere rese simultaneamente disponibili all’ENISA sono l’avvenuta notifica da parte del fabbricante, le informazioni generali sul prodotto con elementi digitali, le informazioni sulla natura generale dello sfruttamento e l’informazione che sono stati sollevati motivi di sicurezza.
