Informazione tecnica HSE

~ 2000 / 2026 ~

// Documenti disponibili n: 47.308
// Documenti scaricati n: 38.025.150

Sicurezza
Guide INAIL
Ambiente
Guide ISPRA
Chemicals
Guide ECHA
Marcatura CE
Guide CE
Prevenzione Incendi
Guide PI
Merci Pericolose
Radiazioni ionizzanti
Direttiva macchine
HACCP
Impianti
Trasporto
Normazione
Costruzioni

Regolamento delegato (UE) 2026/881

ID 26040 Visite: 9 Cybersicurezza
Permalink:  https://www.certifico.com/id/26040
1 allegato

Regolamento delegato (UE) 2026/881

ID 26040 | 20.04.2026

Regolamento delegato (UE) 2026/881 della Commissione, dell'11 dicembre 2025, che integra il regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio specificando i termini e le condizioni per l'applicazione dei motivi connessi alla cibersicurezza relativamente al ritardo nella diffusione delle notifiche

C/2025/8407

GU L 2026/881 del 20.4.2026

Entrata in vigore: 10.05.2026

________

Articolo 1 Oggetto

Il presente regolamento specifica i termini e le condizioni per l'applicazione dei motivi connessi alla cibersicurezza di cui all'articolo 16, paragrafo 2, del regolamento (UE) 2024/2847 che consentono al CSIRT designato come coordinatore che ha ricevuto per primo una notifica a norma dell'articolo 14, paragrafi 1 e 3, nonché dell'articolo 15, paragrafi 1 e 2, di tale regolamento di ritardare la diffusione della notifica ai CSIRT designati come coordinatori sul cui territorio il fabbricante ha indicato che il prodotto con elementi digitali è stato messo a disposizione.

Articolo 2 Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

1) «CSIRT che ha ricevuto per primo la notifica»: il CSIRT designato come coordinatore che ha ricevuto per primo la notifica a norma dell'articolo 14, paragrafi 1 e 3, e dell'articolo 15, paragrafi 1 e 2, del regolamento (UE) 2024/2847;

2) «CSIRT pertinente»: il CSIRT designato come coordinatore sul cui territorio il fabbricante ha indicato che il prodotto con elementi digitali è stato messo a disposizione.

Articolo 3 Termini e condizioni per l'applicazione dei motivi connessi alla cibersicurezza derivanti dalla natura delle informazioni comunicate

Il CSIRT che ha ricevuto per primo la notifica può decidere di ritardare, per un periodo di tempo limitato allo stretto necessario, la diffusione delle notifiche o di parti di esse ai CSIRT pertinenti nei casi in cui, alla luce della sensibilità delle informazioni notificate, i rischi di cibersicurezza posti dalla diffusione siano superiori ai benefici in termini di sicurezza e tali rischi non possano essere attenuati applicando restrizioni al trattamento o all'ulteriore condivisione della notifica attraverso protocolli adeguati, quali il protocollo del semaforo (Traffic Light Protocol, TLP) o il protocollo delle azioni consentite (Permissible Actions Protocol, PAP), e qualora sia soddisfatta almeno una delle condizioni seguenti:

a) il fabbricante ha informato il CSIRT che ha ricevuto per primo la notifica che entro 72 ore è prevista la messa a disposizione di una misura efficace di attenuazione dei rischi, come un aggiornamento di sicurezza o orientamenti per gli utilizzatori; se entro tale termine non è messa a disposizione una misura efficace di attenuazione dei rischi, il CSIRT che ha ricevuto per primo la notifica la diffonde ai CSIRT pertinenti;

b) le informazioni comprese nella notifica sono ritenute sufficienti, alla luce della natura della vulnerabilità attivamente sfruttata notificata, per creare una tecnica di sfruttamento, in particolare quando la vulnerabilità può essere facilmente individuata e sfruttata da soggetti con competenze e risorse limitate; una volta disponibile una misura efficace di attenuazione dei rischi, come un aggiornamento di sicurezza o orientamenti per gli utilizzatori, il CSIRT che ha ricevuto per primo la notifica la diffonde ai CSIRT pertinenti;

c) il CSIRT che ha ricevuto per primo la notifica è in grado di condividere con i CSIRT pertinenti informazioni sufficienti a garantire che questi ultimi possano mettere in atto adeguate misure di attenuazione dei rischi; una volta disponibile una misura efficace di attenuazione dei rischi, come un aggiornamento di sicurezza o orientamenti per gli utilizzatori, il CSIRT che ha ricevuto per primo la notifica diffonde la notifica completa ai CSIRT pertinenti;

d) il CSIRT che ha ricevuto per primo la notifica della vulnerabilità attivamente sfruttata ne è stato informato nell'ambito di una divulgazione coordinata delle vulnerabilità per la quale tale CSIRT agisce in qualità di intermediario di fiducia a norma dell'articolo 12, paragrafo 1, della direttiva (UE) 2022/2555; in tal caso, e conformemente all'articolo 16, paragrafo 6, del regolamento (UE) 2024/2847, il CSIRT che ha ricevuto per primo la notifica la diffonde ai CSIRT pertinenti quando ritardarne la diffusione non è più strettamente necessario ed è stato dato il consenso alla divulgazione dalle parti coinvolte nella divulgazione coordinata delle vulnerabilità.

Articolo 4 Termini e condizioni per l'applicazione dei motivi connessi alla cibersicurezza in relazione a uno specifico CSIRT

Il CSIRT che ha ricevuto per primo la notifica può decidere di ritardare per un periodo di tempo strettamente necessario la diffusione delle notifiche o di parti di esse a uno specifico CSIRT pertinente nei casi in cui:

a) il CSIRT pertinente è stato interessato da un incidente di cibersicurezza che ha messo in dubbio la sua capacità di garantire la riservatezza delle informazioni notificate;

b) ha motivi sufficienti di ritenere che le capacità del CSIRT pertinente siano inadeguate a garantire la riservatezza delle informazioni notificate.

Nei casi di cui al primo comma, lettera a), il CSIRT che ha ricevuto per primo la notifica può ritardare la diffusione fino a quando il CSIRT pertinente non abbia informato la rete di CSIRT di cui all'articolo 15 della direttiva (UE) 2022/2555 del ripristino della sua capacità di garantire la riservatezza delle notifiche.

Nei casi di cui al primo comma, lettera b), il CSIRT che ha ricevuto per primo la notifica può ritardare la diffusione al CSIRT pertinente fino a quando quest'ultimo non abbia fornito prove di aver affrontato le carenze individuate.

Articolo 5 Termini e condizioni per l'applicazione dei motivi connessi alla cibersicurezza in relazione alla piattaforma unica di segnalazione

Il CSIRT che ha ricevuto per primo la notifica può decidere di ritardare la diffusione delle notifiche attraverso la piattaforma unica di segnalazione istituita dall'articolo 16 del regolamento (UE) 2024/2847 qualora l'ENISA abbia informato la rete di CSIRT, a norma dell'articolo 16, paragrafo 4, di tale regolamento, che la piattaforma unica di segnalazione è stata interessata da un incidente di cibersicurezza che mette in dubbio la sua capacità di garantire la riservatezza delle informazioni notificate. In tali casi il CSIRT che ha ricevuto per primo la notifica può ritardare la diffusione attraverso la piattaforma unica di segnalazione fino a quando l'ENISA non abbia informato la rete di CSIRT che è stata ripristinata la capacità della piattaforma di garantire la riservatezza delle notifiche.

Articolo 6

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

[...]

Collegati

Allegati
Descrizione Lingua Dimensioni Downloads
Scarica il file (Regolamento delegato (UE) 2026/881)
Regolamento delegato (UE) 2026/881
IT 1090 kB 0
Image

Sicurezza L.

Image

Ambiente

Image

Normazione

Image

Marcat. CE

Image

P. Incendi

Image

Chemicals

Image

Impianti

Image

Macchine

Image

Merci P.

Image

Costruzioni

Image

Trasporti

Image

HACCP

Certifico s.r.l.

Sede: Via A. De Curtis, 28 - 06135 Perugia - IT
Sede: Via Madonna Alta 138/A - 06128 Perugia - IT
P. IVA: IT02442650541

Tel. 1: +39 075 599 73 63
Tel. 2: +39 075 599 73 43

Assistenza: 800 14 47 46

www.certifico.com
info@certifico.com

Testata editoriale iscritta al n. 22/2024 del registro periodici della cancelleria del Tribunale di Perugia in data 19.11.2024

Info

Marketing

Utilities

Policies

Store

Social

Media