Il 7 luglio 2026 la Commissione europea ha presentato un piano d'azione dell'UE sulla cibersicurezza e l'intelligenza artificiale, una comunicazione non vincolante (IP/26/1544) che allinea le norme di cibersicurezza dell'AI Act, del Cyber Resilience Act, della direttiva NIS2 e della direttiva RED in un'unica tabella di marcia operativa per i team responsabili della conformità dei prodotti connessi. Il piano arriva 26 giorni prima che gli obblighi per l'IA per finalità generali (GPAI) dell'AI Act e la maggior parte delle disposizioni ad alto rischio diventino applicabili il 2 agosto 2026 e indica dove l'ENISA, l'AI Office e il Joint Research Centre concentreranno la capacità di supervisione e test fino al 2027.
Per i fabbricanti di apparecchiature radio, di telecomunicazione ed elettriche che si stanno già adeguando ai requisiti di cibersicurezza dell'articolo 3.3(d)-(f) della direttiva RED ai sensi del regolamento delegato (UE) 2022/30 e della norma armonizzata EN 18031, il piano d'azione rappresenta un segnale prospettico, non un nuovo obbligo legale. Indica ai team di valutazione della conformità quali controlli adiacenti all'IA, canali di valutazione e infrastrutture di test sicure saranno presi come riferimento dalle autorità preposte all'applicazione dal 2026 al 2027 e dove la Commissione si aspetta che l'industria investa fin da ora.
Cosa cambia concretamente il piano d'azione per la conformità dei prodotti connessi
La comunicazione non introduce nuove norme vincolanti. Il suo peso è operativo: impegna la Commissione, l'ENISA e il JRC a fornire quattro risultati concreti che i team di conformità per i prodotti connessi dovrebbero monitorare e, se del caso, integrare nei loro programmi di preparazione all'AI Act e al CRA.
- Una capacità di valutazione dell'UE per la cibersicurezza dell'IA, istituita tramite un bando dedicato, che dovrebbe essere operativa nel 2027. Alimenterà la valutazione di terze parti dell'AI Office sulle capacità e sui rischi dei modelli avanzati, integrando il GPAI Code of Practice che diventerà vincolante il 2 agosto 2026.
- Un Blueprint europeo dell'ENISA per l'accesso strutturato a capacità avanzate di IA, che offrirà alle organizzazioni europee pubbliche e private condizioni trasparenti per accedere ai modelli più capaci per i casi d'uso della cibersicurezza.
- Una piattaforma di test sicura JRC-ENISA per la cibersicurezza dell'IA, comprensiva di ambienti simulati, rivolta agli operatori dei settori critici (finanza, energia, sanità, trasporti, pubblica amministrazione).
- Un Grand Challenge dell'UE sull'IA per la cibersicurezza, oltre a partenariati facilitati dall'ENISA tra autorità, imprese e comunità open source, inclusa una campagna per mettere in sicurezza i software open source critici.
Nessuna di queste iniziative sostituisce una valutazione della conformità per la marcatura CE ai sensi della direttiva RED o del CRA. Rappresentano la capacità del settore pubblico su cui le autorità di vigilanza faranno affidamento nel valutare le funzionalità basate sull'IA all'interno dei prodotti connessi e con cui i fornitori possono interagire volontariamente prima che gli obblighi entrino in vigore.
Chi è interessato e con quali tempistiche
I responsabili della conformità e i manager della cibersicurezza dei prodotti presso i fabbricanti dell'UE di apparecchiature radio, di telecomunicazione ed elettriche connesse costituiscono il principale pubblico industriale, insieme ai soggetti essenziali e importanti ai sensi della direttiva NIS2. Le scadenze vincolanti attorno a cui ruota il piano d'azione rimangono invariate ma sono strettamente ravvicinate:
| Data | Obbligo in vigore | Strumento |
|---|---|---|
| 2 agosto 2026 | Obblighi GPAI e maggior parte delle disposizioni dell'AI Act ad alto rischio applicabili; prevista la conformità al GPAI Code of Practice | Regolamento (UE) 2024/1689 (AI Act) |
| 2 agosto 2026 | Cibersicurezza dell'articolo 3.3(d)-(f) della direttiva RED già applicabile dal 1° agosto 2025; presunzioni di conformità tramite la norma EN 18031 | Regolamento delegato (UE) 2022/30 (RED) |
| Fine del 2027 | Cyber Resilience Act pienamente applicabile: sicurezza fin dalla progettazione, segnalazione di vulnerabilità e incidenti, conformità con marcatura CE per i prodotti con elementi digitali | Regolamento (UE) 2024/2847 (CRA) |
| 2027 | Capacità di valutazione dell'UE per la cibersicurezza dell'IA operativa | Impegno del piano d'azione (non vincolante) |
Per un fornitore di dispositivi radio o connessi che immette sul mercato dell'UE una funzionalità basata sull'IA, la sequenza pratica è la seguente: conformità all'AI Act per il componente ad alto rischio dal 2 agosto 2026, conformità alla cibersicurezza RED per l'interfaccia radio già in vigore e conformità al CRA per gli elementi digitali del prodotto entro la fine del 2027. Il piano d'azione non sposta queste date, ma indica quali organismi dell'UE saranno disponibili a supportare ciascun livello.
Cosa dovrebbero fare ora i team di conformità
In primo luogo, mappare ogni funzionalità basata sull'IA nel portafoglio di prodotti radio, di telecomunicazione o elettrici rispetto ai livelli di rischio dell'AI Act e ai requisiti essenziali di cibersicurezza dell'articolo 3.3(d)-(f) della direttiva RED. Laddove una funzionalità si qualifichi come ad alto rischio, la valutazione della conformità e la documentazione sulla gestione dei rischi devono essere pronte prima del 2 agosto 2026, non dopo. In secondo luogo, preparare in anticipo il fascicolo di preparazione al CRA: i processi di segnalazione di vulnerabilità e incidenti, la disciplina della distinta base del software e le prove di sicurezza fin dalla progettazione saranno tutti esaminati nell'ambito dell'applicabilità del CRA di dicembre 2027, e l'AI Office e la piattaforma di test dell'ENISA sono posizionati per interrogare tali prove per i componenti dotati di IA. In terzo luogo, monitorare il Blueprint dell'ENISA e il bando per la capacità di valutazione dell'UE nel loro passaggio da impegno a risultato concreto e valutare la possibilità di coinvolgere tempestivamente il proprio laboratorio di prova o organismo notificato, poiché la capacità sarà scarsa nel periodo precedente al 2027.
Il monitoraggio continuo per giurisdizione di Obsidian fa emergere le comunicazioni della Commissione, le linee guida dell'ENISA e gli aggiornamenti delle norme armonizzate non appena vengono pubblicati, in modo che un team di conformità dei prodotti connessi possa integrare ogni nuovo documento nel proprio fascicolo di preparazione senza dover ripetere manualmente gli stessi controlli quotidiani.
Approfitti di questa sorveglianza in tempo reale
Prossimi passi per i responsabili della conformità: confermare la posizione di conformità all'AI Act del 2 agosto 2026 per ogni funzionalità ad alto rischio, informare il proprio organismo notificato e il partner di test della cibersicurezza sui quattro risultati previsti dal piano d'azione e fissare la scadenza del CRA di dicembre 2027 nelle revisioni della roadmap dei prodotti fin da ora, anziché dopo la pausa estiva.


