È stato pubblicato nella Gazzetta Ufficiale dell'Unione europea il Regolamento delegato (UE) 2026/88 dell'11 dicembre 2025, adottato in attuazione del Regolamento sulla ciberresilienza (UE) 2024/2847. Il nuovo atto normativo disciplina i presupposti e le modalità con cui è possibile differire, per ragioni di sicurezza informatica, la circolazione delle notifiche tra le autorità competenti.
Il meccanismo ruota attorno al CSIRT designato come coordinatore che riceve per primo la segnalazione. Quando un fabbricante notifica una vulnerabilità attivamente sfruttata o un incidente grave che compromette la sicurezza di un prodotto digitale, tale CSIRT può — su richiesta del fabbricante e in presenza di giustificate esigenze di riservatezza — sospendere temporaneamente la trasmissione della notifica agli altri CSIRT coordinatori operanti nei territori in cui il prodotto risulta commercializzato. La sospensione non è automatica né obbligatoria: il CSIRT ricevente ne valuta la necessità caso per caso, e la sua durata non può eccedere il tempo strettamente indispensabile.
Sul fronte degli obblighi procedurali, il Regolamento sulla ciberresilienza impone al CSIRT che dispone il differimento di darne comunicazione immediata all'ENISA, indicando le ragioni della decisione e la data prevista per la successiva diffusione. È importante precisare, tuttavia, che le condizioni fissate dal Regolamento delegato non si estendono all'accesso dell'ENISA alle informazioni notificate: l'Agenzia, in linea di principio, non subisce restrizioni.
Una limitazione nei confronti dell'ENISA è ammessa solo in ipotesi del tutto eccezionali, tassativamente elencate. In questi casi residuali, le informazioni che devono comunque esserle rese disponibili in tempo reale si riducono al minimo essenziale: la conferma dell'avvenuta notifica da parte del fabbricante, i dati identificativi generali del prodotto, una descrizione della natura dello sfruttamento in atto e la segnalazione che sono stati sollevati motivi di sicurezza.
