Il Radar ENISA per la tecnologia e l'innovazione: cosa significa la metodologia per i fabbricanti CRA

ENISA ha pubblicato la metodologia del suo Technology and Innovation Radar (TIR) ad aprile 2026 (ISBN 978-92-9204-790-0, DOI 10.2824/2390334). Prima ancora che esca la prima edizione del radar, il quadro completo di valutazione è pubblico. Spiega esattamente come ENISA classificherà ogni tecnologia di cibersicurezza su una scala a cinque zone, da «riconoscere» (non ancora adatta alla distribuzione) a «attuare» (distribuire ora e scalare).

Per i fabbricanti CRA, questo ha rilevanza diretta. L'Articolo 13 del Cyber Resilience Act richiede di mantenere i prodotti sicuri per tutto il loro ciclo di vita, riflettendo lo stato dell'arte. Il TIR diventerà la mappa ufficiale UE più attendibile di cosa significa in pratica la sicurezza «allo stato dell'arte». Capire come funziona il punteggio prima che i primi risultati vengano pubblicati dà un vantaggio concreto.

Ecco cosa contiene la metodologia e cosa è necessario comprendere.

Cosa intende ENISA per «segnale»

Un segnale, nella pratica della foresight, è una manifestazione tangibile di novità: un indicatore osservabile che qualcosa sta emergendo o cambiando. Il TIR di ENISA non monitora categorie generali come «intelligenza artificiale» o «zero trust». Monitora applicazioni tecnologiche specifiche, denominate, a un livello di astrazione definito.

La metodologia utilizza una tassonomia a quattro livelli per classificare ogni segnale candidato prima che entri nella pipeline di valutazione. I segnali che non possono essere collocati in una di queste quattro categorie vengono segnalati come troppo vaghi e rimandati per revisione.

Gli strumenti sono prodotti software concreti o utility che svolgono un compito specifico all'interno di un ciclo di vita di sviluppo o operativo. Un analizzatore di protocolli di rete è uno strumento.

Le piattaforme sono ecosistemi fondativi o ambienti di runtime che forniscono infrastruttura, servizi e capacità di integrazione per costruire, distribuire e scalare applicazioni. I sistemi di orchestrazione, automazione e risposta alla sicurezza (SOAR) sono piattaforme.

Le tecniche sono metodi sistematici, pattern o approcci utilizzati per progettare, testare e sviluppare sistemi software. La crittografia post-quantistica è una tecnica.

Le tendenze sono cambiamenti emergenti nei paradigmi, nei quadri o nelle pratiche dell'ecosistema della cibersicurezza che influenzano come le tecnologie vengono applicate. L'architettura zero trust è una tendenza.

Un segnale classificato come troppo ampio deve essere riformulato prima di poter procedere. «L'AI nella cibersicurezza» è troppo vago. «Il machine learning per il rilevamento comportamentale delle minacce» è sufficientemente specifico da valutare. ENISA applica un albero decisionale a quattro domande per assegnare ogni segnale: l'organizzazione può distribuirlo concretamente? Svolge un compito specifico o fornisce un ecosistema fondativo? È un modo strutturato di fare qualcosa piuttosto che un prodotto? Rappresenta una filosofia di sicurezza ampia? Le risposte portano a una delle quattro categorie, oppure all'esito «troppo vago: rivedere».

Ogni voce di segnale nel repository centralizzato di ENISA deve contenere un insieme minimo di metadati:

• Nome del segnale e breve descrizione
• Technology Readiness Level (TRL), dalla fonte o ricavato tramite la migliore stima disponibile
• Livello di adozione attuale (innovatori, early adopter, maggioranza precoce, maggioranza tardiva, ritardatari)
• Tipo di fonte (rapporto di mercato, documento politico, white paper, intervista con esperto)
• Titolo del documento o nome dell'esperto intervistato
• Data di pubblicazione o intervista
• Autore, organizzazione di pubblicazione o affiliazione dell'esperto
• Dominio e settore, se specificato

Questi metadati strutturati rendono il punteggio riproducibile e verificabile tra le edizioni.

Perché la tassonomia è rilevante per l'Allegato VII

Questa classificazione è compatibile con il modo in cui la documentazione tecnica CRA descrive l'architettura di sicurezza del prodotto. Se sta documentando i Suoi controlli di sicurezza ai sensi dell'Allegato VII, organizzarli per tipo di segnale (quali strumenti utilizza, su quali piattaforme operano, quali tecniche guidano lo sviluppo e quali tendenze architetturali segue) crea un vocabolario che si mappa direttamente sul quadro che ENISA utilizzerà nel radar. Quell'allineamento renderà più facile fare riferimento al radar quando verrà pubblicato. Consulti la nostra guida sulla documentazione tecnica dell'Allegato VII per i requisiti specifici.

Come ENISA costruisce e pulisce la lista dei segnali

Prima di qualsiasi valutazione, ENISA esegue un processo in due fasi di raccolta e pulizia.

La raccolta primaria dei segnali attinge da fonti autorevoli. ENISA applica quattro criteri nella selezione delle fonti: reputazione e imparzialità (l'ente dovrebbe essere ampiamente riconosciuto per competenza nella materia e indipendenza), rigore metodologico (i rapporti dovrebbero dimostrare l'uso di metodi analitici o empirici), attualità (solo rapporti pubblicati nell'ultimo uno-due anni) e trasparenza (la fonte dovrebbe essere chiara riguardo alla base di dati o prove utilizzata).

ENISA identifica dieci tipi di fonti autorevoli rilevanti per il TIR:

La raccolta supplementare di segnali utilizza contributi di esperti tramite moduli di invio online via EU Survey e workshop di gruppo facilitati con sottogruppi da 10 a 20 partecipanti ciascuno. ENISA prevede di istituire un gruppo di lavoro ad hoc (AHWG) di fino a 30 esperti selezionati tramite un avviso aperto, che copre fornitori di tecnologia, integratori, operatori di servizi, utenti finali, rappresentanti delle infrastrutture critiche, organismi di valutazione della conformità, revisori e laboratori di testing.

La pulizia dei segnali segue la raccolta. Ogni voce nel repository centralizzato viene esaminata per eliminare duplicati e risolvere ambiguità. Applicazioni quasi identiche espresse con formulazioni diverse, come «sicurezza zero trust» e «architettura zero trust», vengono consolidate in un'unica formulazione armonizzata. I segnali specifici di un fornitore vengono esclusi a meno che non possano essere generalizzati in una classe tecnologica ampiamente adottata. Le voci vaghe o eccessivamente ampie vengono segnalate e riviste o rimosse.

Il raggruppamento dei segnali organizza i segnali puliti su due livelli. Il primo livello, obbligatorio, assegna ogni segnale a uno dei quattro tipi di astrazione (strumento, piattaforma, tecnica, tendenza). Il secondo livello, facoltativo, assegna i segnali per dominio o settore utilizzando la Tassonomia della cibersicurezza JRC pubblicata dalla Commissione europea nel 2022. ENISA osserva inoltre che la tassonomia ECSO e il NIST Cybersecurity Framework possono essere usati in alternativa, ma raccomanda di selezionarne uno all'inizio e di applicarlo in tutte le edizioni per consentire confronti longitudinali.

Come ENISA valuta ogni segnale: forza e slancio

Ogni segnale che supera la validazione iniziale degli esperti viene valutato su due dimensioni composite.

La forza misura quanto una tecnologia è matura e consolidata. Riflette sia la prontezza allo sviluppo (TRL) sia il riconoscimento tra fonti autorevoli, ricerca accademica, panorama brevettuale e copertura mediatica. La formula è:

Il TRL porta la metà del peso totale perché riflette direttamente se una tecnologia è distribuibile, non solo discussa. TRL da 1 a 2 rappresenta la ricerca sperimentale e ottiene un punteggio di 1. TRL 9, tecnologia matura con prestazioni comprovate in condizioni operative, ottiene 5. TRL da 5 a 6, tecnologia validata nei test, ottiene 3. I quattro indicatori di supporto sono normalizzati in fasce percentili sull'intero dataset dei segnali: i valori al di sotto del 20° percentile ottengono 1, quelli oltre l'80° percentile ottengono 5.

Lo slancio misura con quale rapidità una tecnologia sta guadagnando attenzione, catturando la velocità piuttosto che il volume. La formula è:

Il livello di adozione attuale ancora lo slancio al 50%, parallelo al ruolo del TRL nella forza. Le soglie di crescita anno su anno determinano i punteggi rimanenti: crescita del 20% o più YoY ottiene 5. Crescita tra l'11% e il 20% ottiene 4. Crescita tra il 6% e il 10% ottiene 3. Crescita tra lo 0% e il 5% ottiene 2. Crescita negativa ottiene 1.

I due punteggi collocano ogni segnale in una di quattro macro-categorie su una matrice forza/slancio:

La metodologia afferma esplicitamente che le soglie di punteggio non devono essere modificate arbitrariamente tra le edizioni, a meno che non si riceva un feedback sostanziale o emergano requisiti specifici del contesto. Questo preserva la comparabilità anno su anno e consente a ENISA di costruire un dataset longitudinale che mostra come le tecnologie si spostano nella matrice nel tempo.

Le cinque zone del radar per i segnali forti

I segnali forti passano attraverso la valutazione della probabilità di adozione prima del posizionamento sul radar. ENISA utilizza uno strumento di indagine fondato sul quadro UTAUT, adattato per coprire tre gruppi distinti di rispondenti: utenti di tecnologia (che valutano l'impatto sui flussi di lavoro di sicurezza e sui KPI), fornitori di tecnologia ed entità di R&S (che valutano la facilità di distribuzione, la domanda dei clienti e l'intenzione di mercato), e attori istituzionali come regolatori e organizzazioni di sviluppo degli standard (che valutano la fattibilità di governance, l'allineamento politico e il valore sociale).

Ogni gruppo valuta cinque costrutti su una scala Likert a cinque punti.

Aspettativa di prestazione: l'utilizzo di questa tecnologia aiuta a raggiungere gli obiettivi di sicurezza? Rende più facile soddisfare i KPI?

Aspettativa di sforzo: quanto è facile da attuare senza grandi sfide tecniche o formazione estesa?

Influenza sociale: i concorrenti e i partner chiave stanno già adottando o raccomandando questa tecnologia?

Condizioni facilitanti: sono disponibili budget, infrastruttura, quadri normativi e capacità del personale per supportare l'adozione?

Intenzione comportamentale: l'organizzazione prevede di continuare o ampliare l'investimento in questa tecnologia?

I 15 elementi per gruppo contribuiscono in egual misura a un punteggio di probabilità di adozione del gruppo. I tre punteggi dei gruppi vengono mediati in un punteggio complessivo di probabilità di adozione. Questo punteggio composito posiziona ogni segnale forte in una delle cinque zone concentriche del grafico radar:

Il grafico radar divide i segnali in quattro quadranti per tipo di astrazione: Strumento, Piattaforma, Tecnica e Tendenza. Le cinque zone concentriche vanno dall'anello più esterno (Riconoscere) al più interno (Attuare). Una tecnologia posizionata nella zona Attuare del quadrante Tecnica indica, a colpo d'occhio, che si tratta di un metodo maturo e sistematicamente applicabile che l'ecosistema europeo della cibersicurezza considera pronto per una distribuzione ampia.

Il monitoraggio delle tecnologie nelle fasi iniziali: l'approccio ai segnali deboli

I segnali deboli sono tecnologie che ottengono un punteggio basso sulla forza ma che possono avere un potenziale dirompente nel medio-lungo termine. Non compaiono nel grafico radar principale. ENISA le posiziona invece su un grafico prospettico separato lungo due dimensioni.

La velocità di sviluppo utilizza il quadro Technological Innovation Systems (TIS) di Markard e Truffer (2008). I panel di esperti valutano sette funzioni che riflettono se un ecosistema di innovazione si sta attivamente formando attorno alla tecnologia:

1. Sviluppo e diffusione della conoscenza: sta emergendo nuova ricerca e viene condivisa tramite pubblicazioni, conferenze o collaborazioni?
2. Sperimentazione imprenditoriale: start-up, aziende o istituzioni stanno testando la tecnologia in contesti reali, con piloti, prototipi o casi d'uso iniziali?
3. Sviluppo di esternalità positive: il segnale crea effetti di rete o sinergie con altre tecnologie o settori?
4. Orientamento della ricerca: compare in documenti strategici, politiche o roadmap organizzative?
5. Formazione del mercato: si stanno formando mercati iniziali o applicazioni di nicchia, anche se permangono barriere all'adozione più ampia?
6. Mobilitazione delle risorse: sono disponibili supporto finanziario, manodopera qualificata o infrastrutture per sostenerne lo sviluppo?
7. Creazione di legittimità: gli attori istituzionali vedono il segnale positivamente e sta crescendo un'accettazione ampia?

Ogni funzione ottiene un punteggio da 1 a 5. Il punteggio composito della velocità di sviluppo è la media aritmetica di tutte e sette.

Il potenziale di mercato viene valutato su tre sotto-dimensioni: penetrazione del settore (il segnale rimane in un settore o si diffonde ampiamente in molti?), utilità nel dominio (quante delle 15 funzioni di cibersicurezza nella Tassonomia europea della cibersicurezza JRC affronta?), e tipo di adottante (solo attori altamente specializzati, o accessibile alle PMI e al pubblico generale?).

Questo produce un grafico prospettico 2x2 con quattro quadranti:

• Esplorazione: velocità di sviluppo bassa e potenziale di mercato basso. Segnali speculativi con prove attuali limitate ma potenziale visionario.
• Consolidamento di mercato: alto potenziale di mercato ma velocità di sviluppo inferiore. I primi adottanti stanno iniziando a esplorare il segnale. Può seguire uno sviluppo e supporto più strutturati.
• Consolidamento tecnologico: alta velocità di sviluppo ma ancora limitata trazione di mercato. In avanzamento nella ricerca e nella sperimentazione, ma l'adozione commerciale rimane incerta.
• Pronto per la transizione: alto su entrambe le dimensioni. I più vicini a diventare segnali forti. Le fondamenta tecnologiche si stanno consolidando e l'interesse intersettoriale è visibilmente in crescita. Le prime discussioni politiche possono aiutare ad anticiparne l'impatto e l'integrazione.

I segnali deboli non compaiono nella visualizzazione principale del radar, ma sono un input importante per le edizioni future. I segnali «Pronto per la transizione» in particolare sono candidati alla riclassificazione come segnali forti nel prossimo ciclo del radar.

Da dove provengono i dati

Il punteggio di ENISA si basa su tre fonti di dati quantitativi primarie, tutte accessibili tramite la piattaforma JRC TIM, un sistema automatizzato di text e data mining sviluppato dal Joint Research Centre della Commissione europea.

Scopus, gestito da Elsevier, copre riviste accademiche, preprint, libri e atti di conferenze, inclusi oltre 25,5 milioni di documenti ad accesso aperto. Fornisce conteggi di pubblicazioni accademiche e tendenze anno su anno per il punteggio di forza e slancio dei segnali.

PATSTAT contiene dati bibliografici ed eventi legali sui brevetti degli Stati membri UE, estratti dal database dell'Ufficio europeo dei brevetti. Fornisce conteggi di depositi di brevetti e variazioni anno su anno.

Europe Media Monitor (EMM) raccoglie circa 300.000 articoli di notizie al giorno in fino a 70 lingue. Fornisce conteggi di notizie e tendenze di ricerca e variazioni anno su anno.

La costruzione delle parole chiave che guida tutte e tre le query sui database è controllata tramite un dizionario centralizzato. Il dizionario viene validato dal Core Radar Team di ENISA e bloccato per ogni edizione del radar. Un insieme di parole chiave per «Extended Detection and Response» potrebbe includere termini come 'XDR', 'Extended Detection and Response' e 'Advanced threat detection platform', combinati con un filtro per anno di pubblicazione in una struttura di query booleana. Qualsiasi modifica futura al dizionario richiede una giustificazione documentata, perché le variazioni influiscono sulla comparabilità dei punteggi tra le edizioni.

Questo approccio rende il punteggio riproducibile. Un fabbricante che esamina la posizione radar di una tecnologia può risalire fino alle specifiche parole chiave, alle query sui database e alle soglie di normalizzazione utilizzate.

Il meccanismo di fast-track e il ciclo di vita del segnale

Quando le istituzioni UE o le priorità della Commissione segnalano una tecnologia specifica come urgente dal punto di vista strategico, ENISA può attivare una procedura di fast-track. L'entità richiedente fornisce un dataset di base: nome e descrizione del segnale, un TRL stimato, livello di adozione attuale, classificazione del livello di astrazione, e contesto di settore e dominio. Un team interno conduce quindi uno screening iniziale per verificare l'assenza di duplicati e la coerenza tassonomica.

Se il segnale supera lo screening, un micro-panel di tre-cinque esperti completa una validazione rapida in circa 10 giorni. Gli esperti forniscono stime quantitative di forza e slancio su una scala da 1 a 5 e commenti qualitativi sull'impatto strategico. Il segnale avanza poi direttamente alla fase di valutazione.

I segnali in fast-track sono contrassegnati con un'etichetta distinta sulla dashboard pubblica. Rimangono soggetti a piena validazione nel prossimo ciclo di aggiornamento regolare. La metodologia è esplicita sul compromesso: i segnali in fast-track mancano della profondità di benchmarking del processo standard e non possono essere comparati direttamente con segnali che hanno seguito la qualificazione completa.

La gestione del ciclo di vita del segnale segue una logica parallela. Ogni nuova edizione esamina tutti i segnali attivi. I segnali che non mostrano più forza e slancio sufficienti vengono rimossi, valutati su base triennale. I segnali che hanno raggiunto la maturità tecnologica e l'adozione diffusa vengono anch'essi eliminati gradualmente: vengono riconosciuti come aventi superato la portata prospettica del radar e vengono monitorati tramite altri meccanismi operativi. Per i fabbricanti, una tecnologia che esce dal radar è di per sé un segnale: è diventata un'aspettativa di base piuttosto che una capacità differenziante.

La dashboard pubblica sarà accompagnata da una nota metodologica dettagliata, che indichi chiaramente come ogni segnale è stato identificato, come ogni indicatore è stato misurato o stimato, e le limitazioni o assunzioni applicate durante il processo. Il formato tecnico della dashboard (PowerBI o equivalente) verrà definito in una fase successiva del progetto.

Cosa significa il radar per il Suo programma di conformità CRA

Il TIR non crea nuovi obblighi giuridici. Diventerà però una prova autorevole di ciò che l'UE considera maturo e pronto per l'adozione nell'ecosistema della cibersicurezza. Questo ha conseguenze pratiche per tre aree del Suo lavoro di conformità CRA.

Documentazione tecnica ai sensi dell'Allegato VII. L'Allegato VII richiede ai fabbricanti di documentare la progettazione della sicurezza del prodotto con elementi digitali, incluse le soluzioni di sicurezza applicate e i processi predisposti per la gestione delle vulnerabilità. La tassonomia a quattro livelli del TIR (strumento, piattaforma, tecnica, tendenza) fornisce un vocabolario strutturato per descrivere la Sua architettura di sicurezza. Documentare quale zona del radar occupavano i Suoi controlli di sicurezza critici al momento della progettazione del prodotto crea un registro con marca temporale della Sua valutazione dello stato dell'arte. Consulti la nostra guida sulla documentazione tecnica dell'Allegato VII.

Gestione delle vulnerabilità ai sensi dell'Articolo 13. L'Articolo 13, paragrafo 6 richiede ai fabbricanti di affrontare le vulnerabilità senza indebito ritardo e di applicare patch o mitigazioni in modo tempestivo. Il radar monitorerà specificamente il ciclo di vita di adozione degli strumenti e delle tecniche di gestione delle vulnerabilità. Uno strumento che si sposta da «Osservare» a «Sperimentare» in edizioni consecutive del radar è un segnale quantificato che l'ecosistema sta convergendo su di esso. I fabbricanti che monitorano questi movimenti possono prendere decisioni proattive sugli strumenti piuttosto che reattive. Consulti la nostra guida sugli obblighi di segnalazione delle vulnerabilità entro 24 ore di ENISA.

Decisioni di secure by design. I principi di sicurezza by design nel Security by Design and Default Playbook di ENISA (v0.4, marzo 2026) descrivono pratiche, non scelte tecnologiche specifiche. Il TIR colma il divario nominando quali strumenti e tecniche concreti sono pronti per quelle pratiche. Un fabbricante che attua il secure boot, ad esempio, userebbe il radar per valutare la maturità dell'infrastruttura specifica di firma del firmware che sta considerando. Il playbook ENISA Secure by Design copre i principi. Il TIR coprirà le implementazioni tecnologiche.

Una nota pratica sul timing. La prima edizione del radar non è ancora stata pubblicata. Fino a quel momento, le prove rilevanti per le valutazioni dello stato dell'arte provengono dalle stesse categorie di fonti che ENISA utilizza per la raccolta dei segnali: pubblicazioni di Gartner, Fraunhofer, ETSI, ECSO, BSI, NCSC e NIST. La metodologia del TIR rende esplicite quelle categorie di fonti e fornisce un quadro per pesarle.