La BOD 26-02 segna un cambio di passo netto nella gestione del rischio cyber federale. Con una direttiva vincolante emessa il 5 febbraio 2026, la CISA ordina alle agenzie federali civili esecutive di eliminare dai perimetri di rete i dispositivi edge giunti a end-of-support (EOS). Il messaggio è diretto: hardware, firmware e software non più supportati dai vendor rappresentano punti di ingresso privilegiati per attori cyber e non possono più restare esposti su internet. La misura nasce dall’evidenza operativa che firewall, router e load balancer obsoleti sono stati ripetutamente sfruttati in campagne di intrusione su larga scala, con impatti su dati sensibili e continuità operativa.
Perché la CISA interviene ora
La direttiva risponde a campagne persistenti che sfruttano vulnerabilità non patchate su dispositivi di confine. In ambienti federali, l’esposizione di un edge EOS può diventare un pivot verso sistemi interni e identità privilegiate. La BOD 26-02 allinea l’azione tecnica alle politiche di gestione del ciclo di vita promosse dall’Office of Management and Budget, spingendo le agenzie a eliminare definitivamente asset che non ricevono più aggiornamenti tempestivi. Il riferimento strategico è chiaro: ridurre la superficie d’attacco prima che le vulnerabilità vengano industrializzate dagli avversari.
Cosa rientra nella direttiva: definizioni operative
La CISA chiarisce due concetti chiave. End-of-support indica qualsiasi stato in cui il vendor non fornisce più patch di sicurezza, hotfix o correzioni per hardware, firmware o software, inclusi i CVE. Dispositivi edge sono le tecnologie collocate ai confini di rete ed esposte a internet, come firewall, router, load balancer, appliance fisiche o virtuali e componenti di reti software-defined. La direttiva esclude esplicitamente tecnologie operative (OT) e servizi cloud FedRAMP, concentrando lo sforzo sui perimetri IT federali.
Ambito di applicazione e responsabilità
La BOD 26-02 si applica ai sistemi informativi federali gestiti direttamente dalle agenzie o operati per loro conto da terze parti. Questo implica l’adeguamento dei contratti affinché i fornitori garantiscano la rimozione degli EOS e la sostituzione con alternative supportate. L’obiettivo è evitare “zone grigie” in ambienti ibridi dove un dispositivo obsoleto resta esposto perché fuori dall’inventario primario.
🔴 OSSERVATORIO INTELLIGENCE: LIVE
Le azioni richieste e le scadenze
La direttiva impone una sequenza temporale stringente. Le agenzie devono aggiornare immediatamente qualsiasi software edge EOS, dove possibile. Entro tre mesi, è richiesto un inventario dei dispositivi presenti nella lista iniziale EOS fornita dalla CISA, usando i template ufficiali. Entro dodici mesi, tali dispositivi devono essere decommissionati e sostituiti. Nello stesso arco temporale, va completato l’inventario di ulteriori dispositivi EOS non inclusi nella lista iniziale. Tutti i decommissionamenti devono concludersi entro diciotto mesi. Infine, entro ventiquattro mesi, le agenzie devono istituire processi di scoperta continua per prevenire il ritorno di asset EOS in futuro. La CISA valuterà i progressi entro quindici mesi e riferirà ai vertici governativi.
Cosa fa la CISA per supportare l’implementazione
Per accelerare l’adozione, la CISA ha pubblicato una lista iniziale di dispositivi edge EOS, template di reporting e meccanismi di ingestione machine-readable per i progressi. L’agenzia aggiornerà periodicamente l’elenco e coordinerà con i vendor per migliorare l’accuratezza delle date EOS. In parallelo, la CISA integra la direttiva con principi zero trust, promuovendo isolamento dei workload, crittografia dei dati in transito e controlli di identità più rigorosi sui perimetri.
Implicazioni pratiche per la sicurezza federale
La BOD 26-02 sposta l’attenzione dalla reazione alla prevenzione strutturale. Eliminare gli EOS riduce l’asimmetria con gli attaccanti che puntano a vulnerabilità note e non più correggibili. Sul piano operativo, le agenzie dovranno pianificare budget, evitare interruzioni mission-critical durante le migrazioni e rafforzare la gestione degli asset come disciplina continua, non episodica. Sul piano strategico, la direttiva rafforza la resilienza nazionale e crea un precedente che può estendersi, per best practice, anche al settore privato.
Perché conta anche fuori dagli Stati Uniti
Sebbene vincolante solo per le agenzie federali USA, la BOD 26-02 invia un segnale globale: i dispositivi di confine non supportati sono un rischio inaccettabile. In un contesto di attacchi mirati alle infrastrutture e ai perimetri — spesso attraverso appliance legacy — la scelta della CISA anticipa una tendenza regolatoria che altri governi potrebbero adottare. La sicurezza dei perimetri, oggi, è una questione di ciclo di vita, non solo di patching.
In sintesi, la BOD 26-02 non introduce una nuova tecnologia: impone disciplina. E nel panorama delle minacce attuali, è proprio questa disciplina — inventario, sostituzione, scoperta continua — a fare la differenza tra una rete esposta e una rete difendibile.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
