Il CISA Acting Director Nick Andersen ha annunciato mercoledì 3 giugno 2026 alla TechNet Cyber conference di Baltimore che un binding operational directive (BOD) per implementare l'AI executive order presidenziale sarà rilasciato entro la fine della settimana. Il BOD tradurrà in obbligo vincolante per le agenzie federali le direttive dell'EO firmato dal Presidente Trump il 2 giugno, con focus esplicito su "vulnerability alleviation and vulnerability management". L'intervallo di quattro giorni tra firma presidenziale e obbligo operativo rappresenta una compressione temporale senza precedenti per il meccanismo dei BOD CISA, normalmente preceduto da mesi di consultazione tecnica.
- Il BOD CISA sarà rilasciato entro il 6 giugno 2026, traducendo in obbligo operativo vincolante le direttive dell'AI executive order del 2 giugno
- Il focus dichiarato è "vulnerability alleviation and vulnerability management", ovvero riduzione della superficie di attacco attraverso strumenti difensivi AI-enabled
- L'EO richiede a CISA di rilasciare BOD entro 30 giorni, ma Andersen ha annunciato un rilascio entro 4-5 giorni, accelerazione significativa rispetto alla deadline legale
- Il framework per i "covered frontier models" è esplicitamente volontario, con accesso pre-rilascio al governo ridotto a 30 giorni da una versione precedente di 90
Dal testo dell'EO all'obbligo per le agenzie: il meccanismo del BOD
La Sezione 2(c) dell'AI executive order, intitolato "Promoting Advanced Artificial Intelligence Innovation and Security", stabilisce che entro 30 giorni dalla firma il Segretario per la Homeland Security, attraverso il direttore del CISA, dovrà rilasciare binding operational directives. Questi hanno natura vincolante per le Federal Civilian Executive Branch agencies (FCEB): le agenzie devono conformarsi entro le scadenze indicate, penso la segnalazione al Congresso e al OMB delle non-compliance.
Andersen ha compresso questa finestra a quattro-cinque giorni. La dichiarazione pubblica, riportata da The Record, fissa il rilascio "by the end of this week", ovvero entro venerdì 6 giugno 2026. Questa accelerazione operativa è inconsueta: il precedente BOD 22-01 sui known exploited vulnerabilities, ad esempio, era stato preceduto da un periodo di allineamento tecnico con le agenzie. Il dossier non specifica quali agenzie oltre alle FCEB saranno incluse, né se il BOD conterrà scadenze perimetrate o misurabili.
Che cosa farà il BOD: vulnerability management e AI difensiva
Il BOD si concentrerà in parte su "vulnerability alleviation and vulnerability management". Andersen ha articolato il problema in termini operativi: "How can we actually use it as a good defensive tool and how is it going to help us reduce our attack surface exposure?" L'obiettivo dichiarato è integrare strumenti difensivi AI-enabled nei programmi CISA esistenti, non creare programmi paralleli.
L'EO presidenziale assegna a CISA tre compiti specifici nel campo della cyber defense: accelerare la difesa dei sistemi civili federali, espandere i programmi con strumenti difensivi AI-enabled, facilitare l'accesso a strumenti cybersecurity per agenzie federali, governi statali e locali, e operatori di infrastrutture critiche. Il BOD in arrivo rappresenta il primo ponte normativo tra questi tre pilastri e le procedure operative delle agenzie.
Andersen ha anche annunciato che CISA rilascerà "specific artificial intelligence access" ai partner nei prossimi giorni. Il dossier non specifica la natura tecnica di questo accesso, né quali partner ne saranno beneficiari. La dichiarazione è coerente con il ruolo assegnato al CISA nel "cyber clearinghouse" istituito dall'EO, guidato dal Dipartimento del Tesoro con partecipazione NSA e CISA.
Il framework frontier model: volontario, con accesso pre-rilascio di 30 giorni
Un'area distinta dal BOD, ma legata allo stesso EO, riguarda i "covered frontier models". L'EO stabilisce un framework volontario: gli sviluppatori possono sottoporre i modelli al governo per testing pre-rilascio per un periodo fino a 30 giorni. The Record documenta che questo periodo è stato ridotto da 90 giorni in versioni precedenti del testo dell'EO. La Sezione 3(c) dell'ordine esecutivo esclude esplicitamente "la creazione di un sistema di licenze, preclearance o permessi obbligatorio per lo sviluppo, la pubblicazione, il rilascio o la distribuzione di nuovi modelli AI, inclusi i frontier models".
CISA avrà accesso ai modelli per "vetting", come dichiarato da Andersen: "it also will be accessing models to vet". Il dossier non specifica i criteri classificati per la designazione "covered frontier model", né la metodologia di valutazione. L'accesso pre-rilascio di 30 giorni rappresenta un compromesso tra la richiesta originaria dell'amministrazione e le preoccupazioni dell'industria sui ritardi competitivi.
"The larger problem we're having to address here is we kick the can down the road in a fairly significant way with our IT infrastructure" — Nick Andersen, CISA Acting Director
Perché la velocità conta: un segnale politico-operativo
La compressione da 30 a 4-5 giorni nella timeline del BOD non è neutra tecnicamente. I binding operational directives CISA, istituiti dal Federal Information Security Modernization Act del 2014, prevedono normalmente un processo di allineamento con OMB e agenzie prima del rilascio. L'assenza di questo preambolo, documentata dalle fonti, suggerisce una direttiva operativa con contenuto largamente pre-negoziato o con ambito inizialmente circoscritto.
Andersen ha collegato il BOD imminente a una diagnosi strutturale: il ritardo accumulato nell'infrastruttura IT federale. La citazione diretta — "we kick the can down the road in a fairly significant way with our IT infrastructure" — posiziona il BOD non come risposta a un incidente specifico, ma come intervento correttivo su un deficit sistemico. Il dossier non conferma né esclude che esista un driver incidentale oltre a questa diagnosi programmatica.
Per gli operatori di infrastrutture critiche non direttamente soggetti ai BOD, l'EO apre comunque un canale: la facilitazione dell'accesso a strumenti difensivi AI-enabled finanziati federalmente. Per gli sviluppatori AI, il framework volontario sui frontier models non impatta direttamente i cicli di rilascio, ma può influenzare standard assicurativi, due diligence nei procurement governativi e aspettative del mercato enterprise.
Cosa fare adesso
- Le FCEB agencies devono prepararsi a ricevere e implementare il BOD entro le scadenze che saranno stabilite nel testo, atteso entro il 6 giugno 2026
- Gli operatori di infrastrutture critiche e i governi statali/locali devono monitorare l'annuncio di "specific artificial intelligence access" da parte di CISA nei prossimi giorni
- Gli sviluppatori di frontier models devono valutare il framework volontario di pre-rilascio di 30 giorni, senza obbligo legale ma con potenziale impatto su procurement federali
- I vendor cybersecurity devono allineare le roadmap di vulnerability management agli strumenti difensivi AI-enabled che CISA integrerà nei propri programmi
Domande senza risposta nel dossier
Il contenuto tecnico del BOD non è disponibile al momento della dichiarazione di Andersen. Il dossier non specifica: la data esatta di rilascio all'interno della finestra "by the end of this week"; quali agenzie oltre alle FCEB saranno obbligate; i dettagli strutturali, di personale e di budget del "AI cybersecurity clearinghouse"; i criteri per la designazione "covered frontier model"; la natura tecnica dell'accesso "specific artificial intelligence access" promesso ai partner.
L'EO presidenziale fissa un'ulteriore deadline di 60 giorni per l'espansione dell'hiring di specialisti cybersecurity attraverso l'Office of Personnel Management. Questa timeline parallela suggerisce che il BOD in arrivo sarà seguito da un rafforzamento delle capacità operative CISA, non solo da una riorganizzazione normativa.
Fonti
- https://therecord.media/cisa-directive-for-ai-exec-order-release
- https://www.bipc.com/new-executive-order-on-ai-innovation-and-security-what-it-means-for-ai-developers-government-contractors-and-critical-infrastructure-operators
- https://www.insideprivacy.com/artificial-intelligence/white-house-releases-executive-order-on-advanced-ai-innovation-and-security/
- https://www.whitehouse.gov/presidential-actions/2026/06/promoting-advanced-artificial-intelligence-innovation-and-security/
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://federalnewsnetwork.com/cybersecurity/2026/02/cisa-gives-agencies-until-friday-to-patch-critical-cyber-bug/
- https://www.cve.org/CVERecord?id=CVE-2026-45247
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog/reducing-significant-risk-known-exploited-vulnerabilities
- https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
- https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog-print
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.