La **CISA sta valutando di ridurre a soli 3 giorni** il tempo per correggere le vulnerabilità critiche nel suo catalogo KEV. Attualmente il termine è di 14 giorni. Questa proposta riguarda direttamente le agenzie federali statunitensi e potrebbe presto coinvolgere anche il settore privato.
La notizia è emersa il 4 maggio 2026. Le fonti governative anonime citano discussioni tra il direttore ad interim della CISA Nick Andersen e il National Cyber Director Sean Cairncross. Nessuna data di implementazione è stata ancora confermata.
—
## Perché la CISA Considera una Deadline di 3 Giorni per il Catalogo KEV
### L’Intelligenza Artificiale Accelera lo Sviluppo degli Exploit
Il motivo principale è l’accelerazione degli exploit guidata dall’IA. Modelli come **Claude Mythos di Anthropic** e **GPT-5.4-Cyber di OpenAI** riducono drasticamente i tempi. In passato, sviluppare un exploit richiedeva settimane. Oggi bastano poche ore.
Questa compressione dei tempi cambia tutto. Le finestre di remediation tradizionali diventano insufficienti. Un attaccante può sfruttare una vulnerabilità pubblica prima che il team IT abbia completato il ciclo di patching. Di conseguenza, la CISA ritiene che 14 giorni siano un lusso che le agenzie federali non possono più permettersi.
### Il Contesto Normativo: la BOD 22-01
Vale la pena sottolineare che la direttiva **BOD 22-01** è già il riferimento normativo per il catalogo KEV. Essa obbliga le agenzie federali a correggere le vulnerabilità attivamente sfruttate entro le scadenze stabilite dalla CISA. La proposta di portare il termine a 72 ore rappresenta un’evoluzione radicale di questo framework. Non è un aggiornamento ordinario. È una risposta diretta a un nuovo panorama di minacce.
—
## Precedenti Storici: Quando la CISA Ha Già Usato Scadenze da 3 Giorni
### CVE-2026-22769 e BeyondTrust: Casi Pilota
In realtà, la CISA ha già applicato scadenze da 72 ore in casi specifici. A febbraio 2026, la vulnerabilità **Dell RecoverPoint CVE-2026-22769** ha ricevuto un mandato di patch a 3 giorni per le agenzie federali. La falla era sfruttata attivamente da gruppi legati alla Cina per operazioni di spionaggio attraverso credenziali hardcoded.
Parallelamente, anche la vulnerabilità RCE di **BeyondTrust Remote Support** ha ottenuto la stessa scadenza accelerata. Questi precedenti dimostrano che il modello a 72 ore non è teorico. Esiste già nella pratica, applicato caso per caso. La novità è renderlo la **norma generale** per tutte le vulnerabilità critiche del catalogo KEV.
### Aprile 2026: SimpleHelp, Samsung MagicINFO e D-Link
In aprile 2026, la CISA ha aggiunto al catalogo KEV quattro nuove vulnerabilità. Riguardano **SimpleHelp, Samsung MagicINFO e router D-Link**. Le scadenze erano fissate a maggio 2026. Questi casi evidenziano un pattern preoccupante. Router, server e strumenti di accesso remoto sono bersagli ricorrenti. Vengono sfruttati per movimenti laterali e operazioni di spionaggio persistente.
—
## Impatto per CISO e Team di Sicurezza: Come Prepararsi
### Automazione e Vulnerability Management in Primo Piano
In questo contesto, il passaggio a una **deadline KEV di 72 ore** non è un semplice aggiornamento procedurale. È una trasformazione operativa. Le organizzazioni che non dispongono di pipeline di patching automatizzate si troveranno in difficoltà. Ogni ora conta.
I team di sicurezza devono agire ora su più fronti:
- **Audit dei tempi di remediation attuali**: verificare quanti giorni impiegate oggi a correggere vulnerabilità critiche.
- **Deploy di controlli compensativi**: segmentazione di rete, WAF, EDR devono essere attivi mentre si attende il patch.
- **Monitoraggio KEV in tempo reale**: runbook automatizzati per rispondere entro ore dall’aggiunta di una voce al catalogo.
### Infrastruttura Immutabile e SLA con i Vendor
Inoltre, le organizzazioni avanzate stanno investendo in **infrastruttura immutabile**. Questo approccio permette aggiornamenti rapidi senza downtime prolungati. Vale la pena negoziare con i vendor SLA specifici per il rilascio di patch critiche entro 72 ore. Se un fornitore non garantisce questa finestra, diventa un rischio sistemico.
Tuttavia, è importante ricordare che attualmente la proposta si applica solo alle agenzie federali statunitensi. Il settore privato non è ancora obbligato. Ma la pressione normativa e i rischi operativi spingeranno molte organizzazioni ad allinearsi volontariamente.
—
## Conclusioni
La **proposta CISA di ridurre la deadline KEV a 3 giorni** riflette una realtà incontrovertibile. L’IA ha cambiato la velocità delle minacce. La risposta difensiva deve adeguarsi. Per i CISO, questo è il momento di investire in automazione, rivedere i processi di patching e prepararsi a un futuro in cui 72 ore sarà il nuovo standard.
—
- *Fonti:**
- [SOC Defenders AI](https://www.socdefenders.ai/item/a77ec5c7-30d0-4d5d-b692-921f0739d1d6)
- [Daily.dev](https://app.daily.dev/posts/cisa-mulls-new-three-day-remediation-deadline-for-critical-flaws-s4wlgrrhr)
- [Lyrie AI Research](https://lyrie.ai/research/research/2026-05-04-cisa-3day-mythos)
- [SC World](https://www.scworld.com/news/cisa-reportedly-considers-3-day-patch-deadline-for-kev-flaws)
- [CSO Online (fonte originale)](https://www.csoonline.com/article/4167422/cisa-mulls-new-three-day-remediation-deadline-for-critical-flaws.html)
Fonte: Articolo originale
In uno scenario in cui le finestre di remediation si comprimono drasticamente, la capacità di condividere threat intelligence in tempo reale diventa un fattore critico di sopravvivenza operativa. IsacChain permette alle organizzazioni di scambiare in modo sicuro e verificabile informazioni sulle vulnerabilità attivamente sfruttate, supportando al contempo la compliance NIS2 in modo automatizzato. La verifica blockchain garantisce l’integrità e la tracciabilità di ogni indicatore condiviso, riducendo i tempi di risposta ben al di sotto delle 72 ore richieste dai nuovi standard. Scopri come IsacChain può aiutare la tua organizzazione su www.isacchain.com