Zero Trust 2026: linee guida NSA, estensione CISA all’OT, maturità enterprise

I primi quattro mesi del 2026 hanno portato due rilasci che ridefiniscono il dibattito sull’architettura Zero Trust: la pubblicazione progressiva delle Zero Trust Implementation Guidelines (ZIG) da parte della National Security Agency statunitense e l’estensione del modello all’operational technology promossa da CISA insieme a quattro agenzie federali. Per il lettore italiano i due rilasci non sono materia esotica: il modello, pur senza essere sempre nominato esplicitamente, è ormai parte del lessico ufficiale di AGID e ACN, e si intreccia con il pacchetto regolatorio europeo NIS2, DORA, CRA e AI Act. Sui numeri di adozione enterprise, però, lo scarto fra intenzione e maturità misurabile resta marcato, e il consolidamento di mercato procede più lentamente di quanto previsto due anni fa.

I framework di riferimento nel 2026

Il 14 gennaio 2026 la NSA, nel suo ruolo di National Manager per i National Security Systems, ha annunciato i primi due documenti della serie ZIG (datati 8 gennaio sulle copertine): il Primer e la Discovery Phase Guideline. Il primo definisce principi, lessico e impianto strategico; il secondo, propedeutico a tutte le fasi successive, descrive 14 attività che supportano 13 capability ed è interamente dedicato alla raccolta delle informazioni sull’ambiente target, dai data, applications, assets and services (DAAS) ai person entity e non-person entity.

Il 30 gennaio sono seguite la Phase One (36 attività a supporto di 30 capability, dedicate al consolidamento della baseline di sicurezza) e la Phase Two (41 attività a supporto di 34 capability, dedicate all’integrazione delle prime soluzioni Zero Trust foundational nell’ambiente). Le quattro guide coprono complessivamente 91 attività e 42 capability target-level, ovvero l’intero perimetro che la Department of War Zero Trust Strategy considera necessario per raggiungere il target level entro la fine dell’anno fiscale 2027.

La stessa strategia, del novembre 2022, fissa al FY2032 l’orizzonte per il livello advanced (ulteriori 61 attività, per un totale di 152): le ZIG corrispondenti, Phase Three e Phase Four, sono però quelle che la NSA ha dichiarato come “may be developed at a later date”, senza una tempistica di rilascio.

Una precisazione sul nome è doverosa, perché ricorrerà nei documenti del Pentagono per tutto l’anno. Con l’Executive Order 14347 del 5 settembre 2025 il presidente Trump ha autorizzato l’uso di Department of War come titolazione secondaria del Department of Defense; il nome statutario resta tuttavia Department of Defense, poiché solo il Congresso può modificarlo. La NSA, il DoW CIO e la documentazione tecnica recente hanno adottato la nuova titolazione (DoW), pur in continuità con la strategia originaria del novembre 2022.

Il framework di riferimento per il versante civile resta la Zero Trust Maturity Model 2.0 pubblicata da CISA nell’aprile 2023, che distribuisce i requisiti su cinque pillar (Identity, Devices, Networks, Applications and Workloads, Data) e tre cross-cutting capability (Visibility and Analytics, Automation and Orchestration, Governance), graduandoli su quattro livelli di maturità: traditional, initial, advanced, optimal.

L’allineamento con la memorandum OMB M-22-09 (che fissava obiettivi al termine dell’anno fiscale 2024) ne ha fatto il riferimento operativo per la stragrande maggioranza delle agenzie civili statunitensi e per i fornitori che lavorano con il governo. Il documento dichiara esplicitamente di non coprire tre ambiti: l’operational technology, alcune classi di dispositivi IoT e l’integrazione di machine learning e intelligenza artificiale all’interno delle soluzioni Zero Trust. Sono i tre fronti su cui si è spostato il dibattito del 2026.

La fotografia dell’adozione enterprise

Dietro la sovrabbondanza di linee guida, la maturità misurabile resta una minoranza. Più fonti convergono sullo stesso punto: il modello è ovunque nei piani, quasi da nessuna parte nelle metriche.

La predizione Gartner del gennaio 2023 stimava che entro fine 2026 solo il 10% delle grandi imprese avrebbe avuto un programma Zero Trust maturo e misurabile, in crescita dal meno dell’1% del 2023. Una soglia bassa, che diventerà verificabile a consuntivo nel 2027.

Indicazioni indirette dello scarto fra adozione dichiarata e maturità misurabile arrivano già dal 2024 State of Zero-Trust Adoption Survey di Gartner, che registrava il 63% delle organizzazioni con un programma formalmente avviato, ma con scope tipicamente limitato a metà o meno dell’ambiente e con copertura del rischio inferiore a un quarto.

Lo stesso quadro è confermato da Cyber Insights 2026 di SecurityWeek (30 gennaio 2026), che cita una rilevazione secondo cui il 48% delle imprese segnala difficoltà a integrare il modello in ambienti ibridi, perché team di sicurezza, processi di procurement e contratti con i partner continuano ad assumere i confini di rete come zone di fiducia.

A inizio 2026 Gartner ha aggiunto una previsione collegata: entro il 2028 il 50% delle organizzazioni adotterà una postura Zero Trust specifica per la data governance, spinto dalla proliferazione di dati generati dall’intelligenza artificiale non verificati. È un’estensione coerente del modello al problema più pressante del biennio in corso, quello dell’affidabilità dei training set e degli output dei grandi modelli linguistici. La stessa 2026 Gartner CIO and Technology Executive Survey segnala che l’84% dei rispondenti prevede di aumentare gli investimenti in GenAI nell’anno corrente.

Sul lato dell’esecuzione, la survey StrongDM pubblicata a gennaio 2025 (rilevazione condotta nel novembre 2024 su 600 professionisti statunitensi della cybersecurity in ambienti cloud, campione USA-only, vendor-sponsored, da leggere con la cautela del caso) restituisce una mappa degli ostacoli all’implementazione in multi-cloud.

Il 49% cita la complessità di gestire policy su piattaforme diverse, il 48% i costi e i requisiti di risorse, il 34% la difficoltà di visibilità trasversale, il 22% la resistenza dei team interni, il 21% l’integrazione con i sistemi legacy. La fotografia è quella di un programma che si gioca tanto sulla tecnologia quanto sull’organizzazione. Le applicazioni che non parlano i moderni protocolli di autenticazione, i reverse proxy introdotti come bypass tattico, le catene di servizi multi-hop non strumentate per la visibility fine restano un nodo tecnico irrisolto; ma a fermare per primi i progetti sono i costi e la complessità di policy management su scala multi-cloud.

Sul fronte del valore economico, l’IBM Cost of a Data Breach Report 2025 (pubblicato il 30 luglio 2025) registra per la prima volta in cinque anni un calo del costo medio globale di un breach, sceso a 4,44 milioni di dollari (un -9% rispetto ai 4,88 milioni del 2024), attribuito al miglioramento dei tempi di detection e contenimento grazie all’AI di sicurezza. I

l ciclo di vita medio di un breach è sceso a 241 giorni, il valore più basso negli ultimi nove anni. Il dato che interessa direttamente l’angolo Zero Trust riguarda l’uso non governato dell’AI: il 97% delle organizzazioni colpite da un incidente AI-related ha dichiarato di non avere controlli di accesso adeguati sui sistemi di AI, mentre la presenza di shadow AI in misura elevata ha comportato in media un sovracosto di 670mila dollari per incidente rispetto alle organizzazioni con livelli bassi o nulli di shadow AI. Sono i numeri che alimentano la previsione Gartner sulla data governance Zero Trust al 2028.

Mercato ZTNA e convergenza con SASE

Il segmento più dinamico resta lo Zero Trust Network Access, ormai inseparabile dalla cornice Secure Access Service Edge. La previsione Gartner del 2023, che attendeva il 60% degli acquisti SD-WAN integrati in offerte single-vendor SASE entro il 2026, non si è materializzata. Nel Magic Quadrant for SASE Platforms 2025, pubblicato il 9 luglio 2025, Gartner ha aggiornato il numero stimando che a fine 2025 solo il 25% degli acquisti SD-WAN fosse in single-vendor SASE, con un nuovo target del 70% al 2028.

Parallelamente, il 50% dei nuovi deployment SASE sarebbe basato su offerta single-vendor entro lo stesso orizzonte, in crescita dal 30% del 2025. Il mercato globale SASE è atteso a 28,5 miliardi di dollari entro il 2028 con un tasso di crescita annua composto attorno al 26%, secondo la Market Opportunity Map: Secure Access Service Edge, Worldwide di Gartner.

Il messaggio strategico, al netto delle cifre, è che la convergenza c’è ma è più lenta del previsto. Senza una fabric di rete che porti l’enforcement il più vicino possibile all’utente e all’applicazione, l’idea della verifica continua resta una buona intenzione su slide; il consolidamento single-vendor riduce la frammentazione del policy enforcement, ma richiede investimenti che molte organizzazioni stanno spalmando su orizzonti più lunghi di quelli pronosticati due anni fa.

La frontiera operational technology

Il salto più rilevante del 2026 è quello verso l’operational technology. Il 29 aprile CISA, insieme a Department of War, Department of Energy, FBI e Department of State, con il contributo del NIST, ha pubblicato la guida congiunta Adapting Zero Trust Principles to Operational Technology. È il primo documento federale statunitense a declinare il modello sui contesti industriali, dalle utility ai trasporti, fino al manifatturiero discreto, e colma un gap che CISA stessa aveva annunciato nel 2023 quando, pubblicando il ZTMM 2.0, ne escludeva esplicitamente l’OT dal perimetro applicativo.

Il punto chiave è metodologico ed esplicito nel testo: “the blanket application of traditional information technology (IT)-focused ZT capabilities to OT is neither reasonable nor feasible”.

Tre vincoli lo impediscono: l’imperativo della disponibilità (un sistema di controllo non si riavvia per applicare una patch), i cicli di vita decennali degli asset (PLC e RTU installati negli anni Duemila sono ancora in produzione), i protocolli legacy non autenticati. La guida (28 pagine) è strutturata secondo le sei funzioni del NIST Cybersecurity Framework 2.0 (Govern, Identify, Protect, Detect, Respond, Recover), si allinea ai CISA Cross-Sector Cybersecurity Performance Goals 2.0 e richiama NIST SP 800-82 Rev.3, la DoD Zero Trust Reference Architecture v2.0 e gli standard IEC 62443 come riferimenti per i contesti industriali.

La logica operativa è incrementale: inventario completo degli asset, identità e accessi tarati sul processo industriale, segmentazione per zone, sicurezza della supply chain del codice e dell’hardware. Non un rip and replace, ma una roadmap di controlli compensativi (compensating controls) dove ogni misura si valuta in funzione del rischio di processo. Il documento nomina esplicitamente l’attività del gruppo Volt Typhoon, che compromette credenziali IT e si sposta verso ambienti OT attraverso identità condivise, come scenario di riferimento per la riprogettazione dei controlli.

La lente italiana: AGID, NIS2 e quadro normativo UE

L’aggiornamento 2026 del Piano Triennale per l’Informatica nella Pubblica Amministrazione 2024-2026 di AGID, pubblicato il 22 ottobre 2025, dedica il Capitolo 7 alla sicurezza informatica. Pur non adottando formalmente il termine “Zero Trust” come standard di riferimento, il Piano incorpora i principi del modello (verifica continua, segmentazione, minimo privilegio, autenticazione forte) nelle linee di azione per le PA. I target al 2026 più rilevanti riguardano la copertura del 100% delle PA richiedenti nel flusso degli Indicatori di Compromissione del CERT-AGID e l’estensione al 100% delle PA degli strumenti di autovalutazione messi a disposizione sul portale. L’aggiornamento 2026 introduce inoltre il riferimento al recepimento della direttiva NIS2 e l’allineamento al Regolamento Cloud ACN 21007/24.

Sul fronte regolatorio, gli architetti Zero Trust trovano sponda nella NIS2 recepita con il D.Lgs. 138/2024 (pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, in vigore dal 16 ottobre 2024) per i soggetti essenziali e importanti, nel Digital Operational Resilience Act (Regolamento UE 2022/2554) per il finanziario, nel Cyber Resilience Act (Regolamento UE 2024/2847) per i produttori di prodotti con elementi digitali e nell’AI Act (Regolamento UE 2024/1689) per i sistemi di intelligenza artificiale ad alto rischio. La sovrapposizione non è casuale: ogni norma sposta il baricentro dalla difesa perimetrale alla verifica continua del rischio, che è la definizione operativa del modello.

Sul versante italiano il riferimento operativo più aggiornato per chi parla di architetture Zero Trust è la Determinazione ACN 379907/2025, pubblicata a fine dicembre 2025 e applicabile dal 15 gennaio 2026, che sostituisce le specifiche di base del 14 aprile 2025. La scadenza finale per l’implementazione completa delle misure di sicurezza di base da parte dei soggetti essenziali e importanti è fissata al 31 ottobre 2026, data dalla quale ACN avvierà le attività ispettive. Lo schema di adempimenti progressivi (gennaio 2026 obbligo di notifica di base; aprile 2026 categorizzazione delle attività e dei servizi; ottobre 2026 implementazione completa) è la finestra dentro cui i programmi Zero Trust delle organizzazioni italiane si stanno effettivamente misurando.

La Strategia Nazionale di Cybersicurezza 2022-2026 dell’Agenzia per la Cybersicurezza Nazionale riprende lo stesso impianto, intrecciandolo con le misure di capacity building finanziate dal PNRR. Le grandi imprese italiane del finanziario e dell’energia sono in fase di estensione dei programmi Zero Trust dalla user journey (passkeys, FIDO2, Privileged Access Management) al traffico est-ovest, mentre il tessuto delle PMI resta in larga parte fermo alle fondamenta: inventario, segmentazione di base, igiene degli account amministrativi. È in questo livello intermedio che il successo della transizione si gioca, non sui progetti di punta delle banche commerciali.

Cosa aspettarsi nel resto del 2026

Per le agenzie statunitensi la Phase Three delle ZIG, dedicata al livello advanced, è formalmente possibile ma non programmata: la NSA ha indicato che potrà essere sviluppata “at a later date”. L’attenzione del 2026 sarà sulla messa in produzione delle 91 attività target-level già pubblicate e sul primo bilancio rispetto al deadline FY2027. Sul versante OT, il roadmap CISA spingerà i fornitori critici a rivedere i propri playbook e ci si attendono linee guida settoriali analoghe da ENISA, allineate al pacchetto NIS2 e Critical Entities Resilience Directive.

Per le imprese il consiglio operativo resta lo stesso da almeno tre anni: trattare lo Zero Trust come un programma pluriennale misurabile, non come un acquisto. Definire una baseline (la traditional di CISA è il punto di partenza più riconosciuto), scegliere due o tre pillar dove ottenere risultati visibili in dodici mesi (di solito Identity e Devices), iscrivere il modello nella governance di rischio (NIS2, DORA, CRA) per evitare che diventi un capriccio tecnologico isolato.

Senza KPI di processo (tempo medio per onboardare una nuova applicazione nel policy engine, percentuale di traffico est-ovest ispezionato, copertura della posture su dispositivi gestiti e non gestiti) il programma resta un cantiere aperto a tempo indefinito. Lo scarto fra l’ampia adesione di principio e quel 10% di programmi maturi previsto da Gartner per fine 2026 si chiude lì, nei numeri concreti che il management e i CISO scelgono di rendere visibili e ripetibili.