Il NIST (National Institute of Standards and Technology) ha avviato uno sviluppo significativo, pubblicando una concept note il 7 aprile 2026 e lanciando il profilo AI RMF (AI Risk Management Framework) dedicato alla trustworthy AI nelle infrastrutture critiche. Il documento, che invita gli stakeholder a partecipare attivamente, apre una fase cruciale di convergenza per CIO e CISO tra governance dell’AI, cybersecurity operativa, resilienza e continuità dei servizi.
Una governance operativa tangibile
L’estensione dell’AI RMF con un profilo specifico per le infrastrutture critiche sposterà gradualmente l’applicazione dell’AI dalla semplice considerazione etica a una pratica operativa chiaramente definita e coerente con il contesto fisico, finanziario e normativo. L’AI non sarà più considerata solo un ausilio digitale ma una risorsa critica con rischi concreti per la società.
Allineamento alla strategia nazionale
L’iniziativa rientra completamente nella strategia del NIST, intitolata Strategy for American Technology Leadership in the 21st Century. Lo scopo del profilo è guidare gli operatori di infrastrutture critiche, con pratiche basate su valutazioni rigorose del livello di rischio, e fornire loro un supporto per comunicare chiaramente, a team e sviluppatori, i requisiti d’affidabilità lungo l’intero ciclo di vita delle tecnologie di controllo.
Esempi di applicazione pratica
Tra le applicazioni dell’AI negli scenari di infrastrutture critiche, la concept note elenca otto esempi chiave. Tra questi figurano:
- Agenti AI per risposte autonome a incidenti cybersecurity, testati e verificati
- Sistemi di monitoraggio di impianti basati sull’AI, resistenti a input malevoli
- Assistenti diagnostici deterministici, tracciabili e verificabili
- Gemelli digitali per la gestione di data center critici
- Robot e veicoli autonomi con controlli fail-safe deterministici
- Sistemi in grado di degradare controllatamente e di segnalare agli operatori umani la necessità d'intervento
Perimetro di applicazione
Il profilo include tutti i 16 settori di infrastrutture critiche definiti dalla CISA: energia, acqua, trasporti, telecomunicazioni, servizi finanziari, sanità, industria e difesa. Questi settori saranno guidati verso l’implementazione coerente del profilo, atta a garantire che l’uso dell’AI non comporti solo rischio digitale, ma potenzialmente fisico ed economico.
Sviluppo e collaborazione lungo la supply chain
La concept note indica come una priorità per lo sviluppo del profilo la promozione della visibilità e della collaborazione lungo la supply chain dell’AI. In particolare, il documento sottolinea l’esigenza di gestire contesti complessi e specifici come, ad esempio, la collaborazione con fornitori di software e di sistemi hardware in contesti ad alto rischio.
Contesto mancante e aree future
Al momento, il documento non si addentra in questioni avanzate come la gestione dell’identità negli agenti multiagente. Questo aspetto, importante in contesti complessi e decentralizzati, resterà probabilmente oggetto di studio futuri all’interno del profilo AI RMF.
Ottimizzazione della gestione del rischio
Per le organizzazioni che operano in questi settori, è fondamentale monitorare l’evoluzione della concept note, in quanto introdurrà probabilmente scenari di rischio settoriali, controlli raccomandati basati su framework esistenti e linee guida precise per integrare la gestione del rischio AI nei programmi di cybersicurezza e continuità del servizio.
Insieme al NIST AI RMF
Il NIST AI RMF si presenta come la cornice principale per lo sviluppo del nuovo profilo, estendendone la governance in contesti operativi e industriali. Un quadro che fornisce contestualità ma non costituisce ancora il contenuto specifico della concept note.
Due framework integrabili: NIST e ISO/IEC 42001
La ISO/IEC 42001 è lo standard internazionale per il management dell’IA, strutturato in modo conforme alle ISO/IEC 27001 e 9001 e quindi facilmente integrabile. Le organizzazioni che adottano già principi del NIST AI RMF troveranno in questo framework un cammino verso una certificazione estendendosi attraverso audit e formalizzazione.
AI Act: obblighi normativi in Europa
L’AI Act, entrato in vigore a livello europeo, richiede che i sistemi AI siano classificati per rischio e che i fornitori soddisfino rigorosi obblighi normativi. Il NIST AI RMF si allinea a questi attraverso funzioni di governance, mappatura e misurazione.
Obiettivi e sviluppi futuri
Le organizzazioni che integrano l’AI RMF nei loro programmi di conformità esistenti hanno maggiori probabilità di successo e di efficienza rispetto a quelle che creano nuovi processi separati. L’allineamento con il NIST AI RMF, in combinazione con standards internazionali e normative legislative, permette un’applicazione più completa e regolamentata dell’AI in contesti settoriali vitali.