L’ENISA, in collaborazione con il gruppo di cooperazione NIS e la Commissione europea, ha presentato il suo primo rapporto sullo stato della cyber security dal titolo “2024 Report on the state of cybersecurity in the Union”.

Un rapporto che offre ai decisori politici dell’UE una dettagliata analisi basata su dati concreti riguardo allo sviluppo e alle capacità di cibersicurezza a livello europeo, nazionale e sociale.

Inoltre, il report include raccomandazioni strategiche per colmare le lacune individuate e potenziare il livello complessivo di cibersicurezza nell’Unione.

È doveroso evidenziare che la redazione di questo rapporto è avvenuta prima del termine di recepimento della NIS2. Pertanto, alcuni dati potrebbero non riflettere completamente le capacità di cybersecurity dopo la scadenza del 17 ottobre 2024.

Tuttavia, il documento contiene informazioni che probabilmente rimarranno stabili nel breve e medio termine, offrendo una panoramica dello stato della cybersecurity nell’Unione poco prima dell’implementazione completa della NIS2 da parte degli Stati membri dell’UE.

Inoltre, l’UE ha lanciato diverse iniziative strategiche orizzontali, oltre la NIS2 (Network and Information Systems), come il CRA (Cyber Resilience Act) il CSOA (Cyber Solidarity Act) ed EUDIF (European Digital Identity Framework), con l’obiettivo di rafforzare il quadro strategico per la cybersecurity e creare le strutture e i processi necessari per miglioramenti mirati nel futuro.

Parallelamente, sono state avviate iniziative politiche settoriali, come DORA (Digital Operational Resilience Act), NCCS (National Cyber Security Strategy) e quelle nel settore dell’aviazione, per affrontare le sfide specifiche di ciascun ambito.

Parallelamente, l’incertezza del contesto geopolitico ha influenzato gli obiettivi e le tattiche degli attori delle minacce, sia statali che non statali. Un’analisi delle minacce ha evidenziato un aumento degli incidenti di sicurezza informatica nell’UE, con una prevalenza di attacchi ransomware e DDoS tra i vari tipi di attacchi rilevati.

Di seguito una sintesi del contenuto del rapporto ENISA.

Il contesto legislativo in Europa

Negli ultimi anni, sono stati introdotti diversi sviluppi legislativi per rafforzare il quadro della cybersecurity nell’UE. La Direttiva NIS2, entrata in vigore il 16 gennaio 2023, prevede misure per migliorare la sicurezza informatica imponendo obblighi a 18 settori economici e promuovendo la cooperazione tra Stati membri. Il CRA, in vigore dal 23 ottobre 2024, introduce requisiti di sicurezza per prodotti digitali per ridurre le vulnerabilità. Il CSOA, previsto per l’inizio del 2025, mira a migliorare la capacità dell’UE di rispondere a minacce informatiche su larga scala.

Il regolamento per un alto livello di cybersecurity delle istituzioni UE è stato adottato nel 2023 e applicato dal 7 gennaio 2024. Inoltre, il regolamento di esecuzione per lo schema di certificazione della cybersecurity basato sui Common Criteria è entrato in vigore nel febbraio 2024.

Sono state anche avviate iniziative settoriali, come il DORA per il settore finanziario, regolamenti per l’aviazione, il Network Code per la sicurezza informatica nei flussi elettrici transfrontalieri, e il nuovo quadro per l’identità digitale europea.

Altre normative rilevanti includono l’AI Act, il Digital Markets Act, il Digital Services Act, il Chips Act e il Data Act. Queste iniziative mirano a rafforzare la resilienza e la collaborazione in materia di sicurezza informatica nell’UE.

EU cyber risk assessment

Ilrapporto evidenzia la crescente vulnerabilità dell’UE alle minacce informatiche, accentuata dalla rapida digitalizzazione e dall’interconnessione economica e sociale.

Le dinamiche geopolitiche, come i conflitti tra Russia e Ucraina e la crisi Israele-Palestina, hanno intensificato le minacce, integrandosi in attacchi ibridi che includono disinformazione e sabotaggio. Eventi come le elezioni europee hanno stimolato l’attività degli hacktivisti, mentre l’uso continuo dei servizi digitali, favorito dal lavoro remoto e dall’intelligenza artificiale, mantiene alta l’esposizione alle minacce.

Gli Stati membri dell’UE rimangono bersagli di criminali informatici e gruppi statali, che aggiornano costantemente le loro tattiche per sfruttare vulnerabilità note e sconosciute.

Durante il periodo analizzato, il livello di minaccia informatica è stato valutato come sostanziale, indicando che è probabile che i soggetti vengano presi di mira o esposti a violazioni tramite nuove vulnerabilità.

Sebbene molti attori delle minacce abbiano mostrato l’intenzione di causare incidenti su larga scala, solo alcuni hanno dimostrato le capacità necessarie per farlo.

EU Cyber Threat Landscape

Secondo il report ENISA Threat Landscape 2024 si è registrata una notevole escalation degli attacchi alla sicurezza informatica, stabilendo nuovi parametri di riferimento sia per la varietà sia per il numero di incidenti, nonché per le loro conseguenze.

Inoltre, dal report si evince che gli attacchi Denial of Service (DoS/DDoS/RDoS) e il ransomware sono rimasti le forme di attacco più segnalate e hanno rappresentato oltre la metà degli eventi osservati, seguiti da minacce contro i dati, ad esempio violazioni o fughe di dati.

L’aumento delle tensioni geopolitiche ed economiche, la guerra informatica si intensifica, utilizzando spionaggio, sabotaggio e disinformazione come strumenti strategici per le nazioni.

Le campagne di cyber-spionaggio contro gli Stati membri dell’UE e le Entità di Interesse dell’Unione Europea sono persistenti e gravi, con gruppi legati a Russia e Cina che rappresentano minacce significative. In particolare, i gruppi russi mirano a obiettivi ucraini e istituzioni dell’UE, mentre le elezioni europee sono state bersaglio di operazioni informative senza attacchi informatici dirompenti.

Gli attori delle minacce statali utilizzano l’intelligenza artificiale per creare contenuti falsi e diffondere disinformazione, con la manipolazione delle informazioni che rimane centrale nella guerra russa contro l’Ucraina.

Il ransomware continua a essere una minaccia significativa, evolvendo verso l’esfiltrazione dei dati e colpendo maggiormente le piccole e medie imprese. La doppia estorsione è diventata comune, e i criminali usano tecniche di ingegneria sociale e intelligenza artificiale per ingannare le vittime.

La professionalizzazione del crimine informatico è evidenziata dall’aumento dei servizi di hacker a pagamento, che forniscono supporto anche a gruppi statali. Tuttavia, le forze dell’ordine stanno intensificando gli sforzi per smantellare queste reti, costringendo i gruppi criminali a riorganizzarsi e cercare nuovi modelli di business.

Attacchi alla supply chain

Le minacce alla catena di approvvigionamento sono una preoccupazione primaria nell’UE a causa della loro vasta portata, difficoltà di rilevamento e potenziale di causare effetti catastrofici a cascata.

La crescente dipendenza dai servizi IT esternalizzati aggiunge complessità e sfide alla sicurezza informatica, in particolare per le PMI. L’aumento degli attacchi sofisticati alla catena di approvvigionamento richiede un approccio multi-frontale per rafforzare le difese.

Nell’era digitale interconnessa, nessun settore è immune agli attacchi informatici. Secondo il rapporto ENISA Threat Landscape 2024, il 19% degli attacchi ha colpito la pubblica amministrazione e l’11% il settore dei trasporti.

Gli attacchi all’infrastruttura digitale e al settore bancario hanno rappresentato rispettivamente il 9% e l’8% degli eventi totali. Inoltre, un significativo 8% degli attacchi ha preso di mira la società civile, senza un settore particolare, etichettati come “grande pubblico”.

Capacità di cybersecurity a livello UE

Conformemente all’Art. 18.3 della Direttiva NIS2, l’ENISA ha creato l'”Indice di Cybersecurity dell’UE”, un insieme di indicatori quantitativi e qualitativi per valutare il livello di maturità delle capacità di cybersecurity nell’Unione.

Questo indice analizza la postura di cybersecurity dell’UE, considerando la capacità di riconoscere minacce, prevenire incidenti, sviluppare politiche e garantire resilienza.

Nel 2024, il valore complessivo dell’Indice è stato di 62,65 su 100, indicando una generale convergenza tra gli Stati membri, sebbene alcuni siano leggermente in ritardo, con una deviazione media di 3,76 punti rispetto alla media UE.

Stati Membri dell’UE mostrano significative differenze nell’implementazione delle politiche, in particolare riguardo alla divulgazione delle vulnerabilità, le misure di supervisione per le entità essenziali e importanti, e la ricerca e sviluppo (R&S) e l’istruzione.

La deviazione media degli indicatori in queste aree è tra le più alte, superando i 25 punti, indicando una notevole disparità tra i paesi.

Le variazioni nella divulgazione delle vulnerabilità e nelle misure di supervisione sono attribuite all’implementazione in corso delle leggi pertinenti, mentre le differenze in R&S e istruzione riflettono percezioni diverse dell’importanza di questi temi.

Nel campo dell’igiene informatica, l’uso sicuro di Internet da parte dei cittadini ha raggiunto un punteggio elevato, con una media UE di 93,29 su 100 e una minima deviazione tra gli Stati Membri. Questo indica che gli utenti hanno adattato i loro comportamenti online per motivi di sicurezza.

Le imprese, specialmente le PMI, sono spesso riluttanti a segnalare incidenti di sicurezza, nonostante un punteggio medio elevato per le aziende che non hanno subito violazioni significative.

Inoltre, il report rivela che c’è un margine di miglioramento negli investimenti in sicurezza informatica da parte degli Operatori di Servizi Essenziali (OES) e dei Fornitori di Servizi Digitali (DSP), con un basso punteggio medio UE di 7,14.

Anche la governance della sicurezza informatica e la maturità dei CSIRT necessitano di miglioramenti, con un basso allineamento con le pratiche internazionali (punteggio medio di 10,31 su 100). Tuttavia, i CSIRT sono ben integrati in reti internazionali come Trusted Introducer e FIRST.

Le NCSS sono fondamentali, delineando la visione politica a lungo termine di un paese in materia di cybersecurity. Secondo la direttiva NIS2, ogni Stato Membro deve adottare una strategia dettagliata per mantenere un alto livello di cybersecurity. Dal 2017, tutti gli Stati Membri hanno implementato una strategia nazionale, con alcuni che le hanno aggiornate più volte, mentre altri sono ancora alla loro prima iterazione.

È doveroso evidenziare che la competenza nella redazione di queste strategie varia tra gli Stati Membri, con alcuni paesi alla terza o più iterazione, mentre altri sono ancora alla prima, come si evince dalla immagine sotto riportata.

Nonostante le differenze naturali nelle priorità tra gli Stati Membri a causa dei loro contesti nazionali unici, l’allineamento degli obiettivi indica che gli sforzi nazionali stanno convergendo verso la stessa direzione.

Questo allineamento facilita la complementarità e offre potenziali economie di scala. Un’analisi di un insieme predefinito di obiettivi strategici rivela che le strategie nazionali sono generalmente allineate, con la maggior parte degli obiettivi condivisi dalla maggioranza degli Stati Membri., come si evince dalla figura seguente.

Le strategie nazionali di cybersecurity sono solitamente corredate da piani d’azione formali per garantirne l’attuazione.

Tuttavia, il report evidenzia che alcuni Stati Membri, pur avendo stabilito il quadro politico necessario, sono in ritardo nella definizione e nell’implementazione di questi piani.

È cruciale che gli obiettivi di cybersecurity siano accompagnati da piani d’azione formali per risultare efficaci.

Sebbene la maggior parte degli obiettivi comuni sia supportata da un piano d’azione nell’80% degli Stati Membri che li hanno adottati, per metà di questi obiettivi, la percentuale di Stati che ha effettivamente implementato i piani varia tra il 67% e il 79%, segnalando un ritardo nell’attuazione da parte di alcuni paesi.

L’introduzione del processo di Peer Review previsto dall’Art. 19 della NIS2 dovrebbe migliorare ulteriormente le capacità di cybersecurity nazionali, favorendo la condivisione di buone pratiche e la fiducia reciproca tra gli Stati Membri.

Inoltre, ENISA, per quanto riguarda la NIS2, ha creato una metodologia per valutare annualmente le capacità e le esigenze di cybersecurity di ciascun settore nell’Unione Europea. Ogni settore viene analizzato su quattro dimensioni di criticità e cinque di maturità, assegnando un punteggio da 1 a 10 basato su indicatori qualitativi e quantitativi, qui di seguito riportate

Nel 2023, ENISA ha avviato per la prima volta questa valutazione come progetto pilota, focalizzandosi su un numero selezionato di settori e sottosettori (o tipi di entità all’interno di un settore) per assicurare che il processo di valutazione fosse gestibile ed efficace.

È doveroso evidenziare che tutti i settori presentano una diversità in termini di dimensioni e criticità delle entità, complicando per le autorità nazionali la supervisione e l’applicazione di requisiti di sicurezza uniformi, come illustrato nella figura sottostante.

Telecomunicazioni, elettricità, finanza: settori chiave con alta maturità e criticità

Si tratta di settori essenziali per la società moderna che hanno ottenuto punteggi elevati in termini di criticità a causa del loro ruolo fondamentale nel mantenere la continuità della vita quotidiana e la stabilità economica. Di fatto, un loro malfunzionamento potrebbe portare a interruzioni significative delle attività quotidiane ed economiche.

È doveroso evidenziare che questi settori mostrano anche livelli avanzati di maturità nella cybersecurity, grazie a solidi quadri normativi, autorità di supervisione efficaci e un’elevata preparazione operativa, diventando così modelli di riferimento per altri settori.

Circa l’80% di queste entità chiave vede il top management direttamente coinvolto nell’approvazione delle misure di gestione del rischio informatico. Inoltre, si riscontra una forte correlazione tra il coinvolgimento della leadership nella cybersecurity e la maturità nella gestione del rischio informatico, oltre alle capacità di rilevamento e risposta agli incidenti. Di fatto, le organizzazioni con una leadership attivamente impegnata nella cybersecurity hanno più del doppio delle probabilità di superare il livello base nella gestione del rischio e nel rilevamento e risposta agli incidenti.

Tuttavia, esiste una diversità tra le entità all’interno di questi settori. Ad esempio, la formazione sulla cybersecurity per il top management è più comune nel settore bancario (59%) rispetto alle infrastrutture del mercato finanziario (30%). Inoltre, il settore bancario ha la spesa annuale più alta per la sicurezza delle informazioni (€2,0 milioni), mentre il settore delle infrastrutture del mercato finanziario ha una delle spese più basse (€0,3 milioni).

Infrastrutture Internet: sottosettori emergenti in criticità

Il settore delle infrastrutture Internet sta diventando sempre più importante con la digitalizzazione globale, essendo essenziale per il funzionamento di altri settori.

Nonostante la sua criticità sia quasi pari a quella delle telecomunicazioni, dell’elettricità e della finanza, la maturità del settore deve ancora migliorare. Le entità nei sottosettori NIS2 sono consapevoli dei rischi informatici e adottano buone pratiche di gestione del rischio, ma il livello di competenza varia, causando discrepanze.

A livello nazionale e dell’UE, la comprensione e il monitoraggio dei rischi informatici sono limitati, contribuendo a carenze nel rilevamento e nella risposta agli incidenti. Sebbene la preparazione operativa sia elevata, con entità come gli IXP (Internet exchange point) e i CDN (Content Delivery Network) che affrontano attacchi quotidiani, la mancanza di condivisione delle informazioni e collaborazione con le autorità complica la gestione delle crisi.

Migliorare questi aspetti è fondamentale per la sicurezza e la stabilità del nostro ecosistema digitale.

Sanità, settore ferroviario e del gas: criticità moderata-alta

settori della salute, ferroviario e del gas mostrano punteggi di criticità moderata-alta. Gli ospedali sono spesso bersaglio di attacchi informatici, che possono causare perdite di dati dei pazienti, anche se generalmente gestibili.

Tuttavia, incidenti che compromettano la disponibilità dei servizi sanitari possono mettere a rischio la salute e la sicurezza. Secondo il rapporto ENISA Threat Landscape 2023, il settore sanitario è tra i più colpiti da incidenti di cybersecurity, anche se questi eventi tendono a essere isolati e non influenzano significativamente altri settori.

Nel settore ferroviario, un incidente potrebbe avere un impatto nazionale, ma è improbabile che provochi effetti a catena. Il settore sanitario sta diventando sempre più dipendente dalle tecnologie ICT (Information and Communications Technology), mentre il settore del gas le utilizza moderatamente.

Questi settori presentano livelli di maturità moderati e affrontano sfide legate alla sicurezza dei sistemi obsoleti e delle tecnologie operative (Operational Technology -OT).

Nei settori ferroviario e sanitario, molti sistemi legacy sono difficili da aggiornare, rendendo le entità dipendenti da fornitori e terze parti per la gestione e gli aggiornamenti.

Inoltre, la sicurezza dei prodotti e dei processi ICT nel settore sanitario è insufficiente a causa della diversità di entità e dispositivi. Nonostante queste sfide, i settori sanitario e ferroviario sono tra i principali investitori in spese IT, con investimenti annuali rispettivamente pari a 64 milioni di euro e a 101 milioni di euro. Di fatto, affrontare queste sfide e sfruttare gli investimenti IT sono passi cruciali per migliorare la cybersecurity in questi settori essenziali.

Settore petrolifero: minore maturità

Il settore petrolifero mostra la minore maturità nelle pratiche di cybersecurity, principalmente a causa della sua minore dipendenza dalle tecnologie ICT e della minore incidenza di incidenti di cybersecurity rispetto ad altri settori.

Essendo ancora all’inizio del suo percorso di digitalizzazione e maturazione nella cybersecurity, necessita di miglioramenti significativi per evitare di diventare un punto vulnerabile nelle infrastrutture critiche.

Il Cyber Emergency Mechanism, istituito dal CSOA, prevede azioni di preparazione, come test coordinati per le entità in settori altamente critici, supportati dal Programma Europa Digitale e gestiti dal Centro Europeo di Competenza per la Cybersecurity.

La Commissione, in collaborazione con ENISA e il Gruppo di Cooperazione NIS, può regolarmente identificare settori o sottosettori rilevanti, inclusi nell’Allegato I della direttiva NIS2, per sottoporli a test di preparazione coordinati a livello dell’UE.

Cybersecurity in UE: raccomandazioni ENISA

Il report di ENISA, a fronte dello scenario sopra evidenziato, suggerisce alcune raccomandazioni atte a migliorare il livello di cybersecurity. E, precisamente:

1. Si consiglia di sviluppare un approccio armonizzato per la raccolta di dati settoriali rilevanti per migliorare la maturità e la criticità della cybersecurity nei vari. Gli Stati Membri sono invitati a monitorare questi aspetti a livello nazionale, utilizzando indicatori come incidenti, investimenti e pratiche di cybersecurity, mantenendo il ruolo della direttiva NIS2 come quadro per migliorare la maturità della cybersecurity.
2. Gli Stati Membri, con il supporto della Commissione Europea e di ENISA, potrebbero offrire auto-valutazioni e test di stress alle entità coperte dalla direttiva NIS2. È consigliato sfruttare l’esperienza di ENISA per aumentare la preparazione e la resilienza della cybersecurity e richiedere la sua valutazione tecnica per iniziative politiche rilevanti.
3. Si suggerisce di considerare una valutazione del rischio nazionale, seguendo un approccio all-hazards, per avere un’analisi più dettagliata, integrando informazioni nelle valutazioni del rischio a livello dell’Unione. ENISA potrebbe supportare gli Stati Membri nella valutazione della cybersecurity delle entità NIS2, facilitando la condivisione di buone pratiche e lo sviluppo di quadri di valutazione comuni.

Societal capability: consapevolezza e igiene cyber dei cittadini UE

La rapida transizione digitale e l’emergere di nuovi modi di esercitare diritti e libertà fondamentali sottolineano l’importanza di migliorare la consapevolezza della cybersecurity e le competenze digitali dei cittadini. Queste capacità sono cruciali per ridurre la vulnerabilità degli abitanti dell’UE agli attacchi informatici nella vita quotidiana.

Secondo il rapporto ENISA Threat Landscape 2024, l’8% degli incidenti ha colpito la società civile, sfruttando tecniche di ingegneria sociale e manipolazione delle informazioni. Una popolazione ben informata e con buone pratiche di igiene informatica è più resistente alle minacce, contribuendo a un ambiente digitale sicuro, favorendo la crescita economica e permettendo una piena partecipazione all’era digitale.

1. Metà dei cittadini dell’UE manca delle competenze digitali necessarie per partecipare pienamente alla società, limitando il loro accesso ai servizi online. Emerge che, secondo Eurostat, nel 2021 il 46% degli europei non aveva competenze digitali di base, limitando la loro fiducia nell’uso dei dispositivi digitali e nell’accesso ai benefici delle tecnologie digitali. Inoltre, i Digital Decade Cardinal Points evidenziano che molti cittadini non possiedono ancora le competenze necessarie per sfruttare le opportunità online, come accedere a informazioni dalle autorità pubbliche, utilizzare servizi bancari online o fare acquisti su internet.
2. La fiducia delle persone nella loro capacità di proteggersi dal crimine informatico è diminuita.La fiducia dei cittadini europei nella loro capacità di proteggersi dal crimine informatico è diminuita dal 71% nel 2017 al 59% nel 2020. Questo calo può essere attribuito alla rapida digitalizzazione dei servizi e a un contesto di minacce più complesso, ma potrebbe anche riflettere una maggiore consapevolezza dei rischi informatici. Inoltre, secondo l’Eurobarometro, una percentuale molto alta di utenti Internet (93%) ha cambiato il proprio modo di utilizzare la rete a causa di preoccupazioni sulla sicurezza.
3. La consapevolezza sul crimine informatico e sui relativi meccanismi di segnalazione è bassa tra la popolazione dell’UE. Secondo Eurostat, circa due terzi della popolazione dell’UE (66%) protegge i propri dati personali online adottando misure come la lettura delle politiche sulla privacy e la verifica della sicurezza dei siti web, una percentuale che è rimasta stabile dal 2020 al 2023 nonostante i crescenti rischi digitali. La percentuale di persone che si considerano ben informate sul crimine informatico è leggermente aumentata dal 46% nel 2017 al 52%. Tuttavia, solo il 22% degli intervistati in un sondaggio dell’Eurobarometro è a conoscenza di un canale ufficiale per segnalare crimini informatici o comportamenti illeciti online.
4. La disponibilità di programmi di istruzione in cybersecurity nelle università varia notevolmente tra gli Stati Membri dell’UE. Secondo i dati di ENISA, oltre due terzi degli Stati Membri dell’UE offrono programmi di laurea e master in cybersecurity come disciplina indipendente, con n. 24 Stati che li includono nei loro sistemi educativi. Inoltre, n. 20 Stati offrono corsi o curriculum specializzati in cybersecurity per i livelli 5-8 dell’European Qualifications Framework e n. 21 Stati incoraggiano l’integrazione di corsi di sicurezza informatica nell’istruzione superiore per studenti di diverse discipline. Tuttavia, la disponibilità di questi programmi varia significativamente tra gli Stati Membri. Inoltre, l’adozione di meccanismi di finanziamento per incentivare tali corsi, come borse di studio o tirocini garantiti, risulta irregolare, con 16 Stati che non hanno ancora intrapreso azioni concrete o sono solo agli inizi del processo.
5. L’educazione alla cybersecurity nella scuola primaria e secondaria varia notevolmente tra gli Stati Membri in termini di maturità. Nonostante l’esistenza di strategie e piani d’azione, gli approcci nazionali alla cybersecurity in ambito educativo variano notevolmente e spesso si basano su iniziative decentralizzate o sono ancora in fase iniziale di implementazione. Le iniziative educative in cybersecurity sono generalmente sostenute da quadri normativi nazionali e si basano sulle strategie nazionali di cybersecurity. Circa la metà degli Stati Membri ha integrato la cybersecurity nei curricula nazionali per l’istruzione primaria (13 Stati) e secondaria (14 Stati), mentre altri Stati stanno discutendo come farlo (6 Stati).

ENISA ha inoltre sviluppato strumenti per supportare i profili professionali e l’istruzione superiore, come il Cybersecurity Skills Framework (ECSF), il Cybersecurity Higher Education Database (CyberHEAD), la Cyber Exercise Platform e l’European Cyber Security Challenge. Inoltre, è stata istituita la Cybersecurity Skills Academy con l’obiettivo di colmare il divario di talenti nella cybersecurity, di rafforzare la forza lavoro cibernetica dell’UE e di aumentare la competitività, la crescita e la resilienza dell’UE.

Raccomandazioni

Il report di ENISA, a fronte dello scenario sopra evidenziato, suggerisce alcune raccomandazioni per raggiungere un alto livello comune di consapevolezza sulla cybersecurity e igiene informatica tra professionisti e cittadini, indipendentemente dalle caratteristiche demografiche. E, precisamente:

1. Le strategie nazionali di cybersecurity degli Stati Membri devono includere piani per aumentare la consapevolezza sulla cybersecurity tra i cittadini, come richiesto dalla Direttiva NIS2.
2. Gli Stati Membri sono incoraggiati a promuovere politiche che sviluppino programmi educativi e di formazione in cybersecurity, fornendo linee guida sulle buone pratiche di igiene informatica. Devono anche creare programmi su misura per diverse demografie, utilizzando vari canali di comunicazione per migliorare la consapevolezza nelle popolazioni meno raggiunte.
3. Si consiglia, per aumentare la consapevolezza sulla cybersecurity, di organizzare eventi di sensibilizzazione e, con il supporto di ENISA, fornire materiale informativo in diverse lingue. Inoltre, gli Stati Membri dovrebbero collaborare con la Commissione Europea e ENISA per monitorare i programmi educativi e affrontare il divario nelle competenze di cybersecurity.
4. È incoraggiato lo sviluppo di politiche di riqualificazione, utilizzando il database ENISA CyberHEAD per migliorare le competenze in cybersecurity.
5. Gli Stati Membri dovrebbero incentivare i fornitori di servizi nei settori delle telecomunicazioni, banche e servizi digitali a investire nella consapevolezza sulla cybersecurity come parte della loro responsabilità digitale aziendale, potenzialmente stabilendo un quadro di responsabilità per la cybersecurity aziendale.

Implementazione di un quadro politico cyber completo e complementare

Il report ENISA sottolinea la crescente importanza per le autorità nazionali dell’UE di implementare un quadro politico di cybersecurity completo e complementare, in risposta all’evoluzione delle politiche dell’Unione Europea in questo ambito. È doveroso evidenziare che l’implementazione di tali politiche richiede tempo e risorse consistenti.

Di fatto, gli Stati Membri stanno integrando i nuovi settori della direttiva NIS2 nella legislazione nazionale, un compito complesso sia durante la trasposizione sia nella supervisione successiva delle entità coinvolte. Inoltre, sono state adottate recentemente o sono in fase di adozione importanti legislazioni orizzontali dell’UE, come EUCC, CRA e CSOA. Ancora, sono stati adottati una lex specialis alla NIS2, come DORA, e atti settoriali specifici per l’energia e l’aviazione.

È essenziale evitare frammentazioni e sovrapposizioni nella legislazione sulla cybersecurity tra iniziative settoriali e lex specialis. Pertanto, il Consiglio europeo ha chiesto alla Commissione di sviluppare una chiara panoramica dei quadri legislativi rilevanti e delle loro interazioni, evidenziando l’importanza di sfruttare le sinergie. Per quanto riguarda la notifica degli incidenti, l’implementazione delle leggi dovrebbe evitare la creazione di set di dati frammentati, massimizzando i benefici in termini di consapevolezza situazionale.

Trasposizione NIS2

Il processo di trasposizione nazionale della NIS2 per stabilire una lista di entità essenziali e importanti è in fase avanzata, con un progresso valutato al 62% e n. 22 Stati Membri che si trovano vicini o al di sopra di questa media.

Attualmente, la maggior parte degli Stati Membri sta compilando queste liste, e circa due terzi di essi stanno includendo anche le PMI.

La maggior parte degli altri Stati ha già completato questo processo. Inoltre, si prevede che queste liste di entità essenziali e importanti verranno mantenute aggiornate dalla maggior parte degli Stati Membri.

Implementazione delle misure di supervisione per la NIS2

L’implementazione delle misure di supervisione varia tra gli Stati Membri, e al momento è ancora prematuro raccogliere dati completi sulla conformità delle misure per tutte le entità sotto la NIS2.

Un terzo degli Stati Membri ha segnalato che oltre l’80% delle entità NIS2 è sottoposto a misure di supervisione da parte delle autorità nazionali competenti, mentre gli altri riportano percentuali più basse e variabili.

In più di due terzi degli Stati Membri, vengono effettuati audit regolari di cybersecurity, sia da parte di un’autorità di supervisione dedicata sia da terze parti indipendenti. Solo un numero molto limitato di Stati Membri manca di meccanismi per verificare la conformità.

Dal report si evince che la percentuale di entità essenziali e importanti per le quali si raccolgono dati di conformità varia notevolmente tra gli Stati Membri.

Implementazione delle misure di gestione del rischio di cybersecurity

Nell’implementazione delle misure di gestione del rischio informatico, si riscontrano notevoli differenze tra le entità, influenzate dalla dimensione aziendale e dalla maturità del settore.

Nel 2023, gli Operatori di Servizi Essenziali (Operator of Essential Services – OES) e i Fornitori di Servizi Digitali (Digital Service Provider – DSP) sotto la Direttiva NIS1 hanno dedicato l’11,9% del personale IT alla sicurezza delle informazioni, un lieve calo rispetto al 2022, nonostante l’aumento generale degli investimenti in cybersecurity.

La percentuale del budget IT destinata alla cybersecurity varia tra il 5% e il 10% a seconda del settore. Circa il 45% degli OES e DSP ha dichiarato di avere buone o mature capacità di gestione del rischio informatico, mentre il 23% ha capacità limitate o inesistenti. Inoltre, il 49% ha buone capacità di rilevamento e risposta agli incidenti, mentre il 18% ne ha di limitate o assenti. I settori bancario, energetico, sanitario e dei trasporti mostrano maggiore maturità rispetto alle infrastrutture digitali e all’acqua potabile.

Secondo Eurostat, nel 2022, l’83% delle grandi imprese dell’UE ha applicato almeno una misura di sicurezza ICT, mentre solo il 49% delle PMI lo ha fatto. Solo il 17% delle grandi imprese e il 4% delle PMI hanno applicano tutte le misure di sicurezza ICT esaminate.

Inoltre, l’80% delle grandi imprese ha documentato misure di sicurezza ICT e il 58% ha definito o rivisto una politica di sicurezza ICT nell’ultimo anno. Tali percentuali sono inferiori per le PMI, con il 36% che ha misure documentate e il 23% che ha rivisto una politica di sicurezza. Infine, il 72% delle grandi imprese effettua la valutazione del rischio di incidenti di sicurezza ICT, rispetto al 31% delle PMI.

Ruolo della leadership nella cybersecurity

Il report evidenzia che il coinvolgimento del top management nella cybersecurity influisce significativamente sull’implementazione delle misure di sicurezza. La maturità nella gestione del rischio e nelle capacità di rilevamento e risposta agli incidenti è strettamente legata alla partecipazione della dirigenza.

Nel 2023, l’81% degli OES e dei DSP ha visto la leadership approvare le misure di gestione del rischio informatico, e il 50% di queste organizzazioni ha avuto leader che hanno partecipato a corsi di formazione specifici sulla cybersecurity. Ciò a dimostrazione che esiste una forte correlazione tra il coinvolgimento del top management e la maturità delle organizzazioni nella gestione del rischio informatico, con un aumento delle probabilità di superare il livello base nei punteggi di maturità per le organizzazioni con una leadership attivamente coinvolta.

Information sharing e obblighi di reporting

La Direttiva NIS2 impone obblighi di cooperazione a livello nazionale tra le autorità competenti, i punti di contatto unici (Single Point of Contact – SPOC) e i CSIRT (Computer Security Incident Response Team), note come “entità NIS2”.

Queste entità devono collaborare tra loro e, in alcuni casi, con le autorità di settori specifici, come quelle del settore finanziario sotto DORA. Il report rivela che la cooperazione nazionale è generalmente buona, con gli Stati Membri impegnati a migliorare la maturità della cooperazione tra le entità NIS2.

Tuttavia, in alcuni Stati Membri, la cooperazione tra le autorità NIS2 e quelle di altre normative UE è meno avanzata.

Secondo ENISA, tutti gli Stati Membri hanno stabilito o stanno sviluppando meccanismi di cooperazione tra le entità NIS2, compresa la notifica di incidenti e minacce ai CSIRT o alle autorità competenti. Più di due terzi degli Stati Membri (21) hanno implementato o stanno implementando il flusso di informazioni verso il punto di contatto unico nazionale.

Inoltre, tutti gli Stati Membri hanno implementato o stanno definendo misure per garantire la cooperazione e lo scambio di informazioni tra le autorità competenti NIS2 e quelle per le entità critiche, secondo la Direttiva 2022/2557. Circa due terzi degli Stati Membri hanno adottato misure per assicurare che le autorità NIS2 scambino regolarmente informazioni su incidenti e minacce con le autorità competenti per l’identificazione elettronica e i servizi fiduciari (eIDAS – electronic IDentification Authentication and Signature), per il settore finanziario (DORA), o per i servizi di comunicazione elettronica (EECC – European Electronic Communications Code).

Condivisione delle informazioni sugli incidenti di cybersecurity

Diverse normative dell’UE prevedono disposizioni, e in alcuni casi obblighi, per le entità di segnalare gli incidenti alle autorità competenti. L’attuazione di queste disposizioni richiede processi e strumenti dedicati, nonché una comprensione comune di cosa costituisce un incidente e come deve essere comunicato.

Le principali normative dell’UE che richiedono la segnalazione di incidenti con impatto significativo includono NIS2, il Quadro Europeo per l’Identità Digitale (EUDIF- European Digital Identity Framework) e l’EECC, applicabili rispettivamente a entità essenziali e importanti, fornitori di servizi fiduciari e fornitori di servizi di telecomunicazione. L’attuazione degli obblighi di notifica è generalmente avanzata, sebbene l’implementazione di NIS2 sia ancora in corso e alcuni Stati Membri manchino di strumenti specifici per la segnalazione. Una coerente attuazione delle obbligazioni di segnalazione tra le normative dell’UE e gli Stati Membri sarà cruciale.

Secondo ENISA, l’introduzione delle disposizioni legali per la notifica degli incidenti è quasi completa per i fornitori di servizi di telecomunicazione (24 Stati Membri) e fiduciari (25 Stati Membri), mentre l’implementazione dei requisiti per le entità essenziali e importanti di NIS2 è in corso (15 Stati Membri). L’Articolo 23.11 di NIS2 permette alla Commissione Europea di adottare atti di esecuzione per specificare ulteriormente le procedure di notifica.

La maggior parte degli Stati Membri (23) ha definito una tassonomia nazionale per la classificazione degli incidenti e soglie per la loro valutazione (24 Stati Membri). Inoltre, 22 Stati Membri hanno implementato strumenti dedicati per facilitare i processi di segnalazione.

È doveroso evidenziare che la revisione di NIS1 è stata guidata dalla diversa interpretazione dei requisiti di segnalazione degli incidenti tra gli Stati Membri. Tuttavia, questo problema potrebbe persistere, poiché gli Stati Membri potrebbero applicare diversamente i requisiti di segnalazione delle normative UE, come NIS2, DORA, NCCS e Aviazione, a causa di contesti nazionali e specificità che rendono difficile allinearsi in termini di tempi di notifica e di definizione degli incidenti.

Raccomandazioni

Per garantire un’attuazione armonizzata, completa, tempestiva e coerente del quadro politico di cybersecurity dell’UE in evoluzione, il report illustra una serie di azioni che vedono il coinvolgimento non solo di ENISA ma anche delle strutture esistenti a livello UE, quali il Gruppo di Cooperazione NIS, la Rete CSIRTs e le Agenzie UE. E, precisamente:

1. ENISA e la Commissione Europea dovrebbero mappare i requisiti legali delle politiche di cybersecurity dell’UE, sia orizzontali che settoriali. Il Gruppo di Cooperazione NIS, EU-Cyclone e la Rete CSIRTs dell’UE potrebbero essere utilizzati per migliorare la comprensione della legislazione sulla cybersecurity, come la Direttiva NIS2.
2. La Commissione Europea, con l’assistenza tecnica di ENISA, dovrebbe supportare gli Stati Membri nell’adottare un approccio unificato alle misure di gestione del rischio di cybersecurity per le entità essenziali e importanti. L’articolo 21.5 della NIS2 obbliga la Commissione a stabilire requisiti tecnici e metodologici per determinate entità, e la discussione con tutte le parti interessate è essenziale per un’attuazione efficace.
3. ENISA dovrebbe fornire linee guida non vincolanti per la gestione del rischio, rivolte a settori specifici e PMI, basate su standard e buone pratiche, per affrontare le sfide di implementazione della Direttiva NIS2.
4. Il NIS Cooperation Group, insieme a ENISA e alla Commissione Europea, dovrebbe sviluppare un quadro comune per la segnalazione degli incidenti secondo la Direttiva NIS2, per uniformare le pratiche di segnalazione e facilitare l’analisi post-incidente. Inoltre, si propone di creare piattaforme di condivisione delle informazioni tra Stati Membri e settore privato e di fornire supporto esterno alle autorità nazionali per la supervisione della direttiva NIS2.

Cyber crisis management

Con l’adozione della direttiva NIS2 nel 2022, sono state introdotte nuove disposizioni per la gestione delle crisi informatiche a livello dell’Unione Europea e degli Stati Membri, coinvolgendo organizzazioni essenziali e rilevanti. In particolare, la NIS2:

1. Formalizza la creazione della rete europea EU-CyCLONe (European Cyber Crisis Liaison Organisation Network), che coordina la gestione operativa degli incidenti e delle crisi di cybersecurity su larga scala.
2. Potenzia il ruolo della rete CSIRT, promuovendo una cooperazione operativa rapida ed efficace tra le squadre di risposta agli incidenti informatici designate dagli Stati Membri.
3. Richiede la nomina di autorità nazionali responsabili della gestione di incidenti e crisi informatiche su larga scala e l’adozione di piani di risposta nazionali.
4. Impone agli Stati Membri di garantire che le entità essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate, comprese quelle per la gestionedelle crisi.

Inoltre, il CSOA integra il quadro normativo NIS2 rafforzando ulteriormente la gestione delle crisi informatiche con l’introduzione di un European Cybersecurity Alert System e un Cybersecurity Emergency Mechanism. La Cyber Crisis Management Roadmap, sviluppata sotto la Presidenza Ceca del Consiglio nel 2022, è un altro elemento chiave.

È essenziale che la gestione delle crisi informatiche sia compatibile con i quadri e le strutture di gestione delle crisi esistenti ed emergenti dell’UE. Inoltre, il quadro legislativo deve essere supportato da capacità tecniche congiunte e assistenza reciproca. Di fatto, si lavora per migliorare le capacità tecniche degli Stati Membri nella prevenzione e risposta agli attacchi informatici su larga scala, con ENISA che fornisce servizi di gestione e risposta agli incidenti e valutazione delle capacità.

Consapevolezza situazionale

La consapevolezza situazionale è cruciale per la gestione delle crisi, basandosi sulla capacità di elaborare informazioni da varie fonti, come l’intelligence sulle minacce informatiche (CTI – Cyber-Threat Intelligence), l’intelligence da fonti aperte (OSINT – Open-Source Intelligence), e la segnalazione di incidenti. Tali informazioni sono essenziali per monitorare e analizzare le minacce informatiche, fornendo la consapevolezza necessaria per la gestione delle crisi. Diverse istituzioni e agenzie dell’UE, tra cui la Commissione Europea, ENISA, l’EU INTCEN (EU Intelligence and Situation Centre), il CERT-EU (Cybersecurity Service for the Union Institutions, Bodies, Offices and Agencies) e l’Europol’s EC3 (Europol’s European cybercrime centre), stanno lavorando per sostenere una consapevolezza situazionale affidabile a livello UE.

Gli Stati Membri monitorano il loro spazio cibernetico nazionale e condividono le informazioni rilevanti a livello nazionale e UE. Tuttavia, ci sono differenze nella frequenza del monitoraggio e nelle modalità di allerta. Circa due terzi degli Stati Membri effettuano un monitoraggio continuo, mentre altri lo fanno meno frequentemente. Tutti gli Stati Membri possono comunicare il livello di minaccia alle entità essenziali, sia manualmente sia automaticamente.

Le organizzazioni gestiscono il monitoraggio delle minacce tramite centri operativi di sicurezza (SOC – Security Operations Centre) o acquistando CTI da aziende specializzate. La partecipazione a ISACs è un altro modo per scambiare informazioni. Tuttavia, le capacità di raccolta e scambio di informazioni degli OESs/DSPs risultano non ancora mature, con una grande percentuale che non dispone di un SOC e investimenti limitati in CTI, specialmente tra le PMI.

Secondo il rapporto ENISA NIS Investments 2022, il 37% degli OESs e DSPs non gestisce un SOC, percentuale che sale al 76% per le PMI. Gli investimenti in CTI sono limitati, con una media di 50.000 euro all’anno, ma i grandi operatori, specialmente nel settore bancario, investono di più. Il rapporto ENISA NIS Investments 2023 indica che il 70% degli OES e DSP partecipa a iniziative di collaborazione tramite ISACs, ma tali attività spesso escludono le PMI, con il 56% che non partecipa a iniziative simili.

CSIRT nazionali

I CSIRT nazionali sono essenziali per la sicurezza informatica a livello sia nazionale sia internazionale, fungendo da prima linea nella risposta agli incidenti e fornendo consapevolezza situazionale a pubblico, aziende e decisori. Inoltre, essi sono cruciali per l’infrastruttura informatica dell’UE e cooperano strettamente con le autorità di gestione delle crisi informatiche e con EU-CyCLONe. Ancora, i CSIRT, sebbene ben integrati nelle reti di sicurezza internazionali, potrebbero migliorare la conformità alle pratiche riconosciute a livello internazionale, in particolare quelli fuori dalla rete CSIRT.

Secondo ENISA, esistono n. 675 CSIRT negli Stati Membri, con n. 39 nella rete CSIRT. Il 77% di questi è membro di FIRST, indicando una buona integrazione, mentre il 31% è certificato o in fase di certificazione con Trusted Introducer. Tra quelli non nella rete, solo il 46% è parte di FIRST e il 7% è certificato o in fase di certificazione.

Recentemente, i CSIRT hanno ampliato la loro utenza ai settori essenziali in base alla NIS2 e hanno rafforzato il loro ruolo nelle crisi di cybersecurity, inclusa la gestione delle vulnerabilità secondo quanto previsto dal CRA. Tuttavia, per migliorare l’efficacia, è necessario adottare strumenti scalabili e interoperabili per automatizzare i processi in tutta l’UE.

Esercitazioni cyber a livello Stati Membri

È doveroso evidenziare che la gestione di una crisi informatica inizia ben prima che la crisi si manifesti, grazie a specifiche azioni di preparazione. Un elemento cruciale è l’organizzazione di esercitazioni simulate per testare procedure, cooperazione e fluidità nelle azioni. Gli obiettivi di queste esercitazioni comprendono: testare i processi a livello UE e nazionale, migliorare il coordinamento delle reti, individuare e risolvere le vulnerabilità, aumentare la consapevolezza delle capacità dei partecipanti, e formare la leadership e il personale.

Nel 2023, l’esercitazione Blue Olex ha coinvolto alti dirigenti di n. 27 Stati Membri, la Commissione Europea e ENISA, focalizzandosi sull’interazione con la nuova rete EU-CyCLONe. L’esercitazione EU ELEx ha riunito rappresentanti delle autorità elettorali e di cybersecurity per rafforzare la risposta agli incidenti informatici che potrebbero influenzare le elezioni europee. Inoltre, a giugno 2024, si è svolta la settima edizione di Cyber Europe 2024, durante la quale si sono simulati attacchi al settore energetico e ad altre infrastrutture nell’UE.

Nonostante la forte partecipazione alle esercitazioni a livello dell’UE, la mancanza di esercitazioni strutturate a livello nazionale potrebbe compromettere la capacità dell’UE di gestire le crisi informatiche. Secondo ENISA, sono n. 24 gli Stati Membri che effettuano esercitazioni nazionali o internazionali coinvolgendo sia il settore pubblico sia privato. Tuttavia, solo la metà di questi ha un programma nazionale ben definito e meno della metà integra le lezioni apprese. Pertanto, si ritiene che tale carenza di strutture nazionali potrebbe indebolire le fondamenta della gestione delle crisi a livello europeo.

Raccomandazioni

Il report fornisce alcune azioni per promuovere ulteriormente l’armonizzazione e l’ottimizzazione della cybersecurity nell’UE, oltre a rafforzare le capacità di cybersecurity sia a livello nazionale sia europeo, per migliorare la resilienza informatica su entrambi i livelli. E, precisamente:

1. ENISA e la Commissione Europea dovrebbero mappare i requisiti legali delle politiche di cybersecurity dell’UE, sia orizzontali che settoriali. Strumenti come il NIS Cooperation Group, EU-Cyclone e la rete EU CSIRTs possono facilitare la comprensione della legislazione complessa come la Direttiva NIS2. La Commissione Europea, con ENISA, deve garantire un approccio unificato alla gestione del rischio per enti essenziali e importanti, sviluppando requisiti tecnici e metodologici discussi con tutte le parti interessate per una facile implementazione.
2. ENISA dovrebbe fornire linee guida non vincolanti sulla gestione del rischio, tenendo conto di standard e buone pratiche, per aiutare specifici settori, PMI e start-up con l’implementazione della Direttiva NIS2. Il NIS Cooperation Group, supportato da ENISA e dalla Commissione Europea, dovrebbe creare un quadro comune per la segnalazione degli incidenti sotto la NIS2, allineandosi con altri quadri normativi per ridurre il carico amministrativo e facilitare l’analisi post-incidente.
3. Gli Stati Membri potrebbero sviluppare piattaforme di condivisione delle informazioni con il settore privato per discutere le sfide di implementazione e favorire la collaborazione. Inoltre, potrebbe essere fornito supporto esterno alle autorità nazionali competenti per affrontare le sfide di risorse nella supervisione della Direttiva NIS2.

Cybersecurity skill

Nel contesto in continua evoluzione della cybersecurity – caratterizzato da incertezze geopolitiche – è essenziale promuovere una cultura della sicurezza informatica attraverso una maggiore consapevolezza, mantenendo i talenti nel settore, oltre a potenziare le competenze necessarie per affrontare le sfide presenti e future.

Inoltre, è quanto mai fondamentale porre le persone al centro della trasformazione digitale delle società e dell’economie.

Scenario UE in termini di cybersecurity skill

Il report mette in evidenza i seguenti aspetti:

1. La domanda di personale con competenze ICT e cybersecurity è in rapida crescita, ma c’è una crescente carenza di talenti in questo settore. Circa il 70% delle organizzazioni trova difficoltà nel reclutamento di esperti in cybersecurity. Il 76% dei dipendenti in ruoli di cybersecurity non ha qualifiche formali o formazione certificata, e molti provengono da posizioni non correlate alla cybersecurity o integrano queste responsabilità nel loro ruolo attuale.
2. Quasi la metà degli OES e dei fornitori di servizi digitali (DSP) prevede di assumere personale in cybersecurity nei prossimi due anni, focalizzandosi su operazioni di sicurezza, architettura e ingegneria IT, e governance del rischio. Tuttavia, l’83% di queste organizzazioni segnala difficoltà di reclutamento, soprattutto in architettura e ingegneria della sicurezza IT.
3. La carenza di talenti colpisce anche le PMI, che spesso non hanno un Chief Information Security Officer (CISO) e assegnano il ruolo a personale interno senza le competenze necessarie.
4. Il rapporto ENISA Foresight Cybersecurity Threats 2030 evidenzia che la carenza di competenze è salita dal numero 8 al numero 2 tra le sfide future dal 2023 al 2024.
5. Solo il 18% delle aziende conosce il European Cyber Security Skills Framework, secondo l’Eurobarometer.

Diversità e inclusione: squilibrio di genere nei ruoli cyber in UE

Il report evidenzia che il 70% delle aziende ritiene la diversità e l’inclusione aspetti importanti per la cybersecurity. Sebbene due terzi delle organizzazioni dichiarino di promuovere la partecipazione femminile in questo campo, il 56% non include donne in tali posizioni.

Secondo il rapporto ENISA 2023 NIS Investments, le OES e DSP impiegano in media solo l’11% di donne in ruoli di sicurezza informatica a tempo pieno, ma spesso non hanno affatto personale femminile in questi ruoli.

Nel settore ICT dell’UE, c’è uno squilibrio di genere significativo: l’81% degli specialisti ICT impiegati nel 2022 è di genere maschile, nonostante le donne rappresentino il 51% della popolazione europea.

Implementazione di azioni concrete di cybersecurity rimane una sfida

Le imprese in Europa riconoscono l’importanza della cybersecurity, ma faticano a implementare azioni concrete, specialmente le PMI che sono meno consapevoli rispetto alle grandi aziende. Sebbene il 71% delle aziende consideri la cybersecurity una priorità alta, quasi il 74% non ha offerto formazione o sensibilizzazione sulla cybersecurity ai dipendenti nell’ultimo anno, poiché il 68% ritiene queste attività non necessarie.

Inoltre, solo il 54% delle PMI informa i propri dipendenti sugli obblighi ICT, rispetto al 99% delle grandi aziende. Questo indica che le PMI non danno priorità alla formazione sulla consapevolezza della cybersecurity, spesso a causa di una maturità inferiore, una percezione limitata della sua importanza o vincoli di bilancio.

Ancora, secondo un rapporto di ENISA, il basso livello di consapevolezza sulla cybersecurity è una delle sette principali sfide per le PMI.

Igiene cyber nelle organizzazioni

Il report mette in luce un divario significativo in termini di cyber igiene tra le PMI e le grandi aziende europee. Mentre quasi tutte le grandi imprese adottano misure di sicurezza ICT come autenticazioni robuste, crittografia, backup separati, e VPN, solo circa il 20% delle PMI ha aggiornato la propria politica di sicurezza ICT negli ultimi 12 mesi, un dato invariato dal 2015.

Ciò potrebbe indicare una mancanza di consapevolezza e impegno da parte della gestione delle PMI. Dal report si evince altresì che il 58% delle grandi organizzazioni ha aggiornato le loro politiche, registrando un aumento di quasi 15 punti percentuali dal 2015.

Inoltre, quasi l’80% delle grandi aziende ha documenti su misure e procedure di sicurezza ICT, mentre solo un terzo delle PMI dispone di tali documentazioni, probabilmente a causa di risorse limitate e altri fattori.

Raccomandazioni

Il report raccomanda diverse azioni per colmare il divario di competenze in cybersecurity, suggerendo l’istituzione di un sistema europeo di attestazione delle competenze. Tra le principali iniziative proposte:

1. Analisi del divario di competenze – ENISA e la Commissione Europea dovrebbero eseguire un’analisi approfondita del divario di competenze utilizzando il Quadro delle Competenze in Cybersecurity Europeo. Gli Stati Membri dovrebbero collaborare per sviluppare un sistema di monitoraggio della forza lavoro.
2. Strategie per la forza lavoro – Gli Stati Membri potrebbero integrare strategie per la forza lavoro in cybersecurity nelle loro politiche nazionali, includendo educazione e consapevolezza, e attrarre specialisti, con particolare attenzione alle PMI. Si suggerisce anche di promuovere programmi di mentorship per affrontare lo squilibrio di genere.
3. Formazione per dipendenti pubblici – Data la frequenza degli attacchi informatici, si raccomanda di fornire formazione specifica ai dipendenti pubblici.
4. Iniziative strutturate – ENISA e la Commissione Europea dovrebbero espandere i programmi di formazione a livello europeo e nazionale, promuovendo partenariati pubblico-privati.
5. Certificazione delle competenze – ENISA dovrebbe sviluppare accordi per la certificazione delle competenze e creare profili nel European Cybersecurity Skills Framework.
6. Finanziamenti per studi avanzati – La Commissione Europea dovrebbe considerare l’uso di fondi UE per finanziare master e dottorati su temi urgenti di cybersecurity, mentre il Parlamento Europeo è incoraggiato a finanziare programmi di formazione sulla sovranità digitale.
7. Espansione dei programmi educativi – I programmi educativi finanziati dall’UE dovrebbero includere nuovi argomenti interdisciplinari, come sicurezza e difesa, e nuove tecnologie, basandosi su iniziative esistenti della European Education Area.

Supply chain cybersecurity

Dal report si evince che:

1. Il 66% degli attacchi si concentra sul codice del fornitore, con attori di minacce persistenti avanzate (APT) che sviluppano metodologie sofisticate.
2. Nel 2023, gli attori delle minacce hanno continuato a utilizzare meccanismi di aggiornamento software per distribuire malware.
3. Un numero crescente di attori ha preso di mira fornitori di identità, fornitori IT e fornitori di servizi gestiti.
4. I cyber criminali si concentrano sugli impiegati come punto di ingresso, specialmente quelli con accesso privilegiato, utilizzando tecniche di ingegneria sociale.
5. Il compromesso della catena di fornitura delle dipendenze software è considerato la principale minaccia emergente per il 2030.

Di fatto, la sicurezza della supply chain è identificata come l’area meno sviluppata nella gestione del rischio di cybersecurity e le entità che rientrano nel perimetro della NIS2 stanno affrontando difficoltà significative nella valutazione e mitigazione dei rischi legati alla supply chain. Inoltre, sebbene il 74% degli Stati Membri abbia già inserito misure di sicurezza per la supply chain nella legislazione nazionale, ci si aspetta un incremento grazie alla trasposizione della NIS2 e ai requisiti del regolamento DORA nel settore finanziario.

Nel 2023, il 77% degli OES e dei DPS aveva politiche per la gestione del rischio della supply chain, più comuni nelle grandi imprese (85%) rispetto alle PMI (53%). Tuttavia, poche entità, ad oggi, dispongono di risorse dedicate a questa area. Ad avvalorare ciò il fatto che nel 2022, solo il 47% aveva stanziato un budget per la gestione del rischio di terze parti, e solo il 24% aveva personale dedicato.

È doveroso evidenziare che le politiche di gestione del rischio di terze parti variano tra i settori, essendo meno comuni nelle infrastrutture digitali (55%) rispetto al settore bancario (86%). Tuttavia, la presenza di tali politiche aumenta significativamente, dal 36% all’87%, quando la direzione approva le misure di gestione del rischio cyber.

Nella valutazione dei rischi di terze parti, il 61% degli OES e dei DSP considera la certificazione del fornitore, l’uso di servizi di valutazione del rischio (43%), e la due diligence o valutazione del rischio (37%). Inoltre, nella valutazione viene considerato anche il tipo di prodotto o servizio (59%), il volume di spesa con il fornitore (47%) e se il fornitore è soggetto alla Direttiva NIS (42%).

Certificazione di cybersecurity

Il report sottolinea che la certificazione in ambito cybersecurity è un modo per i fornitori di dimostrare e promuovere la sicurezza delle loro soluzioni e per gli utenti di verificare la sicurezza dei prodotti e servizi acquistati.

A livello internazionale, si registra un incremento degli schemi e delle metodologie di valutazione. Inoltre, il report rivela che, nel 2024, il 44% degli organismi di valutazione relativi ai Common Criteria per i prodotti ICT si trova in Europa, grazie all’accordo SOG-IS sottoscritto da n. 17 Stati Membri. Tale accordo permette il riconoscimento delle valutazioni fino al livello massimo di garanzia per prodotti ICT sensibili, come smart card e moduli di sicurezza hardware.

Inoltre, negli ultimi anni, sono stati sviluppati nuovi schemi per rispondere a specifiche esigenze settoriali e tecnologiche emergenti, come nei settori dei pagamenti, telecomunicazioni e trasporti, con l’aumento dei dispositivi connessi. Ancora, per i prodotti crittografici nell’UE, il SOG-IS Agreed Cryptographic Mechanisms sarà integrato nel nuovo schema EUCC, diventando un punto di riferimento per gli algoritmi crittografici e i test di conformità dei meccanismi di sicurezza a livello europeo.

CRA (Cyber Resilience Act) e NIS2

Il CRA stabilisce requisiti e obblighi per i produttori, mirando a introdurre prodotti più sicuri sul mercato dell’UE. Secondo il report:

1. Il 59% degli OES e dei DPS ritiene che requisiti comuni ridurrebbero i costi di conformità lungo la catena di fornitura.
2. Il 56% crede che tali requisiti abbasserebbero i costi per la mitigazione dei rischi.
3. Il 61% concorda che requisiti comuni diminuirebbero il numero di incidenti di sicurezza, riducendo i costi di gestione e recupero.

La Direttiva NIS2 prevede valutazioni coordinate dei rischi di sicurezza delle supply chain ICT critiche, considerando fattori tecnici e non tecnici in un approccio “all risks”. Tuttavia, nel 2024, potenziare la cybersecurity della supply chain è risultato meno coerente nelle strategie nazionali di cybersecurity degli Stati Membri.

Il rafforzamento delle capacità di sicurezza informatica dell’UE si focalizza sull’importanza critica delle infrastrutture come reti di telecomunicazione e servizi digitali, bersagli primari per attacchi informatici.

A tal proposito nel 2022, è stato lanciato il “Nevers Call”, sottolineando la necessità di migliorare la resilienza delle reti di telecomunicazione e di rafforzare il mercato attraverso la collaborazione pubblico-privata, oltre all’adozione rapida della Direttiva NIS2 e alla creazione di un ecosistema di fornitori di servizi di cybersecurity affidabili.

Inoltre, il Consiglio ha evidenziato già dal 2022 l’importanza di considerare il contesto geopolitico, non solo nelle reazioni alle attività informatiche dannose, ma anche nella costruzione e mantenimento della resilienza delle tecnologie dell’informazione e della comunicazione. Il Consiglio ha invitato il Gruppo di Cooperazione NIS, in collaborazione con la Commissione e l’ENISA, a sviluppare una cassetta degli attrezzi di misure per ridurre i rischi critici della catena di fornitura ICT, ancora in fase di sviluppo e si prevede sarà pronta per l’adozione nei prossimi mesi.

Gestione e divulgazione delle vulnerabilità

L’ENISA Threat Landscape 2023 evidenzia che i gruppi legati agli stati sfruttano sia vecchie vulnerabilità che zero-day. Di fatto, la gestione tempestiva delle vulnerabilità è cruciale, poiché molte vulnerabilità conosciute restano non corrette, rappresentando una minaccia emergente soprattutto nei settori dell’energia e dei trasporti, caratterizzati da numerosi sistemi legacy.

Gli Stati Membri stanno avanzando nella definizione di politiche nazionali di divulgazione coordinata delle vulnerabilità (CVD – Coordinated Vulnerability Disclosure), con il 37% che le ha già implementate e il 55% in fase di definizione. Sebbene queste politiche coprano la maggior parte dei settori NIS2, i nuovi settori inclusi nella direttiva mostrano una minore copertura.

La gestione e divulgazione delle vulnerabilità è obbligatoria per le entità rientranti nella NIS2, con due terzi degli Stati Membri che l’hanno integrata nella legislazione nazionale. Tuttavia, è doveroso evidenziare che anche le entità coperte dalla NIS1 affrontano sfide nella gestione delle vulnerabilità, con pratiche di patching non completamente attuate.

Nel 2022, solo il 48% degli OES e dei DPS aveva un processo di gestione delle vulnerabilità basato sul rischio e il 15% ne era privo. Le sfide variano per settore e, per esempio, risulta che il 38% dei motori di ricerca online non ha un processo di gestione delle vulnerabilità basato sul rischio, rispetto al 4% nel settore bancario. Inoltre, la maggior parte degli OES e dei DSP adotta una politica di patching rigorosa, con il 46% che risolve le vulnerabilità critiche in meno di un mese. Nel settore dei trasporti, il 51% impiega un mese per correggerle, e solo il 28% riesce a farlo in una settimana.

Raccomandazioni

Il rapporto offre delle raccomandazioni volte a garantire una valutazione del rischio coordinata a livello dell’UE e lo sviluppo di un avanzato quadro politico orizzontale dell’UE per la sicurezza della supply chain. E, precisamente:

1. Il Gruppo di Cooperazione NIS, insieme a ENISA e alla Commissione Europea, potrebbe eseguire valutazioni sistematiche dei rischi delle catene di approvvigionamento critiche nell’UE, focalizzandosi sui rischi legati ai fornitori di paesi terzi ad alto rischio. Questo richiede dati accurati e impegno significativo da parte delle autorità nazionali.
2. Gli Stati Membri, con il supporto di ENISA, sono incoraggiati a collaborare con entità e settori coperti dalla Direttiva NIS2 per condividere buone pratiche nella gestione dei rischi della catena di fornitura, con attenzione alle dipendenze software. Le autorità nazionali dovrebbero supervisionare categorie di fornitori come i servizi gestiti.
3. Si consiglia, per la gestione delle vulnerabilità, di monitorare le vulnerabilità critiche a livello sia nazionale sia UE, valutando i tempi per la disponibilità e applicazione delle patch, come parte dei meccanismi di supervisione per le entità che rientrano nel perimetro della NIS2.
4. Diversi Stati Membri hanno o stanno predisponendo politiche nazionali di CVD. Si suggerisce di incentivare la partecipazione dei ricercatori di sicurezza alla CVD attraverso programmi di bug bounty e formazione sulla cybersecurity.
5. Si raccomanda al settore pubblico degli Stati Membri di adottare politiche di gestione e divulgazione delle vulnerabilità e di condividere modelli di gestione con altre entità.

Previsioni a lungo termine

Il panorama della sicurezza informatica sta diventando sempre più complesso con l’emergere di nuove tecnologie come il calcolo quantistico e l’intelligenza artificiale, che introducono nuovi rischi.

Il Gruppo di Cooperazione NIS sta lavorando sulla crittografia post-quantistica per facilitare la cooperazione tra gli Stati Membri; tuttavia, sarà cruciale finanziare la ricerca nelle tecnologie critiche per rafforzare le capacità di cybersecurity dell’UE.

Inoltre, un’indagine dell’ENISA prevede minacce emergenti fino al 2030, evidenziando il ruolo crescente degli attori non statali e il perdurare di rischi come il compromesso della supply chain e le campagne di disinformazione.

Ancora, aumenterà ulteriormente la percezione delle minacce legate a errori umani, a sistemi legacy, e a minacce ibride, in particolare nei contesti elettorali. La carenza di competenze e l’influenza dell’IA sugli attacchi informatici sono destinate a perdurare e a creare preoccupazioni crescenti.

Si ritiene che l’implementazione della Direttiva NIS2 e di altre leggi come il CRA e il CSOA rafforzerà la sicurezza informatica nell’UE. Inoltre, recenti miglioramenti nel quadro politico potranno fungere da base per sviluppare ulteriormente queste capacità, migliorando la resilienza e la cooperazione tra gli Stati Membri. Il ruolo di ENISA, in questo contesto, sarà di sostenere l’UE con competenze tecniche e valutazioni per revisioni politiche.

Inoltre, il fatto che le autorità nazionali e le EUIBA (EU Institutions, Bodies and Agencies of the Union) affrontano sfide nell’implementazione dei nuovi ruoli e nella gestione delle minacce in evoluzione, spesso senza risorse aggiuntive, creerà ulteriori lacune di competenze. Ancora, la natura transfrontaliera degli incidenti richiede una rivalutazione alla luce delle nuove tecnologie e del contesto geopolitico.

Pertanto, a fronte di quanto sopra, è essenziale sviluppare una consapevolezza situazionale comune e una cooperazione operativa, testando il quadro esistente per individuare lacune e migliorare la cooperazione internazionale. ENISA, con la sua credibilità tecnica, può svolgere un ruolo chiave in questi sforzi.

Indubbiamente, l’attuazione completa del quadro politico e legale dell’UE richiederà tempo e risorse, e sarà compito degli stakeholder ottimizzarne l’implementazione.