La Direttiva NIS2 ha introdotto una regolamentazione più rigorosa sulla cybersecurity per diversi settori critici. Per valutare la maturità e la criticità di questi settori, l’ENISA ha sviluppato la metodologia (NIS360) su cui viene basata un’analisi su scala europea che esce ogni anno. Il rapporto 2024 della NIS360 copre tutti i settori altamente critici definiti dalla NIS2, offrendo una visione trasversale e approfondita della loro maturità e delle sfide che si trovano ad affrontare.
Settori critici e principali risultati sulla maturità della cybersecurity
L’analisi ha individuato 22 settori critici, tra cui energia (elettricità, gas, idrogeno), trasporti (aviazione, ferroviario, marittimo, stradale), finanza, sanità, infrastrutture digitali e amministrazioni pubbliche. L’immagine successiva riassume la metodologia utilizzata.
Fonte: ENISA NIS360 2024 Report
Tra questi, tre settori, elettricità, telecomunicazioni e banking, emergono sia per l’elevata maturità sul fronte del cyber risk management sia per la criticità dei servizi offerti per le economie dei Paesi europei. Grazie a regolamentazioni severe, investimenti globali e partnership pubblico-private, questi settori hanno sviluppato una forte resilienza, che è oggi essenziale per la stabilità socio-economica.
Fonte: ENISA NIS360 2024 Report
A livello intermedio della scala (“Moderate”) si posizionano le Infrastrutture digitali come servizi Internet, data center e cloud che registrano un buon livello di maturità cyber, ma devono affrontare sfide legate alla loro eterogeneità e alla crescente inclusione di entità precedentemente non regolamentate.
Settori critici e loro dipendenza dalle tecnologie digitali
I settori più critici per l’economia e la società, come mostra il grafico precedente, sono quelli delle telecomunicazioni, dell’elettricità, dell’internet core e dei cloud & data center. Tutti questi settori dipendono fortemente dalle tecnologie digitali, che rappresentano il loro ambito operativo principale. Allo stesso modo, il settore dell’elettricità è altamente dipendente dalle tecnologie ICT per il proprio funzionamento, in particolare per quanto riguarda gli attori dei sistemi di distribuzione (DSO).
Gli incidenti in questi settori hanno impatti immediati e significativi. Un’interruzione nelle telecomunicazioni può bloccare i servizi di emergenza e compromettere a catena il funzionamento di altri ambiti critici, come i pagamenti digitali e le attività commerciali online. Disservizi nei domini nazionali (TLD), nei provider DNS, negli Internet Exchange Point (IXP) o nelle Content Delivery Network (CDN) possono rallentare il traffico internet, con ripercussioni sulle imprese e sui servizi digitali. Un attacco informatico a un fornitore di servizi cloud potrebbe causare interruzioni diffuse nelle attività aziendali e perdite economiche.
Allo stesso modo, un’interruzione nella fornitura di energia elettrica può compromettere i pagamenti elettronici, bloccare vendite e servizi, impattare sulle reti di telecomunicazione, amplificando ulteriormente il danno economico. Questi settori hanno un’elevata criticità temporale, poiché le conseguenze di un incidente si manifestano quasi immediatamente, con effetti gravi su tutti i settori che dipendono dall’infrastruttura digitale e dall’energia elettrica.
Nello studio NIS360, la criticità dei settori è valutata in base a diversi fattori chiave: il loro impatto socio-economico, il potenziale di causare interruzioni in altri settori, la dipendenza dalle tecnologie ICT e la criticità temporale, ovvero il tempo necessario affinché l’impatto di un incidente si manifesti nella società o nell’economia, influenzando anche altri settori.
Fonte: ENISA NIS360 2024 Report
In generale, i settori con un’elevata rilevanza socioeconomica, maggiore interconnessione e una forte dipendenza dalle tecnologie ICT (come l’elettricità, le telecomunicazioni e la finanza) subiscono conseguenze più gravi in caso di incidenti informatici e richiedono risposte rapide per evitare impatti diffusi. Al contrario, settori come la fornitura di acqua potabile, il teleriscaldamento, il settore petrolifero, il settore dell’idrogeno, il trasporto stradale e il trattamento delle acque reflue, pur essendo importanti, tendono a essere meno critici nell’immediato a seguito di un attacco informatico. Questi settori, avendo una minore dipendenza dalle infrastrutture digitali e disponendo di misure di emergenza, tendono a riprendersi più lentamente, ma senza causare interruzioni prolungate o effetti significativi su altri settori.
Settori con alta criticità e bassa maturità cyber
Considerando solo i settori che hanno elevata criticità e bassa maturità sul fronte della cybersecurity, emergono gli ambiti che si posizionano in una “zona di rischio” e necessitano quindi di particolare attenzione: questi sono ICT service management, Spazio, Pubblica amministrazione, settore marittimo, della sanità e del gas (come evidenziato nella figura successiva). Questi settori sono oggi chiamati, anche dalla direttiva NIS2, a colmare il gap di maturità e rafforzare la propria capacità di risposta alle minacce cyber.
Fonte: ENISA NIS360 2024 Report
Hanno caratteristiche peculiari per cui il loro percorso di adeguamento sarà diverso da caso a caso:
- Il settore ICT service management presenta sfide legate alla sua natura transfrontaliera e alla diversità delle entità coinvolte. È fondamentale ridurre gli oneri burocratici per le aziende soggette sia alla NIS2 che alla DORA, e promuovere una supervisione armonizzata a livello europeo.
- Il settore spaziale soffre di una conoscenza limitata della cybersecurity e di una forte dipendenza da componenti commerciali. Serve maggiore consapevolezza, test di sicurezza pre-integrazione e collaborazione con altri settori, come le telecomunicazioni.
- Le amministrazioni pubbliche, oggi incluse nella NIS2, sono ancora poco mature in ambito cybersecurity. Essendo bersagli di hacktivism e di operazioni state-sponsored, devono migliorare le proprie capacità sfruttando iniziative come l’EU Cyber Solidarity Act e modelli di servizi condivisi.
- Il settore marittimo affronta sfide nell’ambito OT e potrebbe beneficiare di linee guida mirate per la gestione del rischio e di esercitazioni di cybersecurity a livello UE.
- Il settore sanitario, con un perimetro ampliato dalla NIS2, è molto eterogeneo: grandi strutture sanitarie tendono ad avere un buon livello di cybersecurity, mentre le più piccole spesso faticano con aspetti basici della sicurezza informatica. Tra le criticità figurano catene di approvvigionamento complesse, sistemi legacy e dispositivi medici poco sicuri. Sarebbe cruciale per questo settore sviluppare linee guida che aiutino nell’acquisto di prodotti e servizi sicuri, nel rafforzare la consapevolezza del personale e migliorare la gestione del rischio cyber.
- Infine, il settore del gas deve continuare a sviluppare capacità di risposta agli incidenti attraverso piani testati a livello nazionale ed europeo, collaborando strettamente con i settori dell’elettricità e della manifattura.
Verso una maggiore resilienza cyber
Tutti i settori analizzati dall’analisi NIS360 di Enisa sono chiamati a superare delle sfide per migliorare la propria maturità e conformarsi ai requisiti della NIS2. Per supportarli efficacemente, sarà necessaria una collaborazione più forte tra settori, accompagnata da linee guida specifiche per la gestione del rischio.
Settori con livelli di maturità più elevati tendono a beneficiare di una regolamentazione pregressa, di attività consolidate di supervisione attiva e di una profonda conoscenza del panorama delle minacce. Inoltre, la condivisione delle informazioni tra enti pubblici e privati, le esercitazioni transfrontaliere e i programmi di formazione possono contribuire a una risposta più rapida e coordinata agli incidenti cyber. La sicurezza informatica è ormai un pilastro fondamentale per garantire la stabilità economica e sociale dell’Unione Europea. L’adozione di misure concrete e la cooperazione tra tutti gli attori coinvolti saranno determinanti per rafforzare la resilienza digitale del continente.
Accedi qui al ENISA NIS360 2024 Report.
