L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha rilasciato il suo primo rapporto NIS360, un’analisi approfondita che misura il livello di maturità e la criticità dei settori regolati dalla direttiva NIS2, evidenziando le aree di miglioramento e monitorando i progressi nei diversi ambiti coinvolti.
Il NIS360 rappresenta un nuovo strumento di valutazione sviluppato da ENISA, che combina un’analisi comparativa con uno studio dettagliato sui settori interessati dalla NIS2. L’obiettivo è assistere le autorità nazionali e le agenzie per la sicurezza informatica degli Stati membri nell’implementazione della NIS2, aiutandole a comprendere il quadro generale, a definire le priorità, a evidenziare le aree di miglioramento e a facilitare il monitoraggio dei progressi nei vari settori. Inoltre, il NIS360 mira a supportare i decisori politici a livello nazionale e dell’UE nello sviluppo di politiche, strategie e iniziative per rafforzare la resilienza informatica.
Il report identifica tre priorità principali:
- Rafforzare la collaborazione: promuovere la cooperazione all’interno e tra i settori attraverso eventi di costruzione della comunità e la collaborazione a livello settoriale, nazionale e dell’UE.
- Sviluppare linee guida specifiche per settore: durante il periodo di recepimento della NIS2, è prioritario elaborare linee guida su come implementare i requisiti chiave della NIS2 in ciascun settore. Il rapporto nota che le autorità settoriali nazionali stanno intensificando l’implementazione della NIS2; sebbene gli investimenti stiano aumentando in tutti i settori, è necessaria una ulteriore formazione.
- Allineamento e collaborazione transfrontaliera: è fondamentale sia allineare i requisiti tra i vari paesi in ciascun settore NIS, sia promuovere la collaborazione transfrontaliera.
Principali risultati in sintesi
- Elettricità, telecomunicazioni e banche sono i tre settori più critici e maturi, grazie a una significativa supervisione normativa, finanziamenti, attenzione politica e solide partnership pubblico-private.
- Le infrastrutture digitali, che includono servizi critici come scambi Internet, domini di primo livello, data center e servizi cloud, mostrano una maturità leggermente inferiore. Questo settore è eterogeneo in termini di maturità delle entità e ha una forte natura transfrontaliera che complica la supervisione, la condivisione delle informazioni e la collaborazione.
- Sei settori NIS rientrano nella zona di rischio NIS360, il che suggerisce che presentano margine di miglioramento nella loro maturità rispetto alla loro criticità.
- Gestione dei servizi ICT: il settore affronta sfide chiave dovute alla sua natura transfrontaliera e alle diverse entità. Il rafforzamento della sua resilienza richiede una stretta cooperazione tra le autorità, una riduzione degli oneri normativi per le entità soggette sia a NIS2 che ad altre normative e una collaborazione nella supervisione transfrontaliera.
- Spazio: la limitata conoscenza della sicurezza informatica e la forte dipendenza da componenti commerciali presentano sfide per il settore. Sono necessarie una maggiore consapevolezza della sicurezza informatica, linee guida chiare per i test dei componenti e una collaborazione più forte con altri settori.
- Pubbliche amministrazioni: la diversità del settore rende difficile raggiungere un livello comune di maturità elevato. Senza il supporto e l’esperienza presenti in settori più maturi, è un obiettivo primario per l’hacktivismo e le operazioni statali. Dovrebbe puntare a rafforzare le capacità di sicurezza informatica sfruttando l’EU Cyber Solidarity Act ed esplorando modelli di servizi condivisi.
- Marittimo: il settore continua ad affrontare sfide legate alla tecnologia operativa (OT) e potrebbe beneficiare di una guida personalizzata alla gestione dei rischi per la sicurezza informatica, focalizzata sulla riduzione dei rischi specifici del settore, nonché di esercitazioni sulla sicurezza informatica a livello dell’UE per migliorare il coordinamento e la preparazione nella gestione delle crisi sia settoriali che multimodali.
- Salute: il settore sanitario con una copertura estesa sotto NIS2, il settore sanitario continua ad affrontare sfide come la dipendenza da catene di fornitura complesse, sistemi legacy e dispositivi medici scarsamente protetti. Il rafforzamento della sua resilienza richiede lo sviluppo di linee guida pratiche per gli acquisti per aiutare le organizzazioni ad acquisire servizi e prodotti sicuri, una guida personalizzata per aiutare a superare problemi comuni e campagne di sensibilizzazione del personale.
- Gas: il settore deve continuare a lavorare per sviluppare le proprie capacità di prontezza e risposta agli incidenti, attraverso lo sviluppo e la sperimentazione di piani di risposta agli incidenti a livello nazionale e dell’UE, ma anche attraverso una maggiore collaborazione con i settori dell’elettricità e della produzione.
Il report si basa sui dati raccolti dalle autorità nazionali con un mandato orizzontale o settoriale, sull’autovalutazione delle aziende operanti nei settori NIS2 e su fonti europee come Eurostat. L’analisi di ENISA NIS360 mette in luce punti di forza, sfide e lacune settoriali, offrendo raccomandazioni mirate per migliorare la resilienza e il livello di maturità della sicurezza informatica in tutta l’Unione.
Scarica e leggi ENISA NIS360 2024 | ENISA
https://www.enisa.europa.eu/news/enisa-nis360-2024-report
![Cyber-800×530-1[2]](https://www.cybertrends.it/wp-content/uploads/2024/02/Cyber-800x530-12-150x150.jpg "CYBERSECURITY SUMMIT 2024 - Presentazione CYBER RISK MANAGEMENT 2024 - Comunicato Stampa")
