Il nuovo rapporto di ENISA intitolato “NIS Investments Report 2023” conferma una crescita degli investimenti nella sicurezza informatica, nonostante un aumento del 25% del costo degli incidenti informatici principali nel 2022 rispetto all’anno precedente. Il budget IT dedicato alla sicurezza informatica da parte degli operatori dell’Unione europea nell’ambito della direttiva NIS ha registrato un leggero aumento dello 0,4%.

Nonostante l’incremento negli investimenti, il rapporto sottolinea alcune sfide significative nel settore. Mentre le organizzazioni sono più propense a destinare maggiori risorse finanziarie alla sicurezza informatica, il 47% di esse non prevede di assumere equivalenti a tempo pieno per la sicurezza informatica nei prossimi due anni. Inoltre, l’83% di queste organizzazioni riporta difficoltà di reclutamento in almeno un ambito della sicurezza informatica, evidenziando una carenza di competenze. Tali problemi di assunzione potrebbero essere uno dei fattori quando si tratta di gestire le vulnerabilità.

Il rapporto delinea, infatti, anche una situazione critica riguardante la gestione delle vulnerabilità. Analizzando il settore dei trasporti, il 51% delle organizzazioni necessita un mese per patchare le vulnerabilità critiche, mentre il 21% impiega tra 1 e 6 mesi. Solo il 28% risolve le vulnerabilità critiche delle risorse critiche entro una settimana.

Il focus del rapporto va oltre gli aspetti finanziari, esaminando l’elemento umano e mettendo in evidenza l’importanza delle competenze di cybersecurity. Il 2023 è designato come l’Anno europeo delle competenze, e il rapporto dedica particolare attenzione alle competenze di sicurezza informatica tra operatori di servizi essenziali (OES) e fornitori di servizi digitali (DSP). Sottolinea anche le sfide legate all’assunzione di personale.

Risultati chiave

  • La parte del budget IT OES/DSP dedicata alla cybersecurity ha raggiunto il 7,1% nel 2022, con un incremento dello 0,4% rispetto al 2021;
  • Il 42% degli OES/DSP ha sottoscritto una soluzione di assicurazione cyber nel 2022, con un aumento del 30% rispetto al 2021. Ancora solo il 13% delle PMI sottoscrive un’assicurazione cyber;
  • Gli OES/DSP assegnano l’11,9% dei loro FTE IT alla sicurezza delle informazioni (IS), con una diminuzione dello 0,1%
  • Gli OES/DSP impiegano in media l’11% delle donne tra gli IS FTE. Con una media pari allo 0%, la maggior parte delle organizzazioni intervistate non impiega donne come parte dei propri FTE IS;
  • Il 47% degli OES o DSP non prevede di assumere IS FTE nei prossimi due anni;
  • Le organizzazioni che intendono assumere FTE per la sicurezza delle informazioni nei prossimi due anni mirano ad assumere 2 FTE, con una media di 4 FTE, ma l’83% delle organizzazioni intervistate dichiara difficoltà di reclutamento in almeno un ambito della sicurezza delle informazioni.
  • La Direttiva NIS è il principale motore degli investimenti in cybersecurity per il 55% degli OES nel settore dei trasporti;
  • Il 51% delle organizzazioni di trasporto gestisce la sicurezza OT con le stesse unità o persone della IT cybersecurity.

Il rapporto conclude evidenziando l’importanza della gestione delle vulnerabilità, sottolineando che il miglioramento dell’interoperabilità, dell’automazione e dei processi semplificati per lo scambio di informazioni può contribuire notevolmente a garantire la divulgazione tempestiva delle vulnerabilità. Introduce anche la direttiva NIS2, che prevede la creazione di un database delle vulnerabilità dell’UE per gestire e mantenere informazioni sulle vulnerabilità pubblicamente note nei prodotti e servizi ICT.

Il contesto del rapporto è inserito nel quadro della direttiva NIS, che mira a garantire un elevato livello di sicurezza informatica in tutti gli Stati membri. La NIS2, entrata in vigore nel gennaio 2023, estende il campo di applicazione a nuovi settori economici. Uno dei pilastri fondamentali della Direttiva NIS è l’implementazione della gestione del rischio e degli obblighi di reporting per Operatori di Servizi Essenziali (OES) e Fornitori di Servizi Digitali (DSP). Gli OES forniscono servizi cruciali in settori strategici come energia, trasporti, bancario, sanità e infrastrutture digitali. I DSP operano online, compresi mercati online, motori di ricerca e servizi di cloud computing. Il rapporto esamina gli investimenti e il rispetto degli obiettivi della direttiva NIS, offrendo una panoramica su aspetti chiave come il personale di sicurezza IT, l’assicurazione informatica e l’organizzazione della sicurezza delle informazioni in questi settori.

Il rapporto indaga in che modo gli operatori investono nella sicurezza informatica e rispettano gli obiettivi della direttiva NIS. Fornisce inoltre una panoramica della situazione in relazione ad aspetti quali il personale di sicurezza IT, l’assicurazione cyber e l’organizzazione della sicurezza delle informazioni in OES e DSP.

NIS Investments – ENISA report 2023

 

 

https://www.enisa.europa.eu/news/cybersecurity-investment-spotlight-on-vulnerability-management

Twitter
Visit Us
LinkedIn
Share
YOUTUBE