A giugno 2025 il Consiglio dell’UE ha adottato una versione rivista del nuovo Cyber Blueprint per rafforzare, la risposta agli incidenti e alle crisi su vasta scala nell’UE.

L’evoluzione del panorama delle minacce alla sicurezza informatica, influenzata dalla geopolitica, ha accelerato la necessità di una gestione più efficace delle crisi informatiche. Ciò ha indotto ENISA a rivedere il piano per la gestione delle crisi informatiche e fornire una linea guida aggiornata che consente agli Stati membri di migliorare la loro preparazione, le capacità di rilevamento e la risposta agli incidenti di sicurezza informatica, tenendo conto di importanti normative adottate di recente, quali la direttiva NIS2 e il Cyber Solidarity Act.

Si tratta, oggi più che mai, di essere pronti ad affrontare un panorama di minacce informatiche sempre più complesso rafforzando le reti UE esistenti, oltre a promuovere la cooperazione tra gli Stati membri e gli attori coinvolti. Inoltre, sebbene ogni Stato membro abbia sviluppato le proprie capacità per rilevare e per rispondere agli incidenti informatici, l’esperienza maturata sia con le esercitazioni sia con gli eventi reali, ha dimostrato che i sistemi nazionali spesso faticano a interoperare in situazioni di forte pressione dato che i criteri di escalation variano, la terminologia è incoerente e il flusso di informazioni può essere ritardato o incompleto.

Il nuovo ENISA Cyber Blueprint affronta questo problema introducendo un‘architettura operativa armonizzata, costruita attorno a cinque fasi di crisi chiaramente definite: rilevamento, analisi, escalation, risposta e ripristino. Ogni fase è supportata da una metodologia condivisa per la comunicazione, il processo decisionale e l’assegnazione dei ruoli, fornendo sia un flusso logico delle operazioni sia una base comune per la collaborazione durante eventi complessi con l’obiettivo di rafforzare la struttura operativa della risposta europea alle crisi informatiche.

Comprendere il ciclo di vita della crisi

Di seguito una descrizione delle varie fasi descritte nel documento ENISA. E, precisamente:

FASE 1 – Rilevamento – Prevede l’identificazione di attività insolite o potenzialmente dannose, in genere all’interno dei sistemi IT di un operatore di servizi essenziali (OES– Operator of Essential Services), di un’autorità pubblica o di un fornitore di servizi digitali.Il rilevamento può derivare da strumenti di sicurezza interna, avvisi pubblici, notifiche ai partner o servizi di threat intelligence. In questa fase, l’attenzione si concentra sulla consapevolezza e sulla notifica tempestive, soprattutto se sono possibili impatti transfrontalieri.

FASE 2 – Analisi –Si tratta, dopo il rilevamento una minaccia, di valutarne l’origine, la portata, la gravità e il potenziale di diffusione. La rete di CSIRT (Cyber Security Incident Response Team) svolge un ruolo di primo piano nel coordinamento dell’analisi tecnica tra i team nazionali; mentre l’ENISA facilita la condivisione di strumenti o ospita piattaforme collaborative. Il risultato di questa fase è una comprensione più chiara della natura dell’incidente e una base per le decisioni di escalation.

FASE 3- Escalation – Si attivano meccanismi di coordinamento strutturati. Il documento descrive una scala di gravità a cinque livelli:

• Livello 0 – Normale: nessun incidente e monitoraggio standard.
• Livello 1 – Basso: incidente localizzato minore e nessun effetto transfrontaliero.
• Livello 2 – Moderato: impatto transfrontaliero o intersettoriale limitato e avvio di condivisione delle informazioni.
• Livello 3 – Alto: incidente grave che interessa più Stati membri o funzioni critiche, con attivazione del coordinamento operativo tramite EU-CyCLONe (European Cyber Crisis Liaison Organisation Network).
• Livello 4 – Crisi: evento sistemico con conseguenze a livello di Unione e coordinamento strategico tramite il meccanismo IPCR (Integrated Political Crisis Response).

È doveroso evidenziare che, una volta raggiunto il Livello 3 o 4, il coordinamento operativo si intensifica e il livello politico viene attivamente coinvolto.

FASE 4 -Risposta – Il contenimento tecnico continua attraverso la rete di CSIRT, mentre EU-CyCLONe gestisce il quadro operativo in tutti gli Stati membri. L’obiettivo è prevenire ulteriori danni, ripristinare la continuità del servizio e garantire un processo decisionale accurato e tempestivo in tutti i settori interessati.

FASE 5 – Ripristino – Si tratta di: garantire il ripristino dei sistemi interessati; effettuare l’analisi delle cause profonde; fare tesoro delle lezioni apprese. L’ENISA guida il processo di revisione post-incidente, i cui risultati confluiscono nell’allegato mobile del “Best Practices For Cyber Crisis Management”

EU-CyCLONe: coordinamento operativo nell’ambito di NIS2

La rete EU-CyCLONe svolge un ruolo chiave nel modello di coordinamento descritto nel documento di ENISA. Di fatto, mentre la rete di CSIRT gestisce la risposta tecnica, la rete EU-CyCLONe è responsabile del coordinamento operativo tra le autorità nazionali durante incidenti e crisi informatiche su larga scala.

Inoltre, il ruolo del CyCLONe è stato formalizzato giuridicamente dalla Direttiva NIS2 (articolo 16), che ha riconosciuto la necessità di una struttura dedicata per gestire l’interfaccia tra il contenimento tecnico e il coordinamento a livello politico. Di fatto, ogni Stato membro designa almeno un’autorità competente per partecipare alla rete, in genere collegata alle strutture nazionali di gestione delle crisi.

Ancora, il EU-CyCLONe svolge le seguenti attività strategiche di ponte operativo tra i professionisti della sicurezza informatica e i responsabili politici:

• Segnalazione della situazione alle unità di crisi nazionali e al Consiglio.
• Valutazione dei potenziali effetti a cascata tra settori o confini.
• Armonizzazione delle tempistiche di risposta e delle strategie di comunicazione.
• Preparazione del quadro operativo comune per l’utilizzo da parte dell’IPCR.

Il CyCLONe opera sia sugli indicatori tecnici (come gli IoC – Indicator of Compromise) sia sull’aggregazione e interpretazione dell’impatto degli incidenti in termini di: interruzione operativa, interdipendenze settoriali e conseguenze strategiche in modo da consentire ai decisori politici di valutare le implicazioni più ampie di un incidente sui servizi pubblici, sulle infrastrutture critiche e sulla coesione dell’UE.

Inoltre, il CyCLONe viene formalmente attivato quando un incidente raggiunge il livello di gravità 3 (Alto) o superiore.

L’allegato “continuativo” del Cyber Blueprint

Il Cyber Blueprint dell’UE prevede un allegato continuativo, gestito dall’ENISA, che raccoglie le lezioni apprese, i protocolli aggiornati e le migliori pratiche emergenti, a fronte de: lo svolgimento di nuove esercitazioni; l’emergere di nuove tipologie di incidenti; e l’evoluzione degli strumenti tecnici. Ovvero, l’allegato funge sia da riferimento pratico sia da documento/blueprint aggiornato dato che contiene:

• Osservazioni dagli esercizi Cyber Blueprint (CBX).
• Risultati delle revisioni post-incidente.
• Aggiornamenti ai protocolli di comunicazione sicuri o alle procedure di coordinamento.
• Revisioni ai trigger di escalation, alla tassonomia e ai modelli di reporting.

Perché le infrastrutture critiche sono centrali nel progetto

L’enfasi del documento sul coordinamento è particolarmente importante nel contesto delle infrastrutture critiche, considerando che – a fronte delle minacce informatiche che colpiscono sempre più i vari ecosistemi – aumenta di conseguenza il rischio di propagazione intersettoriale e transfrontaliera.

Inoltre, il Cyber Blueprint di ENISA richiama gli obblighi stabiliti dalla Direttiva NIS2 per gli operatori di servizi essenziali ed affronta anche la criticità legata alle diverse definizioni di infrastrutture critiche adottate dai singoli Stati membri, che ostacolano sia l’escalation coordinata sia la definizione delle priorità nell’allocazione delle risorse. Questo limite viene superato grazie all’adozione di livelli di gravità basati sull’impatto, che permettono una risposta congiunta fondata sugli effetti reali — anziché su distinzioni formali — e una gestione degli incidenti calibrata, non solo in base al rischio settoriale, ma anche ai requisiti di coordinamento a livello UE. Inoltre, una comunicazione tempestiva, la condivisione delle valutazioni d’impatto strutturate e la partecipazione a esercitazioni congiunte costituiscono un effettiva un’aspettativa operativa, non un miglioramento facoltativo.

Implicazioni strategiche e azioni richieste

Il documento di ENISA comporta – da parte delle autorità nazionali, delle istituzioni dell’UE e degli operatori del settore privato -chiare implicazioni operative, quali:

• Aggiornare i protocolli nazionali di crisi per adattarli al quadro di escalation condiviso dell’UE.
• Garantire la partecipazione al CBX (Cyber Blueprint Exercises) e alle revisioni post-incidente.
• Verificare la capacità di comunicazione sicura e l’interoperabilità con gli strumenti messi a disposizione dall’ENISA.
• Allineare la classificazione interna dei rischi alla tassonomia condivisa del documento e alla scala di gravità.
• Designare un coordinatore nazionale, responsabile del collegamento tra le reti.

Inoltre, è doveroso evidenziare tali attività, per il settore privato – in particolare per gli operatori di servizi essenziali, la prontezza nel coordinamento delle crisi – sono parte integrante della conformità normativa e della resilienza strategica.

Conclusione

Il nuovo Cyber Blueprint di Enisa per la sicurezza informatica sottolinea l’importanza di allineamento della risposta europea alle crisi informatiche, oltre a fornire chiarimenti operativi e una cooperazione strutturata.

Inoltre, il framework contenuto nel documento di ENISA si basa sull’esperienza del mondo reale e sulle raccomandazioni scaturite dall’esperienza di ENISA ed offre un ambito sul quale gli Stati membri e i settori critici possono costruire fiducia reciproca e capacità condivise.

Cybsec-news.it vi invita alla terza edizione della CYBSEC-EXPO, in programma a Piacenza dal 9 all’11 Giugno 2026.