ENISA, ad inizio marzo 2025, ha pubblicato il report NIS360 che riporta lo stato dell’arte degli ecosistemi essenziali e critici rispetto al recepimento della Direttiva NIS2, evidenziando le lacune e definendo le priorità.

Introduzione

Il report NIS360 di ENISA mette in luce i punti di forza e le sfide affrontate da ciascun settore valutato. Inoltre, individua discrepanze nelle percezioni della maturità e offre una visione chiara dell’impatto delle politiche di cybersecurity sulla maturità e sulla resilienza settoriale nell’intera UE.

L’obiettivo del NIS360 è supportare le autorità nazionali e le agenzie per la cybersecurity negli Stati membri incaricati dell’implementazione del NIS2. Tale aiuto si concretizza nel comprendere il quadro generale, stabilire le priorità, evidenziare le aree di miglioramento e facilitare il monitoraggio dei progressi dei settori.

Inoltre, il report NIS360 mira a supportare i decisori politici a livello nazionale ed europeo, a fornire un contributo sullo sviluppo di politiche e strategie e sulle iniziative per rafforzare la cyber resilience.

Rapporto ENISA “NIS360 2024 Report: A Comprehensive Look at Cybersecurity Maturity and Criticality of NIS2 Sectors”.

Il rapporto stabilisce tre priorità principali, ovvero:

1. Raccomanda che la collaborazione, all’interno e tra i settori, sia rafforzata attraverso eventi di community building e cooperazione a livello settoriale, nazionale e UE.
2. Evidenzia quanto sia prioritario – in questo periodo di recepimento della NIS2 – sviluppare linee guida su come implementare i requisiti chiave della NIS2 in ciascun settore. Inoltre, il rapporto rileva che le autorità settoriali nazionali stanno intensificando l’implementazione del NIS2. Ancora, mentre gli investimenti stanno aumentando nei vari settori, è necessario un ulteriore aggiornamento delle competenze.
3. Sottolinea la necessità sia di armonizzazione dei requisiti transfrontalieri in ciascun settore NIS sia di collaborazione transfrontaliera.

Evidenze principali per settore

Di seguito i principali risultati per settore:

Settore Elettricità, telecomunicazioni e banche – Sono i tre settori più critici e maturi che si distinguono dagli altri. Essi hanno beneficiato di una significativa supervisione normativa, finanziamenti e investimenti, attenzione politica e, in generale, di una solida partnership pubblico-privata.

Infrastrutture digitali – Il settore include servizi critici come scambi Internet, domini di primo livello, data center e servizi cloud, e risulta un gradino sotto in termini di maturità rispetto a quello precedente.

È doveroso evidenziare che Il settore è molto eterogeneo in termini di maturità delle entità e ha una forte natura transfrontaliera che complica la supervisione, la condivisione delle informazioni e la collaborazione. Inoltre, l’inclusione di entità precedentemente non regolamentate nell’ambito presenta una doppia sfida: i requisiti sono completamente nuovi per queste aziende e le autorità nazionali spesso non hanno familiarità con il mercato che ora sono tenute a supervisionare.

Sei settori in zona rischio: lacune in termini di maturità della cybersecurity – Il rapporto NIS360 ha rilevato che sei settori NIS rientrano nella zona di rischio NIS360, il che suggerisce che vi è spazio per miglioramenti nella loro maturità rispetto alla loro criticità. Si tratta dei settori della gestione dei servizi ICT, dello Spazio, delle Pubbliche Amministrazioni, Marittimo, Sanitario e del Gas.

• Gestione dei servizi ICT – Il settore deve affrontare sfide chiave a causa della sua natura transfrontaliera e delle diverse entità. Alcune delle sfide affrontate da questo settore includono la mancanza di processi standardizzati, coerenza e risorse per tenere il passo con la crescente complessità del supporto alle operazioni digitali in altri settori. Ciò è aggravato da: la mancanza di familiarità con il settore da parte delle autorità responsabili della sua supervisione; la presenza di attori transfrontalieri all’interno del mercato; la debole collaborazione tra loro con implicazioni sia per le entità stesse sia per altre che fanno affidamento su di esse.

Il rafforzamento della resilienza del settorerichiede una stretta cooperazione tra le autorità, oneri normativi ridotti per le entità soggette sia a NIS2 sia ad altre normative e una supervisione transfrontaliera armonizzata.

• Spazio – Il settore spaziale – nonostante il suo ruolo nel consentire la connettività globale e facilitare la trasmissione dei dati, l’accesso a Internet, la trasmissione televisiva, la navigazione e la comunicazione in tempo reale – rientra appena nella fascia di maturità “moderata” e si colloca tra le più basse rispetto ad altri settori in termini di maturità.

La limitata conoscenza della cybersecurity da parte degli stakeholder e la sua dipendenza da componenti commerciali già pronti presentano sfide per il settore. Per migliorare la sua resilienza sono necessarie una migliore consapevolezza in termini di cybersecurity, linee guida chiare per i test di pre-integrazione dei componenti e una più forte collaborazione con altri settori.

È doveroso evidenziare che il settore spaziale- in quanto settore recentemente regolamentato ai sensi della NIS2 – è ancora nelle prime fasi di allineamento ai requisiti della direttiva, il che presenta delle sfide sia per le entità che per le autorità nazionali responsabili della supervisione del settore. La forte dipendenza del settore dalle catene di fornitura e dai prodotti commerciali già pronti, unita al suo limitato investimento nella cybersecurity, aggrava ulteriormente queste sfide.

Allo stesso tempo, la collaborazione e la condivisione delle informazioni all’interno del settore sono in una fase iniziale, nonostante l’istituzione dell’EU Space ISAC nel 2024. I recenti progressi – quali la sperimentazione della rete non terrestre 5G (NTN) di Eutelsat con satelliti in orbita terrestre bassa – dimostrano il potenziale dei servizi 5G basati su satellite, soprattutto nelle aree remote. Tuttavia, tali progressi evidenziano la necessità di misure di cybersecurity più forti e di una migliore cooperazione sia all’interno del settore sia tra altri settori, tra cui le telecomunicazioni.

• Pubblica Amministrazione (PA) – Il settore è molto diversificato, pertanto, è difficile che si raggiunga un livello comune di maturità elevato. Il settore non ha il supporto e l’esperienza tipici di settori più maturi. Inoltre, il rapporto NIS360 rivela che, a livello dell’UE, non esiste una comprensione esaustiva e settoriale dei rischi a cui è esposta la pubblica amministrazione e non esiste ancora una chiara comprensione di ciò che rientra nell’ambito del settore, delle risorse comuni e delle minacce a cui è esposto, il che complica ulteriormente le pratiche efficaci di gestione del rischio.

Di fatto, la PA – essendo un obiettivo primario per gli attori hacktivist e considerando le operazioni di collegamento tra stati – dovrebbe rafforzare le sue capacità di cybersecurity sfruttando l’EU Cyber Solidarity Act ed esplorando modelli di servizi condivisi tra entità del settore su aree comuni, ad esempio i portafogli digitali.

• Settore Marittimo – Il settore continua ad affrontare sfide che comporta la tecnologia operativa (OT) Per migliorare la resilienza, dovrebbero essere sviluppate linee guida personalizzate per le entità marittime per implementare solida gestione dei rischi di cybersecurity allineata con NIS2, concentrandosi sui principi di security-by design e sulla gestione proattiva delle vulnerabilità. Inoltre, si dovrebbe programmare un’esercitazione di cybersecurity a livello UE che simuli scenari intermodali per migliorare le capacità di risposta alle crisi collegando quadri settoriali e nazionali ed il coordinamento per gli incidenti transfrontalieri.
• Settore Sanitario – Il settore sanitario, con NIS2, ha assistito ad un ampliamento del proprio ambito in modo sostanziale, aggiungendo complessità a un settore già altamente eterogeneo (composto da entità più grandi che in genere dimostrano posture di sicurezza informatica più forti e da entità più piccole che spesso hanno difficoltà anche con un’igiene informatica di base).

Inoltre, il report NIS360 ha evidenziato che il settore affronta diverse sfide chiave, tra cui la natura frammentata del settore e la comprensione inadeguata dei rischi informatici che complicano ulteriormente le cose. Ancora, la dipendenza del settore da catene di fornitura complesse, così come la sua dipendenza da sistemi legacy e dispositivi medici non adeguatamente protetti, aggrava ulteriormente la situazione. Infine, anche i livelli di preparazione operativa sono incoerenti in tutto il settore, con lacune evidenziate anche durante l’esercitazione Cyber Europe 2022.

Le campagne di sensibilizzazione possono migliorare la cultura della sicurezza informatica, mentre la collaborazione attraverso piattaforme come l’European Health ISAC può contribuire a gestire meglio rischi della supply chain. Inoltre, le organizzazioni sanitarie dovrebbero impegnarsi in iniziative nazionali per rafforzare il rilevamento delle minacce e la resilienza complessiva alla cybersecurity.

• Settore Gas – La dipendenza del settore del gas dai sistemi digitali e le sue connessioni con l’elettricità e la produzione lo rendono vulnerabile agli attacchi informatici, con il rischio di impatti economici significativi. Per migliorare la resilienza, dovrebbero essere sviluppati e testati regolarmente piani di risposta agli incidenti solidi e specifici per settore.

Inoltre, la collaborazione con il settore dell’elettricità e della produzione può: migliorare la difesa informatica coordinata; facilitare la condivisione delle best practice; rafforzare la capacità del settore di rilevare, rispondere e riprendersi dagli incidenti informatici.

Prossimi passi nel percorso di conformità alla NIS2

Nel 2025, ENISA si propone di continuare la valutazione NIS360 per tutti i settori altamente critici nell’ambito di NIS2, adottando un approccio olistico che consideri i miglioramenti a ogni livello – dall’UE alle autorità nazionali e alle singole entità -contribuendo così a una maggiore sicurezza a tutti i livelli.

E’ doveroso evidenziare che il valore di questo lavoro risiede nell’istituzione di un quadro dinamico che consenta di: valutare lo stato attuale dei settori che rientrano nel perimetro della direttiva; dare priorità alle azioni di rafforzamento della maturità in modo efficace; identificare le aree in cui i miglioramenti mirati possono avere il maggiore impatto; guidare un processo decisionale più informato per rafforzare la resilienza settoriale; consentire il monitoraggio continuo dei progressi nel tempo.

Conclusione

Le organizzazioni che rientrano nel perimetro NIS2, indipendentemente dal settore o dal livello di maturità attuale, devono affrontare continuamente sfide per costruire la loro maturità e soddisfare i requisiti della direttiva. Pertanto, si raccomanda una maggiore collaborazione all’interno e tra i settori, unitamente a orientamenti settoriali specifici sull’attuazione di misure di gestione del rischio informatico. Di fatto, il miglioramento del livello delle competenze e la riqualificazione delle autorità nazionali potrebbero essere fondamentali per un’attuazione più armonizzata della NIS2, mentre le esercitazioni transfrontaliere di cybersecurity potrebbero migliorare la risposta alle crisi e contribuire ad attenuare gli effetti a cascata degli incidenti informatici.

In conclusione, la conoscenza è fondamentale per identificare i punti di cedimento nei vari settori e garantire la cyber resilience, che rappresenta una sintesi calibrata dell’implementazione dei principi di gestione del rischio, della continuità operativa e della cybersecurity.

Cybsec-news.it vi invita alla seconda edizione della CYBSEC EXPO, in programma a Piacenza dal 21 al 23 Maggio 2025.