L’ENISA, l’agenzia europea per la cybersecurity, ha pubblicato un nuovo rapporto sugli investimenti in reti e sistemi informativi (NIS) nel tentativo di raccogliere dati su come gli operatori di servizi essenziali (OSE) e i fornitori di servizi digitali (FSD) identificati nella direttiva NIS investono i propri budget per la cybersecurity e come questo investimento è stato influenzato dalla Direttiva NIS. Il rapporto in questione si occupa di tutti i 27 Stati membri dell’Unione e offre ulteriori approfondimenti riguardo l’assegnazione dei bilanci NIS di OES/FSD, l’impatto economico degli incidenti di cybersecurity e l’organizzazione della cybersecurity di tali operatori.
Cyber security, come va la strategia italiana: cosa abbiamo fatto e cosa resta da fare
Cybersicurezza: l’Italia spende più della media Ue
Secondo tale rapporto, gli OSE e gli FSD dell’Italia hanno dovuto recuperare un certo ritardo nel campo della cyber sicurezza rispetto alle controparti europee, proponendo un piano di investimento e salvaguardia delle infrastrutture critiche pari a 77,8 milioni di euro, la cui portata risulta essere seconda solo alla Francia; ma rivalutando tale cifra per ciascun operatore OSE/FSD italiano emerge come nel nostro Paese ci sia un investimento pari a 140 mila euro pro-capite, da cui si deduce che l’attenzione per l’ammodernamento sia prioritario per difendersi da attori malevoli che operano per danneggiare gli impianti. In media il budget stanziato da ciascun OSE/FSD europeo per attuare la Direttiva NIS è pari a 98.000 euro.
L’Italia si pone bel al di sopra di tale media e risulta quindi lo Stato membro che ha speso di più per l’adeguamento alla NIS. Il rapporto dell’ENISA rivela infatti che, sempre in media, gli Stati membri hanno investito in sicurezza e tutela delle infrastrutture di un OSE/FSD circa 2 milioni di euro, ma nel nostro Paese la spesa media in sicurezza informatica per ciascun operatore è di circa 6,75 milioni. Tali cifre sono indicative della volontà degli OSE e degli FSD, e di tutto il sistema-paese, di adeguarsi rapidamente a quanto prescritto dalla Direttiva NIS e migliorare il livello di cyber security delle proprie infrastrutture.
A livello europeo, infatti, il 50% degli OSE e dei FSD intervistati ritiene che l’implementazione della normativa abbia contribuito a migliorare la sicurezza cyber in generale, e la gestione della stessa in particolare, rafforzando altresì le capacità di rilevamento delle minacce le capacità di recupero dagli incidenti di sicurezza. A riprova di ciò, durante il 2020 meno del 10% del campione ha dichiarato di aver subito un incidente di cybersecurity grave[1].
I domini su cui si concentra la spesa in sicurezza delle imprese
I dati del rapporto in questione indicano chiaramente che le organizzazioni europee dedicano la maggior parte della propria spesa per la sicurezza ai seguenti domini funzionali: gestione delle vulnerabilità e security analytics (20%) governance, risk & compliance (18%), sicurezza di rete (16%), sicurezza delle applicazioni (14%) sicurezza degli End Point (12%), Identity Access Management (11%), e Data Security (9%), tutti di primaria importanza per la Direttiva NIS. Infatti, i dati raccolti mostrano che il monitoraggio e la corrispondente allocazione del budget per la sicurezza delle informazioni è ancora in aumento all’interno della maggior parte degli OSE e dei FSD ed è destinato principalmente alla sicurezza IT. Indipendentemente da questa tendenza positiva, il 38% delle organizzazioni intervistate non possedeva ancora un budget distinto per la sicurezza ed il controllo delle informazioni, e il 62% di queste organizzazioni non comunicava efficacemente i costi associati alla sicurezza delle informazioni alle unità aziendali.
L’importanza (sottovalutata) della sicurezza delle informazioni
Nel valutare la proprietà dei bilanci per la sicurezza delle informazioni e le linee di segnalazione gerarchica, è possibile osservare che la sicurezza delle informazioni è ancora ampiamente riconosciuta come disciplina IT esclusiva, senza la dovuta considerazione per il più ampio impatto aziendale della stessa. Gli investimenti in materia di gestione delle vulnerabilità e analisi della sicurezza si concentrano sulla creazione di capacità proattive per ridurre al minimo l’impatto di possibili violazioni.
Relativamente alla sicurezza delle applicazioni, che comprende la progettazione, lo sviluppo e il funzionamento di un’applicazione specifica, si concentra sulla configurazione e l’implementazione sia di un software che dei suoi componenti di supporto – come rete, sistema operativo o database – con l’obiettivo di garantire la sicurezza. La sicurezza dell’infrastruttura operativa, compresa la sicurezza della rete, la gestione dell’identità e degli accessi, la sicurezza degli endpoint e la sicurezza dei dati, si concentrano sulla protezione della rete, degli host e dei dati. Inoltre, mira a garantire un accesso sicuro e autorizzato ai sistemi.
Il rischio di governance e la conformità si focalizzano su come le organizzazioni mitigano un insieme specifico di rischi attraverso lo sviluppo di strategie, politiche, standard e consapevolezza. Si sforza di gestire i rischi in modo efficace e trasparente, garantendo al contempo il rispetto dei requisiti di conformità legale e normativo e che la sicurezza delle informazioni sia incorporata in tutta l’organizzazione.
Il futuro della sicurezza delle informazioni
E proprio in relazione al futuro della sicurezza delle informazioni, il rapporto ENISA cita la ricerca Predicts 2021: Cybersecurity Program Management and IT Risk Management di Gartner, la quale riferisce che:
- entro il 2022, il 30% dei team di sicurezza avrà aumentato il numero di dipendenti che lavorano a distanza su base permanente.
- entro il 2025, il 40% dei consigli di amministrazione avrà un comitato dedicato per la sicurezza informatica supervisionato da un membro qualificato del consiglio di amministrazione, rispetto a meno del 10% di oggi.
- entro il 2024, il 60 % dei Chief Information Security Officers (CISO) stabilirà partnership critiche con i principali dirigenti rivolti al mercato nelle vendite, nella finanza e nel marketing, rispetto a meno del 20 % di oggi.
- entro il 2025, il 50% delle organizzazioni ad alta intensità di attività farà convergere i propri team di sicurezza informatica, fisica e della catena di approvvigionamento sotto un unico ruolo di Chief Security Officer (CSO) che riferisce direttamente all’amministratore delegato.
I dati dell’indagine di ENISA indicano inoltre che la spesa mediana per le tecnologie dell’informazione è più elevata nei settori dell’energia (60 milioni di euro) e delle banche (50 milioni di euro), superando significativamente la spesa informatica in altri settori. Per contro, infatti, le aziende che operano per la fornitura e distribuzione di acqua, le infrastrutture per i mercati finanziari e le infrastrutture digitali sono i settori che hanno speso meno per l’adeguamento alla Direttiva NIS.
Conclusioni
Quanto emerge dal rapporto ENISA indica che l’Unione Europea in generale e, a diversi livelli, gli Stati membri in particolare, stanno ponendo in essere uno sforzo molto importante per adeguarsi alla Direttiva NIS. Il percorso intrapreso è lungi dall’essere concluso ma sta già dando i primi frutti in termini di miglioramento della sicurezza per gli OSE e gli FSD. È lecito supporre che gli Stati membri si stiano impegnando nell’implementare tale direttiva anche alla luce del fatto che la Commissione Europea ha presentato una proposta di revisione della stessa già il 16 dicembre del 2020. Tale proposta mira superare le difficoltà di implementazione della Direttiva NIS e a far fronte alle crescenti minacce poste dalla digitalizzazione e dall’aumento degli attacchi informatici. La cosiddetta Direttiva NIS2 intende infatti rafforzare i requisiti di sicurezza, migliorare la sicurezza delle supply chain, semplificare gli obblighi di segnalazione e introdurre misure di supervisione più rigorose e requisiti di applicazione più severi, compresa la comminazione di sanzioni.
Note
- https://www.corrierecomunicazioni.it/cyber-security/cybersecurity-e-direttiva-nis-italia-prima-in-europa-per-risorse-messe-in-campo/ ↑
