ENISA ha pubblicato un approfondimento sull’uso dell’indice di sicurezza informatica dell’UE (cybersecurity index – EU-CSI) nell’analisi della prima relazione sullo stato della sicurezza informatica dell’Unione.
Tale indice è uno strumento, sviluppato dall’ENISA in collaborazione con gli Stati membri, per descrivere la posizione degli Stati membri e dell’UE in materia di sicurezza informatica.
L’EU-CSI (cybersecurity index) è un indice biennale che, nella sua forma attuale, ha utilizzato dati raccolti nel 2024; conseguentemente, quando non erano disponibili dati recenti, sono state utilizzate fonti di dati più datate.
L’obiettivo della pubblicazione è duplice:
- presentare l’indice di sicurezza informatica dell’UE (EU-CSI) del 2024, utilizzato, tra le altre fonti, per condurre l’analisi della prima relazione sullo stato della sicurezza informatica nell’Unione, pubblicata a dicembre 2024
- esplicitare il lavoro svolto da ENISA e dagli Stati membri, gettando al contempo le basi per la prossima edizione dell’EU-CSI, che sarà pubblicata nel 2026.
Sfruttando al meglio i dati e le informazioni disponibili, l’EU-CSI fornisce in particolare informazioni sulla rispettiva maturità e capacità in materia di sicurezza informatica, contribuendo al contempo a individuare opportunità di apprendimento tra gli Stati membri.
Costituisce inoltre la base per la valutazione quantitativa e qualitativa del livello di maturità delle capacità e delle risorse in materia di sicurezza informatica nell’intera Unione, come previsto dall’art. 18 della Direttiva NIS2.
L’EU-CSI è un indice composito, con una struttura gerarchica: comprende un insieme di indicatori qualitativi e quantitativi che vengono scalati a un punteggio da 0 a 100.
Questi indicatori, e i rispettivi punteggi, sono raggruppati in aree di sicurezza informatica con punteggi da 0 a 100; a loro volta, queste aree, e i rispettivi punteggi, vengono raggruppati in un unico punteggio complessivo fino a 100.
Un punteggio indice quantifica concetti multidimensionali che non possono essere misurati direttamente, integrando più fattori in un unico valore:
- 0 significa che per un indicatore o un’area specifica l’UE sta ottenendo risultati non ottimali
- 100 significa che per quell’indicatore o quell’area specifica l’UE sta ottenendo risultati molto buoni.
I dati inclusi nell’EU-CSI sono stati raccolti dalle autorità competenti degli Stati membri e comunicati a ENISA in conformità ai quadri giuridici applicabili, come la segnalazione degli incidenti, il rapporto ENISA sul panorama delle minacce alla sicurezza informatica e altre pubblicazioni di ENISA e della Commissione europea.
