ENISA ha di recente pubblicato un nuovo rapporto NIS360 dedicato all’analisi dello sviluppo e delle criticità della sicurezza informatica nei settori ad alta criticità individuati nell’allegato I della Direttiva NIS2.
La valutazione prende in esame l’intero ecosistema di un settore, comprendendo i soggetti coinvolti – quali autorità nazionali, enti e organismi dell’UE – nonché il quadro normativo applicabile con particolare riferimento all’ambito europeo.
Nel rapporto, ENISA evidenzia come dal precedente rapporto si sia registrato un progressivo miglioramento del livello di maturità della sicurezza informatica, favorito sia dall’adeguamento delle organizzazioni ai nuovi requisiti normativi sia dalla necessità di fronteggiare le minacce informatiche.
Tra i settori che mostrano un maggior grado di maturità emergono quello bancario, dell’energia elettrica e delle telecomunicazioni.
Secondo ENISA tali progressi sono riconducibili all’evoluzione della legislazione sulla sicurezza informatica, alla maggiore attenzione politica destinata al tema e ai miglioramenti conseguiti in specifiche dimensioni della maturità valutate.
Nonostante i miglioramenti si registrino in tutti i settori critici, il livello di maturità permane disomogeneo sia tra i differenti settori che all’interno degli stessi.
Tra i fattori che incidono maggiormente su tali differenze, ENISA evidenzia la carenza di competenze, le caratteristiche specifiche del settore e le dimensioni dell’organizzazione.
Ai sensi della NIS360, le criticità di ciascun settore vengono valutate in relazione a differenti elementi tra cui il livello di digitalizzazione, l’impatto socioeconomico degli incidenti informatici che lo colpiscono e la sua urgenza temporale, ossia la rapidità con cui l’impatto degli incidenti che lo colpiscono si avverte, tenendo conto delle interconnessioni con altri settori.
Alla luce della gradualità con cui questi fattori cambiano, i punteggi di criticità tendono a rimanere relativamente stabili di anno in anno.
Al fine di individuare le zone di rischio, ENISA propone di combinare e interpretare congiuntamente le criticità e la maturità dei settori.
La zona di rischio, si specifica, comprende settori con una maturità inferiore alla media e una criticità che supera la loro maturità.
Da ultimo, ENISA precisa come si preveda che un numero crescente di settori attualmente in zona di rischio sia destinato progressivamente a uscirne, grazie a differenti fattori, quali la legislazione in materia di sicurezza informatica, la crescente consapevolezza del rischio informatico e l’esposizione alle minacce.
In aggiunta, nel rapporto si evidenzia come ricoprano un ruolo importante anche le esperienze pregresse, le interdipendenze e le aspettative dell’ecosistema, che continueranno a fungere da fattori chiave sia per gli investimenti nella sicurezza informatica che per le iniziative di preparazione.
Dopo una prima panoramica sulla maturità della sicurezza informatica dei settori NIS2 ad alta criticità, il rapporto, analizza la maturità della sicurezza informatica settore per settore.
Il documento contiene, inoltre, tre allegati, che comprende:
- un quadro delle dimensioni della maturità per differenti settori
- la descrizione della metodologia adottata
- le abbreviazioni e la legislazione chiave.
