L’Agenzia dell’Unione europea per la cybersicurezza ha pubblicato i risultati dell’EU Cybersecurity Index, uno strumento sviluppato da ENISA insieme agli Stati Membri per valutare il livello di maturità e le capacità in materia di cybersicurezza a livello nazionale ed europeo e combinare indicatori qualitativi e quantitativi che offrano una panoramica strutturata e comparabile tra i vari paesi.
Indice degli argomenti
Le quattro dimensioni dell’EU Cybersecurity Index: capacità, industria, policy, operazioni
Trattandosi della prima edizione, questo sarà anche un importante laboratorio per preparare il terreno alla prossima edizione 2026.
L’EU-CSI è un indice composito, con un’alberatura molto semplice, come indicato nella nota metodologica che è stata elaborata a lungo e ufficializzata solo dopo aver superato una consultazione pubblica.
Gli indicatori sono raggruppati in quattro aree di cybersecurity che a loro volta contribuiscono a un punteggio complessivo che va da 0 a 100.
Capacità di risposta (Capacity)
Questo parametro misura la capacità della società di riconoscere le minacce e prevenire gli incidenti di cybersecurity, con un punteggio medio UE di 64,51, leggermente superiore alla media generale dell’UE. La deviazione media dei punteggi degli Stati Membri in questa area è stata di 4.73 punti, indicando una certa variabilità nella maturità delle capacità nazionali.
Maturità industriale del mercato (Market / Industry)
Questo parametro descrive la capacità del settore privato di prevenire, rilevare e analizzare le minacce e gli incidenti informatici, con un punteggio medio UE di 62,36. Questa area mostra il più forte allineamento tra gli Stati membri con una deviazione media dei punteggi di soli 2.78 punti.
Politiche di cybersecurity (Policy)
Questo parametro misura lo stato di sviluppo e implementazione delle politiche di cybersecurity, ottenendo il punteggio medio UE più alto (66,09) ma anche il livello più basso di allineamento, con significative disparità tra gli Stati Membri.
La contraddizione tra il punteggio più alto nell’area “Policy” e la sua contemporanea elevata disomogeneità tra gli Stati Membri indica che, sebbene l’UE eccella nella formulazione di quadri normativi, la loro implementazione pratica e uniforme a livello nazionale rimane una sfida critica. Alcuni Stati Membri sono più avanzati nella traduzione delle politiche in capacità operative concrete, mentre altri sono in ritardo e questa disomogeneità crea potenziali “anelli deboli” nella catena di difesa cibernetica dell’UE, poiché un attacco mirato a uno Stato Membro meno preparato può avere ripercussioni a livello transfrontaliero. Ciò implica la necessità di programmi di supporto mirati, di condivisione delle migliori pratiche e di un monitoraggio più stringente dell’implementazione delle politiche per garantire una resilienza collettiva più uniforme
Efficienza delle aree operative (Operations)
Questo parametro misura la capacità degli Stati membri di condurre operazioni di cybersecurity e garantire la resilienza, con un punteggio medio UE di 57,63, confermandosi l’area più debole a livello UE. Questo dato evidenzia una lacuna significativa tra la capacità di definire politiche e la loro effettiva traduzione in prontezza operativa
Tra percezione e realtà: i limiti dei dati aziendali
ENISA ha assegnato all’UE un punteggio medio di 62,65 su 100, confermando una base di partenza adeguata, ma anche ampie aree di miglioramento, soprattutto operative. Le note stonate sono soprattutto quelle:
- delle imprese che usano l’intelligenza artificiale per la sicurezza ICT: 3,18/100
- degli investimenti in cybersecurity da parte di entità essenziali/importanti: 7,14/100
- delle certificazioni CSIRT: 10,31/100
Nelle aree con i punteggi medi UE più elevati si riscontra un’elevata convergenza tra i diversi stati membri. Per fare un esempio, la maggior parte delle PMI europee non ha subito dataleak e databreach e il punteggio medio di 98,02 per i dataleak e 94.99 per i databreach presenta una deviazione media molto bassa. Anche le grandi imprese hanno subito pochi incidenti di questo tipo.
Naturalmente il rapporto mostra consapevolezza del rischio di sottostima, soprattutto quello proveniente dai dati aziendali, giacché i punteggi molto alti tra le PMI (es. 98/100 per assenza di violazioni) potrebbero riflettere più una scarsa segnalazione degli incidenti, rispetto a una reale capacità di opposizione.
Divario nelle competenze digitali e consapevolezza del rischio
Abbiamo visto invece quanto tra gli Stati Membri emerga la disomogeneità dell’area“Policy” che ha sì ottenuto il punteggio più alto, ma che, nella migliore tradizione dei “polli di Trilussa” vede alcuni paesi dotati di strategie avanzate mentre altri sono ancora in una fase preoccupante.
Un altro aspetto critico che viene riscontrato è il basso livello di consapevolezza del rischio cyber e di consapevolezza digitale in genere. Già Eurostat nel 2020 aveva indicato che il 46% dei cittadini europei disponeva di competenze digitali insufficienti, con forti differenze tra fasce d’età, la quale disomogeneità rappresenta ancora una volta un serio punto di vulnerabilità della resilienza complessiva.
Forza normativa vs debolezza tecnologica: un disallineamento critico
L’Unione Europea mostra comunque una forte capacità in termini di politiche e prevenzione. I migliori risultati a livello UE riguardano la sicurezza percepita nelle piccole e medie imprese (PMI) e nelle grandi imprese per quanto riguarda incidenti di sicurezza con divulgazione o corruzione di dati. Anche l’uso sicuro di internet da parte dei cittadini e la presenza internazionale dei CSIRT sono tra gli indicatori più performanti.
Come al solito, l’Unione dà il meglio di sé in quanto ente normatore e, dobbiamo dire che purtroppo la percezione di questo valore non è mai troppo enfatizzata tra i cittadini europei; malgrado i progressi di carattere normativi, l’indice evidenzia criticità in aree più avanzate e innovative: i punteggi più bassi si registrano per le imprese che utilizzano tecnologie di intelligenza artificiale per la sicurezza ICT (3,18/100), gli investimenti in cybersecurity da parte di realtà critiche (7,14/100) e la certificazione dei CSIRT (10,31/100). L’area dell’efficienza delle aree operative (le Operations, ossia la capacità degli Stati di garantire la resilienza) è considerata la più debole a livello UE.
Divari nell’attuazione: formazione, vigilanza e R&S
Gli Stati membri mostrano quindi forti differenze soprattutto nei settori legati all’attuazione delle politiche, in particolare per quanto riguarda la segnalazione delle vulnerabilità e le misure di vigilanza sugli enti essenziali e importanti, oltre che nelle aree di ricerca, sviluppo e formazione. In questi ambiti, lo scostamento medio dagli indicatori UE raggiunge punte di oltre 25 punti, con un divario significativo tra i Paesi che si avvicinano di più o di meno alla media europea.
Le differenze nella segnalazione delle vulnerabilità e nelle misure di supervisione riflettono lo stato di avanzamento dell’implementazione delle normative specifiche. Per quanto riguarda ricerca, sviluppo ed educazione, invece, emerge una diversa percezione dell’importanza di questi temi tra i vari Stati membri.
Aree critiche e ruolo strategico dell’indice nel futuro
Il rapporto NIS 360 di ENISA, che è stato tenuto presente dall’EU-CSI, aveva già identificato alcuni settori critici quali l’elettricità, le telecomunicazioni e il settore bancario proprio in considerazione della loro maturità e il loro ancoraggio a pratiche spesso obsolete. Ma anche altri settori sono stati identificati nella “zona di rischio”, dove purtroppo l’eterogeneità di dimensioni e di grado di criticità delle singole entità (anche all’interno dello stesso settore) complica l’applicazione e la vigilanza di requisiti di sicurezza uniformi.
Sebbene ci sia comunque un allineamento generale tra gli Stati membri, permangono quindi significative disparità, in particolare nell’implementazione delle politiche e nelle capacità operative.
Appare quindi evidente la necessità urgente di investire maggiormente in cybersecurity, in particolare in tecnologie emergenti come l’IA, ma con la dovuta consapevolezza, e di colmare il divario di competenze digitali.
La scarsa adozione di tecnologie AI per la sicurezza ICT e i bassi investimenti sono infatti degli evidenti segnali di allarme. Proprio in questo senso l’EU-CSI è visto come uno strumento strategico per armonizzare e migliorare continuamente la cybersecurity in tutta Europa, fornendo informazioni basate sull’evidenza per le autorità nazionali per valutare i progressi.
Il quadro ci mostra perciò un’Europa forte nelle politiche e nella prevenzione, ma in ritardo in aree come l’adozione dell’IA, le certificazioni e gli investimenti. Sebbene i progressi normativi siano evidenti, ci sono ancora debolezze critiche che richiedono attenzione per rafforzare la difesa digitale collettiva dell’Europa.
Paesi virtuosi e ritardi nazionali: una classifica disomogenea
Per motivi di sicurezza non sono stati resi noti i dati specifici per ciascuno Stato, ma secondo le dichiarazioni dell’Agenzia Nazionale per la Cybersicurezza il report ENISA conferma che l’Italia si presenta come uno dei paesi più “resilienti” e si posiziona sopra la media europea nell’EU-CSI, distinguendosi in particolare per la “robustezza” delle infrastrutture, l’efficacia mostrata nella cooperazione internazionale e la presenza di strutture specializzate contro il cybercrime.
Per capire come si sono posizionati gli altri paesi abbiamo quindi passato in rassegna i comunicati delle altre agenzie o enti che sovrintendono alla sicurezza cibernetica nazionale e il divario sembra essere piuttosto marcato tra paesi virtuosi e paesi più arretrati.
La Finlandia e il Traficom-NCSC festeggia la medaglia d’oro con il 1° posto UE per “Policy” e lancia corsi di formazione congiunti tra PA e industria HI-tech. La testata Talouselämä spiega come l’indice abbia influenzato il nuovo “Cybersecurity Act” finlandese e il piano 2030.
La Svezia e il suo MSB (Myndigheten för samhällsskydd och beredskap) commenta il 2° posto UE e annuncia la nomina di un Cyber Ambassador.
Anche l’Estonia, con il suo RIA (State Information System Authority) saluta il 2° posto UE, promuovendo la Cyber Skills Academy regionale, ma non è chiaro se si tratti di un ex aequo con gli Svedesi o di un secondo posto su parametri diversi.
I Paesi Bassi e il NCTV (Dutch National Cyber Security Centre) festeggiano il 3° posto UE, annunciando un piano per espandere la cooperazione con i paesi del Baltico. Computable.nl approfondisce la correlazione tra EU-CSI, i budget DORA e il Regolamento sulla resilienza digitale.
Il BSI (Ufficio federale della Germania per la sicurezza informatica) in un comunicato ha ringraziato ENISA e annunciato l’ampliamento dei propri drill annuali. L’Handelsblatt Tech ha elogiato il 4º posto tedesco per la “Capacity” ma invitato a colmare i ritardi nelle “Operations” che anche in Germania sembrano caratterizzati da un certo ritardo.
La Polonia attraverso i NASK-CERT afferma che userà l’indice per pianificare la nuova strategia nazionale, con un focus sulle PMI e sulla difesa dei dati sensibili. La testata PAP-Tech sottolinea poi il 5° posto UE e la necessità di nuove leggi per rafforzare i servizi di incident response.
Il Centro per la Cybersecurity del Belgio (CCB): ha sottolineato il buon piazzamento belga (6° posto UE) ma ha chiesto più investimenti pubblici. Gli editoriali apparsi su Le Soir e De Tijd sono quindi favorevoli, ma con un forte invito alle aziende a rafforzare la consapevolezza interna.
La Lettonia con il RIA-LV (State IT Authority) sottolinea il buon piazzamento, con un nuovo corso certificato pensato per amministratori di sistema; la testata Diena Tech coglie l’occasione per pubblicare un focus su budget, skill gap e piani di formazione congiunti con l’UE per il 2025.
La Lituania, attraverso il NKSC-LT (National Cyber Security Centre) afferma che utilizzerà l’indice per rifinire il proprio programma BIVOJ di infrastrutture condivise; la testata LRT Tech si concentra invece sui dettagli di come le università lituane allineeranno i curricula ai quattro pilastri dell’indice UE.
La Francia con la sua ANSSI ringrazia ENISA e annuncia l’integrazione dei risultati UE nei piani di Cyber Campus e Cybersécurité Act; tuttavia Les Échos rivela il 10° posto francese, attraverso un’analisi critica sulle differenze con i vicini tedeschi, invocando misure a tutela delle PMI.
Il Center for Cyber Security Denmark (CFCS) della Danimarca in un briefing con la stampa ha incoraggiato la diffusione delle best practice estratte dall’indice UE e il Berlingske Business ha dedicato un approfondimento alla crescita del 15 % del budget cyber danese.
Il Lussemburgo tramite il CSSF (Commission de Surveillance du Secteur Financier) commenta un non più dettagliato posizionamento nella top-20 UE, chiedendo con urgenza, nel contesto dei fondi bancari, l’avvio di esercitazioni strutturate di cybersecurity per testare le procedure, la cooperazione e le tecnologie coinvolte nella protezione e nella continuità operativa di banche, gestori di fondi e infrastrutture di mercato. Come affermato da Delano Tech, bisogna puntare sul potenziale di Luxembourg City come hub di cooperazione internazionale.
La Spagna e il suo INCIBE (Instituto Nacional de Ciberseguridad) danno un voto genericamente “positivo” per il piazzamento ma chiedono più programmi di assessment e test sull’infrastruttura. El País Tecnología parla di progressi nel settore privato e su come le start-up iberiche potranno capitalizzare l’onda dell’indice.
L’Austria e il ÖCSC (Austrian Cyber Security Center) commentano con enfasi i risultati su awareness e corsi di formazione per la PA. Il Der Standard Tech invece si produce con un’analisi sul ruolo delle università austriache nei Pilastri “Capacity” e “Policy”.
La Grecia, con il NCSA-GR (National Cybersecurity Authority) invita a colmare il gap nel “Policy” attraverso formazione e ricerca congiunta UE, ma la testata Kathimerini critica la performance sotto la media UE e sollecita investimenti extra-bilancio per infrastrutture.
La Romania e il CERT-RO commentano il piazzamento sotto la media UE e annunciano tavoli di lavoro con ministeri e operatori della distribuzione idrica, che a quanto pare risultano una delle criticità cyber di uno dei paesi più esposti alla minaccia ibrida. HotNews.ro Tech invoca invece audit regolari e regole più stringenti per i fornitori di ICT nell’industria medicale.
Il Cert-BG della Bulgaria ha annunciato in un comunicato l’imminente avvio di un programma formazione per enti critici, mentre il blog Dox.bg ha evidenziato il posizionamento sotto la media dei Paesi UE e rilanciato appelli al governo per una strategia cyber dedicata.
Altri paesi non hanno dato eccessiva risonanza al rapporto, tradendo forse “piazzamenti” poco lusinghieri.
La resilienza UE tra leadership normativa e ritardi strategici
La combinazione di indicatori qualitativi e quantitativi che scaturiscono dal rapporto Enisa permette finalmente un confronto trasparente tra Stati Membri e favorisce l’adattamento delle migliori pratiche, ma è chiaro che non tutti i dubbi sulla qualità e comparabilità dei dati potranno essere fugati.
ENISA opera in un ambiente caratterizzato da livelli variabili di maturità e capacità di cybersecurity tra gli Stati Membri. Ad esempio, l’ITU Global Cybersecurity Index 2024 mostra che, mentre 15 Stati Membri UE sono considerati “stati modello”, 10 sono “in avanzamento” e 2 sono ancora “in fase di istituzione”. Questa disparità si riflette anche a livello settoriale, con settori come la finanza e l’energia che mostrano livelli di cybersecurity più avanzati, mentre altri, come le ferrovie o la sanità, sono in ritardo. Questa varietà rappresenta una sfida per ENISA, che deve adattare i suoi output pur aggiungendo valore a tutti, poiché le agenzie ben dotate di risorse potrebbero essere meno dipendenti dal supporto di ENISA rispetto a quelle con minore maturità
L’analisi per aree ha mostrato una forte performance nella “Policy”, il che riflette la capacità dell’UE di formulare quadri normativi robusti, ma l’area delle “Operazioni” ha registrato performance preoccupanti, evidenziando lacune nella capacità di condurre operazioni di resilienza. Gli investimenti in cybersecurity e l’adozione di tecnologie di Intelligenza Artificiale per la sicurezza ICT mostra una preoccupante arretratezza dell’Unione.
ENISA ha espresso un’importante cautela: i punteggi elevati relativi alla segnalazione di incidenti da parte delle PMI potrebbero essere gonfiati a causa di una sottostima. Questa sottostima può derivare da scarsa consapevolezza, timore di danni reputazionali o dalla complessità dei requisiti di segnalazione. Il forte divario tra l’alta percezione di sicurezza (o la sottostima degli incidenti) e i punteggi estremamente bassi in aree chiave come l’adozione dell’AI per la sicurezza e gli investimenti in cybersecurity, rivela una potenziale compiacenza e una mancanza di preparazione strategica per le minacce future. Se le imprese e i cittadini “sentono” di essere sicuri o non segnalano incidenti, ma allo stesso tempo non investono in tecnologie avanzate (come l’AI per la difesa proattiva) o in generale nella cybersecurity, si manifesta una disconnessione pericolosa tra percezione e realtà. Questo suggerisce un approccio reattivo, focalizzato sulla gestione dell’incidente dopo che si verifica, piuttosto che un approccio proattivo basato sulla prevenzione e l’anticipazione. Questa situazione potrebbe portare a una falsa sensazione di sicurezza, specialmente tra le PMI, rendendole più vulnerabili a minacce sofisticate. L’UE rischia di rimanere indietro nell’adozione di tecnologie difensive all’avanguardia, compromettendo la sua capacità di affrontare un panorama di minacce in rapida evoluzione.
Un discorso a parte merita l’analisi dell’impatto dell’AI sulla cybersecurity, tra opportunità che questa tecnologia offre per il rilevamento delle minacce e le sfide che impone nel ricalibrare le assunzioni di sicurezza esistenti. La cybersecurity nell’era dell’a IA deve preoccuparsi di impatti sociali e geopolitici più ampi. L’inclusione esplicita dell’AI, con le sue opportunità e sfide, e delle minacce alla democrazia, come la disinformazione e le interferenze elettorali, dimostra quanto ormai gli esperti riconoscano che il dominio cibernetico ha implicazioni profonde sulla governance, sulla società e sulla stabilità geopolitica. Le strategie di cybersecurity dell’UE, e di conseguenza l’EU-CSI, devono quindi evolvere per includere metriche e considerazioni che vadano oltre la mera protezione tecnica, abbracciando aspetti come l’integrità dell’informazione, la resilienza democratica e l’etica dell’AI. La sfida non è solo tecnologica, ma anche sociale e politica.
La natura dinamica delle minacce cibernetiche richiede infatti agilità e capacità di adattarsi rapidamente, cosa che può essere meglio ottenuta attraverso la diversità insita nei diversi approcci nazionali e la condivisione di ciò che funziona. Un approccio rigido e uniforme dell’UE potrebbe essere meno efficace di un quadro flessibile che incoraggi l’innovazione nazionale e la condivisione delle migliori pratiche. Questo punto di vista mette in discussione l’idea di una “soluzione unica” o di una piena armonizzazione imposta dall’alto.
Un altro punto chiave da evidenziare è l’integrazione insufficientemente definita del settore privato nella strategia cibernetica europea, nonostante il suo ruolo cruciale, come dimostrato dalla sua partecipazione alla resilienza cibernetica dell’Ucraina. In questo senso, la dipendenza strategica dell’Europa da fornitori di tecnologia e cloud non-UE, costituisce un rischio sistemico per la sovranità, l’integrità dei dati e la capacità dell’Unione di agire in modo indipendente in tempi di crisi. Le politiche UE e l’EU-CSI dovrebbero integrare metriche sulla sovranità tecnologica e la resilienza della catena di approvvigionamento, come peraltro indicato nel rapporto Draghi. Se l’infrastruttura digitale critica e i servizi sono controllati da entità esterne all’UE, la capacità dell’Unione di agire in modo indipendente in tempi di crisi è compromessa, indipendentemente dalla forza delle sue politiche interne. È una questione di sicurezza nazionale e di autonomia strategica. L’attuale struttura dell’EU-CSI (Capacity, Policy, Market/Industry, Operations) potrebbe non catturare adeguatamente questa dimensione critica. Le future iterazioni dell’indice o analisi supplementari dovrebbero considerare indicatori relativi allo sviluppo tecnologico interno, alla diversificazione delle catene di approvvigionamento e agli investimenti in soluzioni cloud e tecnologiche basate nell’UE.
Rafforzare gli ecosistemi di cybersecurity locali e investire in infrastrutture digitali nazionali non aiuta solo a garantire l’autonomia a lungo termine dell’Europa, ma anche a generare un indotto rilevante e un mercato del lavoro maturo, contraddistinto da un alto valore aggiunto.
Privacy e software libero: gli assenti ingiustificati del rapporto
Infine una nota amara sul rapporto Enisa. Riteniamo che sia a dir poco surreale che un rapporto che pretende di fotografare lo stato della cybersicurezza nell’Unione Europea non dedichi nemmeno una riga all’open source, che rappresenta invece il pilastro di innumerevoli soluzioni di sicurezza, trasparenza e innovazione. In un momento storico in cui governi, imprese e comunità accademiche si affidano a progetti open source per garantire indipendenza tecnologica e rapida condivisione delle patch, ENISA sembra vivere nella bolla di vendor proprietari, ignorando del tutto il contributo cruciale delle comunità globali di sviluppatori.
La Casa Bianca dell’epoca Biden aveva riservato attenzioni elevate al tema, anche cercando di proteggere meglio l’ecosistema attraverso un nuovo ufficio dedicato allo studio di tali componenti nelle infrastrutture critiche. Infatti, ancora peggio che ignorare le potenzialità che l’Open Source presenta per la sicurezza dei paesi, c’è l’inconsapevolezza di quanto gli attacchi informatici al software open source, sia da parte di hacker criminali che di minacce nazionali, possono iniettare il processo di sviluppo.
Allo stesso modo, la quasi totalità delle sezioni dedicate alla governance e alla resilienza tralascia il tema della protezione dei dati personali, relegato a qualche frase di passaggio, nella rappresentazione grafica a pag. 19 e nella nota 62 a pag. 66.
È inaccettabile che un’agenzia europea incaricata di delineare politiche e buone pratiche non metta al centro la tutela della privacy — diritto fondamentale sancito dal GDPR — né analizzi in che modo le misure di sicurezza impattano sui diritti dei cittadini. Un rapporto così carente rischia di offrire un quadro incompleto e fuorviante, marginalizzando due questioni imprescindibili per qualsiasi strategia di cybersicurezza moderna.
Sovranità tecnologica e cybersicurezza: un nodo strategico per l’UE
Anche in questo caso non possiamo dimenticare l’amministrazione Biden che, in occasione del decreto presidenziale contro la tecnologia cinese dei veicoli iperconnessi con sistemi software e hardware collegati ad avversari stranieri, così vorace nei confronti dei dati degli utenti, ha ricordato come questi potrebbero esporre il popolo americano al rischio di un uso improprio dei propri dati sensibili o di interferenze da parte di malintenzionati. Il diritto alla privacy, che si esplica oggi soprattutto in una attenta cultura della tutela dei dati personali, è infatti fondamentale per la sicurezza nazionale cyber e non-cyber!
Detto questo, il primo EU Cybersecurity Index si afferma come uno strumento strategico di fondamentale importanza per armonizzare e migliorare continuamente la postura di cybersecurity in Europa. La sua pubblicazione ha confermato una notevole maturità normativa e un discreto livello di consapevolezza in tutta l’Unione, mostrando una encomiabile onestà intellettuale nel rivelare ritardi preoccupanti in aree più avanzate e innovative, come l’adozione dell’Intelligenza Artificiale per la sicurezza e gli investimenti complessivi nel settore.
L’Unione Europea sta gettando le basi per un futuro digitale sicuro e resiliente attraverso la promozione della collaborazione, l’implementazione di politiche armonizzate e l’investimento nell’istruzione e nello sviluppo delle competenze. L’azione collettiva e la responsabilità condivisa tra Stati Membri, istituzioni e settore privato si rivelano vitali per raggiungere gli obiettivi di sicurezza cibernetica dell’Unione. Il percorso è in evoluzione, e la capacità dell’UE di tradurre le sue ambizioni normative in una resilienza operativa tangibile sarà la chiave per la sua leadership globale in materia di cybersecurity
