Rapporto NIS360: settori critici e vulnerabili nella cybersecurity europea

L’agenzia per la Cybersicurezza dell’Unione Europea (ENISA) istituita nel 2004, è l’ente deputato in ambito europeo a contribuire circa la politica informatica dell’UE, a migliorare l’affidabilità dei prodotti, dei servizi e dei processi ICT attraverso i sistemi di certificazione della cibersicurezza e, in generale, collabora con gli Stati membri e gli organismi circa le sfide informatiche del prossimo futuro.

Scopo e obiettivi della valutazione NIS360

Lo scopo del documento dal titolo “ENISA NIS360 2024 – ENISA Cybersecurity Maturity & Criticality Assessment of NIS2 sectors”, pubblicato nel febbraio 2025, è permettere una valutazione circa la maturità e la criticità dei settori di dominio della direttiva (UE) 2022/2555 o NIS 2 fornendo una panoramica approfondita di ciascun settore, in modo da poter aiutare gli Stati membri e le Autorità nazionali ad individuare le lacune e prioritizzare le risorse.

Settori critici analizzati nel framework NIS360 2024

All’interno dello studio NIS360 2024 sono stati individuati i settori e sottosettori altamente critici, così come descritti all’interno dell’Allegato I della direttiva NIS2, per cui:

• Energia: elettricità, teleriscaldamento e raffreddamento, petrolio, gas, idrogeno.
• Trasporti: aereo, ferroviario, marittimo, stradale
• Finanza: banche, infrastrutture del mercato finanziario (FMI)
• Salute
• Acque potabili e reflue
• Infrastrutture digitali: internet di base, cloud e centri dati, telecomunicazioni, servizi fiduciari
• Gestione dei servizi ICT
• Pubblica amministrazione
• Spazio

La metodologia NIS360: definizione del campo d’applicazione

La maturità e la criticità della cybersecurity di ciascuno dei settori sono state valutate attraverso la metodologia NIS360[1] che si basa sulle seguenti fasi.

Definizione del campo di applicazione

Definizione del campo di applicazione: in questa fase vengono determinati i settori oggetto della valutazione dell’anno in corso e i tipi di indicatori (mappati rispetto a specifiche dimensioni di maturità e criticità) da utilizzare per valutare la maturità e la criticità dei settori:

• Dimensioni di maturità:
  • Quadro politico e linee guida: gli aspetti chiave considerati sono il quadro legislativo che guida gli obiettivi di cybersecurity, l’assetto istituzionale a livello di UE, l’esistenza e l’esperienza delle autorità nazionali, il livello di interazione tra gli Enti e tali Autorità e la disponibilità di linee guida a supporto della conformità.
  • Gestione del rischio e buone pratiche: valuta il livello di comprensione dei rischi informatici e le misure in adozione per mitigarne il rischio da parte delle entità del settore, delle autorità nazionali ed europee.
  • Collaborazione e condivisione delle informazioni: valuta il livello di collaborazione e condivisione delle informazioni all’interno del settore tra Enti, tra Enti e Autorità e tra Autorità a livello nazionale e comunitario.
  • Preparazione operativa: valuta il livello di preparazione del settore a gestire incidenti e crisi su larga scala. Gli aspetti presi in considerazione sono le pratiche adottate dagli enti per costruire e testare la preparazione, la capacità di rilevare e rispondere agli attacchi informatici, l’organizzazione di esercitazioni informatiche specifiche per il settore a livello europeo e i livelli di preparazione valutati dalle autorità di vigilanza.
  • Dimensione di criticità:
    • Impatto socio-economico di incidenti significativi: esamina l’impatto socio-economico del settore in caso di incidente significativo, prendendo come elementi di valutazione l’impronta economica nell’UE (ad esempio, i dati sull’occupazione, il numero di imprese), dove disponibili, l’impatto di incidenti precedenti e la disponibilità di alternative ai servizi del settore.
    • Dipendenza dall’ICT: valuta la dipendenza delle entità del settore dai sistemi TIC per le loro funzioni e operazioni principali, tenendo conto anche delle interdipendenze tra il settore e altri settori.
      • Criticità temporale: valuta la rapidità con cui l’impatto di un incidente significativo che colpisca un settore si ripercuota sulla società e sull’economia e/o che impatto avrebbe su altri settori tenendo conto dell’esistenza di alternative e della sensibilità temporale delle operazioni del settore.

Raccolta dati e prospettive di analisi nel modello NIS360

Raccolta delle informazioni: questa fase prevede la progettazione e la conduzione di indagini, l’esecuzione di ricerche documentali e la consultazione di esperti per raccogliere i dati qualitativi e quantitativi necessari alla valutazione.

I dati vengono ricavati attraverso tre (3) prospettive:

• Industria: input da parte di enti del settore che vengono raccolti tramite indagine.
• Autorità nazionali: input dalle Autorità di vigilanza nazionali (orizzontali e settoriali) generati attraverso sondaggi (rif. survey).
• A livello di UE: contributo da parte degli esperti di ENISA ed attraverso archivi e fonti a livello europeo.

Questa fase comprende:

• Ingegneria dell’indagine (cd. survey engineering): le indagini vengono progettate con cura per raccogliere i dati dalle parti interessate del settore e dalle autorità nazionali.
• Raccolta dei dati: i sondaggi vengono erogati mentre vengono condotte in parallelo sia consultazioni che ricerche atte a garantire la raccolta di tutti i dati rilevanti.
• Punteggio: fase che ruota intorno l’aggregazione dei dati precedentemente raccolti, la loro mappatura su indicatori definiti utilizzando un algoritmo di scoring strutturato e l’analisi post-scoring per identificare i settori che rientrano nella zona di rischio.
• Aggregazione dei dati: i dati raccolti vengono analizzati per identificare le intuizioni chiave e i punteggi vengono assegnati in base a questi risultati utilizzando un algoritmo di punteggio, per garantire la coerenza del processo di valutazione. Questa fase fornisce le basi per comprendere la maturità e la criticità dei settori valutati.
• Punteggio: l’algoritmo di attribuzione dei punteggi svolge un ruolo fondamentale nel garantire una valutazione strutturata e comparabile dei dati. Ogni dimensione di maturità e criticità viene valutata attraverso una serie di indicatori individuati durante la fase iniziale della metodologia NIS360. Per ogni indicatore, viene identificata una fonte di dati corrispondente e viene specificato un algoritmo di punteggio che definisce come i dati raccolti saranno tradotti in un punteggio. L’algoritmo assicura che il processo di attribuzione dei punteggi sia coerente tra tutti gli indicatori e tutti i settori valutati e che ogni settore sia valutato sulla base di un quadro standardizzato che consente confronti e approfondimenti sulla maturità e la criticità dei settori in esame.
• Sulla taratura: essa diventa necessaria quando si osservano variazioni significative tra le diverse fonti di valutazione:
  • Autovalutazione dell’enteValutazioni delle autorità
  • Metriche di performance settoriale osservabili a livello EU

Le variazioni derivano solitamente da due fonti principali:

1. Lacune nella prospettiva di valutazione: dovute a pregiudizi intrinseci nell’autovalutazione (prospettive diverse); lacune nella conoscenza; interpretazioni diverse dei criteri di maturità o criticità.
2. Variazioni nella comprensione del contesto: dovute a conoscenza limitata del contesto intersettoriale; comprensione incompleta delle sfide specifiche del settore; differenti livelli di competenza settoriale tra gli intervistati; diverse interpretazioni dei criteri di maturità o criticità.

Per affrontare questi problemi, l’algoritmo di assegnazione dei punteggi è stato arricchito con un meccanismo di calibrazione, che consente gli aggiustamenti necessari per garantire la comparabilità intersettoriale, nonostante le diverse prospettive di valutazione e, tenendo conto dei fattori contestuali propri di ciascun settore. L’obiettivo finale è raggiungere una condizione in cui le valutazioni iniziali siano naturalmente allineate, rendendo superfluo il processo di calibrazione.

• Analisi successiva all’assegnazione dei punteggi (cd. post-scoring analysis): per trarre conclusioni a seguito dell’assegnazione dei punteggi, ogni settore viene analizzato sia singolarmente, che in relazione agli altri, esaminando i sottosettori di ciascun settore e considerando anche il panorama complessivo, posizionando tutti i settori sul quadrante NIS360. Questa fase non si limita alla semplice classificazione dei settori in base ai livelli di maturità/criticità (bassa, moderata o alta), ma comprende anche una valutazione approfondita delle classifiche dei settori (cd. sector rankings) in termini di maturità e criticità. Le classifiche permettono di identificare il posizionamento relativo, garantendo che l’analisi non si focalizzi solo sui settori con punteggi “bassi” o “basso-moderati” in termini assoluti, ma anche su quelli che presentano performance inferiori rispetto agli altri. Questo approccio consente di comprendere in modo più dettagliato dove si trovano le principali lacune e dove sono più urgenti interventi mirati. La classificazione, infatti, rappresenta la base per una fase cruciale del processo NIS360: l’identificazione dei settori nella “zona di rischio”[2]. Questa aiuta a dare priorità ai settori che richiedono una attenzione immediata.
  Un settore rientra nella “zona di rischio” se la sua maturità si colloca nella metà inferiore e la sua criticità supera la sua maturità. A differenza dei settori nella metà superiore della classifica di maturità, i settori che ricadono nella “zona di rischio” hanno livelli di maturità che indicano lacune significative che richiedono un ulteriore sostegno per essere affrontate.

Validazione

Validazione: fase che prevede la documentazione dei risultati della valutazione e la convalida dei risultati con le parti interessate del gruppo di cooperazione NIS e degli EU-ISACs perfezionandoli se necessario.

Pubblicazione

Pubblicazione: la fase finale si concentra sulle attività relative la pubblicazione del rapporto che presenta i risultati della valutazione annuale NIS360.

Risultati per i settori più maturi nell’analisi NIS360

I settori che si distinguono per maturità complessiva e criticità sono tre:

• il settore energia, il sottosettore dell’energia elettrica;
• il settore bancario;
• le telecomunicazioni (cd. telecoms), nel settore infrastrutture digitali;

I motivi sono diversi, anzitutto sono settori che hanno beneficiato di una forte supervisione normativa, di investimenti globali, attenzione politica e solidi partenariati pubblico-privato. Chiaro che, la loro resilienza è fondamentale per la stabilità economica e sociale.

Il settore delle infrastrutture digitali, all’interno del quale rientrano come da Allegato I della direttiva (UE) 2022/2555, ad esempio i servizi internet di base, i servizi fiduciari, i centri dati e i servizi cloud, risultano essere i settori con un più elevato livello di maturità e criticità, tuttavia a causa della loro eterogeneità, della natura transfrontaliera e inclusione, all’interno del proprio ambito di applicazione, di entità precedentemente non regolamentate, devono scontare maggiori sfide.

Settori nella zona di rischio secondo il rapporto NIS360

I settori della sanità, gestione dei servizi ICT, pubblica amministrazione, spazio sono da considerarsi nella zona di rischio.

Seguendo l’ordine, dato dall’Allegato I della direttiva NIS2, il settore sanitario continua ad affrontare sfide dovute alla dipendenza da catene di fornitura complesse, sistemi legacy e dispositivi medici scarsamente protetti. Per rafforzare la resilienza nel settore sarebbe necessario sviluppare linee guida pratiche per gli acquisti, che aiutino le organizzazioni ad acquisire servizi e prodotti sicuri, linee guida che permettano di gestire le lacune nell’igiene informatica di base, quali campagne di consapevolezza del personale.

Il settore gestione dei servizi ICT deve vedere rafforzata la sua resilienza attraverso una maggiore collaborazione tra le Autorità, che permetta una vigilanza transfrontaliera armonizzata e una riduzione degli oneri per le entità soggette a NIS 2 e DORA.

Il settore pubblica amministrazione è nelle fasi iniziali del proprio percorso di maturità in ambito di cibersicurezza, carente del supporto e dell’esperienza che caratterizza settori più avanzati. Essendo un bersaglio privilegiato per l’hacktivismo e le operazioni di Stato (rif. state-nexus operations) dovrebbe rafforzare le proprie capacità di cybersecurity attraverso strumenti offerti dal Cyber Solidarity Act[3] e attraverso modelli di servizi condivisi tra gli enti di settore su aree comuni come ad esempio i digital wallet.

Il settore spazio riscontra limitate conoscenze di cybersecurity delle parti interessate e una forte dipendenza da componenti commerciali off-the-shelf, è necessaria una maggiore consapevolezza attraverso linee guida chiare per i test di pre-integrazione dei componenti e una maggiore collaborazione con altri settori come quello delle telecomunicazioni attraverso la crescente convergenza tra 5G e comunicazioni satellitari.

Sottosettori critici e percorsi di maturità NIS360

Si trovano, altresì, in zona di rischio due sottosettori quello del trasporto per vie d’acqua (settore trasporti) e quello gas (settore energia). Il primo affronta le sfide dell’OT e potrebbe beneficiare di orientamenti personalizzati per la gestione del rischio di cybersicurezza, attraverso esercitazioni a livello UE per il coordinamento e la preparazione nella gestione delle crisi settoriali e multimodali.

Il secondo deve sviluppare capacità, proprie, di preparazione e risposta agli incidenti con lo sviluppo e la sperimentazione di piani di risposta agli incidenti sia a livello nazionale che comunitario. Sarebbero utili, al riguardo, una maggiore collaborazione con i settori dell’elettricità e dell’industria manifatturiera.

L’elemento comune a tutti i settori e sottosettori, che si evince dallo studio NIS360, è la costruzione di una propria maturità al fine di soddisfare i requisiti della direttiva NIS2.

Raccomandazioni chiave del modello NIS360

La raccomandazione, data da ENISA, è sostenere una maggiore collaborazione all’interno dei settori e tra di essi, altresì, risulta importante l’aggiornamento e la riqualificazione delle Autorità nazionali che potrebbero essere cruciali per garantire un’attuazione più armonizzata della direttiva cd. NIS2, infine, prevedere esercitazioni transfrontaliere di cybersecurity potrebbero migliorare la risposta alle crisi e contribuire a ridurre gli effetti a cascata degli incidenti informatici.

Valore e applicazioni pratiche della valutazione nis360

Il rapporto offerto da ENISA ha il plauso di offrire sia una panoramica intersettoriale, che un’analisi dettagliata – settore per settore – della criticità e della maturità dei diversi ambiti valutati. Ha l’obiettivo di supportare gli attori del settore, permettendo la definizione delle priorità, identificando le aree di miglioramento e agevolando il monitoraggio dei progressi del settore nel tempo.

Attraverso le informazioni raccolte permette di evidenziare:

• I punti di forza circa le sfide che dovranno effettuare i soggetti rientranti all’interno dei diversi settori.
• Identificare le discrepanze nella percezione della maturità e fornire una visione chiara, circa l’impatto di attuazione delle politiche di cybersecurity a livello di maturità e resilienza nell’UE.

L’obiettivo del NIS360 è quello di contribuire a definire una strategia NIS dell’ENISA supportando gli Stati membri dell’UE nell’implementazione della direttiva NIS, bilanciando attività orizzontali e settoriali. Inoltre, ha l’intento di aggiornare il gruppo di lavoro sulla sicurezza delle reti e dell’informazione riguardo alle priorità e alla pianificazione futura del lavoro, supportando le Autorità a livello europeo nell’attuazione della politica di sicurezza informatica (incluse le valutazioni dei rischi e i test di stress).

Contributo strategico del framework NIS360

Infine, lo studio NIS360, assume i connotati di report con cadenza biennale, circa lo stato della sicurezza informatica nell’UE che fornisca raccomandazioni politiche, permetta miglioramenti a più livelli (UE, autorità nazionali, singole entità) adottando un approccio olistico.

Il valore è la creazione di un quadro dinamico, che valuti lo stato attuale dei settori interessati, permetta priorità alle azioni di maturità e identifichi le aree, in cui i miglioramenti mirati possono avere il massimo impatto, che guidi un processo decisionale più informato nel rafforzamento della resilienza settoriale e che consenta di monitorare nel tempo i progressi.

Note

[1] ENISA NIS360-2024, TLP GREEN, ANNEX A, The NIS3360 Methodology, February 2025.

[2] ENISA definisce zona di rischio, su di una serie di 22 classifiche di maturità, un approccio basato sulla media, per cui l’11° e il 12° rientrano in una zona grigia, ed entrambi questi due settori sono stati inclusi nella metà inferiore della classifica.

[3] Regulation (EU) 2025/38 of the European Parliament and of the Council of 19 December 2024 laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cyber threats and incidents and amending Regulation (EU) 2021/694 (Cyber Solidarity Act)