ENISA ha pubblicato il documento “NIS 360“, che valuta la maturità e la criticità della sicurezza informatica nei settori ad alta criticità di cui alla Direttiva NIS 2, fornendo una panoramica comparativa approfondita di ciascun settore.
Il NIS360 è progettato per aiutare gli Stati membri e le autorità nazionali a individuare le lacune e a dare priorità alle risorse, e si basa su dati provenienti da autorità nazionali, sui dati delle aziende dei settori interessati e sulle informazioni provenienti da fonti a livello europeo, come Eurostat.
I risultati principali dell’analisi includono:
- Tre settori si distinguono dagli altri in termini di maturità complessiva: elettricità, telecomunicazioni e bancario; nel corso del tempo, questi settori hanno beneficiato di una significativa supervisione normativa, di investimenti globali, di attenzione politica e di un solido sistema di partenariati pubblico-privato; la loro resilienza è fondamentale per stabilità economica e sociale
- Le infrastrutture digitali, tra cui i servizi internet di base, i servizi fiduciari, i centri dati e i servizi cloud, sono tra i settori di livello più elevato in termini di maturità, ma devono ancora affrontare delle sfide a causa della loro intrinseca eterogeneità, della natura transfrontaliera e dell’inclusione di entità precedentemente non regolamentate
- Quattro settori e due sottosettori si trovano nella “zona a rischio”: gestione dei servizi ICT, spazio, pubblica amministrazione, marittimo, salute e gas; questi settori necessitano di un’attenzione particolare per poter affrontare efficacemente le sfide aggiuntive poste dai rispettivi livelli di criticità
- Il settore della gestione dei servizi ICT si trova ad affrontare sfide fondamentali, a causa della sua natura transfrontaliera: il rafforzamento della sua resilienza è fondamentale e richiede una stretta collaborazione tra le autorità, oneri ridotti per le entità soggette a NIS2 e DORA e una vigilanza transfrontaliera armonizzata
- Il settore spaziale si trova ad affrontare sfide dovute alle limitate conoscenze in materia di cybersecurity delle parti interessate e alla forte dipendenza da prodotti commerciali off-the-shelf: per migliorare la resilienza del settore è necessaria una migliore sicurezza informatica, linee guida chiare per i test di pre-integrazione dei componenti e una maggiore collaborazione con altri settori, ad esempio quello delle telecomunicazioni, a causa della crescente convergenza delle comunicazioni 5G e satellitari
- Il settore della pubblica amministrazione è ancora agli inizi dello sviluppo della propria maturità in materia di sicurezza informatica, non dispone del supporto e dell’esperienza che si riscontrano nei settori più maturi; essendo un obiettivo primario per l’hacktivism, dovrebbe puntare a rafforzare le proprie capacità di cybersecurity sfruttando il Cyber Solidarity Act dell’UE e ad esplorare la condivisione delle risorse tra le entità del settore su aree comuni, come i portafogli digitali
- Il settore marittimo continua ad affrontare le sfide dell’OT e potrebbe trarre beneficio da una guida alla gestione dei rischi di cybersecurity personalizzata orientamenti personalizzati per la gestione del rischio di cybersecurity che si concentrino sulla minimizzazione dei rischi specifici del settore, nonché di un esercitazioni di cybersecurity a livello UE, per migliorare il coordinamento e la preparazione nella gestione delle crisi
- Il settore sanitario continua a dover affrontare sfide come la dipendenza da catene di approvvigionamento complesse, sistemi legacy e dispositivi medici poco sicuri; il rafforzamento della resilienza del settore in generale richiede lo sviluppo di linee guida pratiche per gli acquisti che aiutino le organizzazioni ad acquisire servizi e prodotti sicuri, linee guida personalizzate per aiutare a superare i problemi comuni, ad esempio le lacune nell’igiene informatica di base, e campagne di sensibilizzazione del personale
- Il settore del gas deve continuare a lavorare per sviluppare le proprie capacità di preparazione e risposta agli incidenti attraverso lo sviluppo e la verifica di piani di risposta agli incidenti a livello nazionale ed europeo, ma anche attraverso una maggiore collaborazione con il settore elettrico e della produzione.
Complessivamente, tutti i settori coperti dal NIS360 devono affrontare sfide per sviluppare la propria maturità e soddisfare i requisiti del NIS2: per sostenerli meglio, si raccomanda una maggiore collaborazione all’interno dei settori e tra di essi, e una guida specifica per settore sull’attuazione delle misure di gestione del rischio informatico.
L’aggiornamento e la riqualificazione delle autorità nazionali potrebbe essere fondamentale per un’attuazione più armonizzata della NIS2, mentre le esercitazioni transfrontaliere di cybersecurity potrebbero migliorare la risposta alle crisi e contribuire a mitigare gli effetti a cascata degli incidenti informatici.
