L’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) ha pubblicato il documento NIS360 2024, un nuovo strumento di valutazione della maturità e della criticità dei settori considerati di alta rilevanza ai sensi della Direttiva NIS2. Il rapporto fornisce una panoramica comparativa e un’analisi dettagliata di ciascun settore, supportando gli Stati membri e le autorità nazionali nell’identificazione delle lacune e nella definizione delle priorità di intervento.
Settori con maggiore maturità e criticità
Secondo il rapporto, tre settori emergono come i più maturi e critici:
- Elettricità
- Telecomunicazioni
- Bancario
Questi settori beneficiano di forte regolamentazione, investimenti globali e partnership pubblico-private, garantendo una resilienza superiore e un impatto diretto sulla stabilità economica e sociale.
Le infrastrutture digitali, inclusi servizi Internet essenziali, cloud e data center, si posizionano abbastanza in alto in termini di maturità, ma affrontano sfide legate alla loro eterogeneità e natura transfrontaliera.
Settori a rischio (“Risk Zone”)
Il rapporto identifica sei settori con criticità elevate e livelli di maturità inferiori, che necessitano di attenzione prioritaria:
- ICT Service Management
- Spazio
- Pubblica Amministrazione
- Marittimo
- Sanitario
- Gas
Questi settori presentano vulnerabilità specifiche:
- Il settore ICT Service Management è esposto a minacce elevate a causa della sua natura transfrontaliera e della presenza di entità soggette sia a NIS2 che a DORA.
- Il settore spaziale soffre di una scarsa consapevolezza della cybersecurity e un’eccessiva dipendenza da componenti commerciali di largo consumo.
- Le pubbliche amministrazioni sono indietro in termini di maturità, risultando un bersaglio primario per attacchi hacker e operazioni di stato-nexus (attacchi cyber riconducibili ad uno Stato).
- Il settore marittimo presenta una forte dipendenza dai sistemi OT (Operational Technology), come SCADA, ICS e sistemi di navigazione automatizzati, fondamentali per il controllo delle operazioni fisiche delle navi e delle infrastrutture portuali. Molti di questi sistemi sono obsoleti e non progettati con la cybersecurity in mente, rendendoli vulnerabili ad attacchi informatici che potrebbero compromettere operazioni critiche come la gestione del carico, la sicurezza della navigazione e il controllo degli accessi nei porti.
- Il settore sanitario, espanso sotto NIS2, affronta sfide come supply chain complesse, sistemi legacy e dispositivi medici scarsamente protetti.
- Il settore del gas deve migliorare la capacità di risposta agli incidenti e rafforzare la cooperazione con elettricità e manifattura.
Vorremmo adesso proporre dei focus specifici su tre ambiti che impattano su alcune “nostre organizzazioni”: trasporti stradali, marittimi e ICT Service Management.
trasporti stradali
Il settore trasporti stradali è stato valutato nel NIS360 come il meno maturo tra i settori del trasporto, con un livello di digitalizzazione ancora limitato rispetto ad altri ambiti (come l’aviazione o il ferroviario). Tuttavia, con la crescente implementazione di sistemi di trasporto intelligenti (ITS) e tecnologie digitali, la sua esposizione alle minacce informatiche è destinata ad aumentare.
Criticità principali
Bassa digitalizzazione e scarsa maturità cybersecurity
Il settore stradale è quello meno maturo dal punto di vista della sicurezza informatica rispetto ad altri sottosettori dei trasporti (aereo, ferroviario, marittimo). La cybersecurity non è ancora una priorità strutturata nelle autorità di gestione delle strade e negli operatori dei sistemi di trasporto intelligenti (ITS).
Adozione parziale di tecnologie ITS
I sistemi ITS (Intelligent Transport Systems) sono in espansione, con il loro impiego nella gestione del traffico e nella fornitura di informazioni in tempo reale. Tuttavia, l’adozione di misure di sicurezza integrate in questi sistemi è ancora limitata.
Minore impatto socio-economico diretto rispetto ad altri settori
Nonostante l’alta dipendenza della popolazione dai trasporti su strada, gli incidenti informatici hanno un impatto meno immediato rispetto a quelli nei settori ferroviario, aereo o marittimo, grazie alla maggiore ridondanza della rete stradale.
Tuttavia, con l’aumento della digitalizzazione (es. veicoli autonomi, gestione del traffico basata su AI), la dipendenza da infrastrutture ICT crescerà e, con essa, le vulnerabilità.
Collaborazione e supervisione limitate
A differenza del trasporto aereo e ferroviario, il settore stradale non ha una forte governance centralizzata a livello UE per la cybersecurity. Manca quindi una supervisione equivalente a quella di altri settori, limitando lo sviluppo di standard specifici per la protezione delle infrastrutture stradali.
trasporti marittimi
Nel settore dei trasporti marittimi, il rapporto NIS360 evidenzia diverse criticità e necessità di intervento:
Alta criticità socio-economica
Il settore marittimo ha un impatto economico significativo in caso di attacco informatico. Il 67% del trasporto merci dell’UE dipende dal trasporto marittimo, quindi eventuali attacchi che colpiscano porti, sistemi di gestione del traffico marittimo o flotte commerciali potrebbero causare ritardi logistici, incremento dei costi e disagi globali nelle supply chain.
Elevata criticità temporale
I cyber attacchi ai porti o ai sistemi di gestione del traffico marittimo possono avere effetti immediati e a cascata, ritardando operazioni critiche come lo scarico di merci deperibili o di materie prime essenziali per altri settori (es. energia e manifattura).
Minacce emergenti: GPS Jamming e AIS Spoofing
Il settore marittimo è particolarmente esposto a minacce quali il jamming GPS (che disturba il posizionamento satellitare) e lo spoofing dell’AIS (che manipola i segnali di identificazione delle navi), mettendo a rischio la sicurezza della navigazione e la gestione dei flussi marittimi.
ICT Service Management
Il settore ICT Service Management è stato valutato come ad alta criticità e contestualmente con un livello di maturità moderato, evidenziando diverse sfide per la sua resilienza informatica.
Criticità principali
Elevata digitalizzazione e interconnessione
Il settore include Managed Service Providers (MSP) e Managed Security Service Providers (MSSP), fondamentali per la gestione delle infrastrutture IT di molte organizzazioni, incluse quelle critiche.
Un’interruzione in questo settore potrebbe avere effetti a cascata su settori come sanità, finanza, energia e trasporti.
Minaccia ransomware e attacchi ai dati
Secondo l’ENISA Threat Landscape 2024, il settore ICT ha rappresentato il 3,2% di tutti gli attacchi informatici registrati tra luglio 2023 e giugno 2024.
Il ransomware è la minaccia predominante, con il gruppo Cl0p che ha colpito il 19,5% degli attacchi nel settore.
Bassa partecipazione alla condivisione di informazioni
Il 74% delle aziende del settore ICT non partecipa a iniziative di collaborazione o condivisione di informazioni sulle minacce, evidenziando una grave mancanza di cooperazione tra operatori.
Gestione del rischio e gap di percezione
Il 96% delle aziende del settore ha controlli approvati sulla gestione del rischio informatico, ma vi è una discrepanza tra la percezione delle aziende e la valutazione delle autorità:
Autovalutazione delle aziende: 7/10
Valutazione delle autorità: 1/10
Questo evidenzia una mancanza di consapevolezza da parte delle autorità sulla reale maturità del settore.
Criticità temporale elevata
Le interruzioni nei servizi ICT possono avere impatti immediati su più settori NIS2 critici entro poche ore.
Raccomandazioni chiave presenti nel rapporto
ENISA propone una serie di azioni per migliorare la sicurezza informatica di questi settori, tra cui:
- Miglioramento della collaborazione tra autorità di settore e a livello UE.
- Sviluppo di linee guida specifiche per settori come sanitario e marittimo.
- Test e simulazioni di attacchi per verificare la preparazione agli incidenti.
- Formazione e sensibilizzazione nei settori con bassa conoscenza della cybersecurity.
L’assessment ENISA NIS360 si configura come un prodotto strategico che aiuta l’Unione Europea a rafforzare la cybersecurity nei settori più critici, fornendo un quadro strutturato della loro maturità e delle loro vulnerabilità. Con questa prima edizione, ENISA ha posto le basi per un’analisi ricorrente e sistematica, utile sia per le autorità nazionali che per le imprese coinvolte nella sicurezza ICT.
Dai risultati emerge chiaramente che, sebbene alcuni settori abbiano già raggiunto una maturità elevata grazie a pregresse regolamentazioni consolidate e investimenti, altri si trovano ancora in una fase critica, con lacune significative che devono essere colmate al più presto. La necessità di una maggiore collaborazione transfrontaliera, linee guida settoriali più dettagliate e un rafforzamento delle capacità di risposta agli incidenti è un elemento trasversale a molti ambiti.
Guardando al futuro, NIS360 potrebbe diventare un punto di riferimento fondamentale per il monitoraggio della cybersecurity a livello europeo, consentendo di misurare i progressi nel tempo, identificare nuove minacce emergenti e affinare le strategie di mitigazione. Sarà quindi essenziale che le autorità competenti e le aziende coinvolte considerino seriamente queste raccomandazioni, investendo in misure concrete per elevare la resilienza dell’ecosistema digitale dell’UE.