In un contesto in cui i cyberattacchi sono sempre più gravi e numerosi, gli investimenti in cybersicurezza assumono un’importanza significativa in quanto rappresentano la prima risposta, in termini preventivi, alle esigenze che incombono su imprese e pubbliche amministrazioni e che derivano dalle nuove dinamiche del cyberspazio.
Nell’ultima versione del report “NIS Investments”, pubblicato dall’ENISA a novembre 2024, vengono analizzate le attività di impiego economico per la sicurezza informatica a livello europeo, intervistando esponenti di 1.350 organizzazioni residenti in tutti e 27 gli Stati Membri (50 per Paese), appartenenti agli 11 “settori ad alta criticità” sottoposti alla direttiva NIS2 (a cui è stato aggiunto il manifatturiero), ossia: 1) Energia; 2) Trasporti; 3) Bancario; 4) Infrastrutture dei mercati finanziari; 5) Salute; 6) Acqua potabile; 7) Acque reflue; 8) Infrastrutture digitali; 9) Gestione dei servizi ICT; 10) Pubblica Amministrazione; 11) Spazio.
LO STATO DEGLI INVESTIMENTI IN CYBERSICUREZZA
Il rapporto appena menzionato mostra che le organizzazioni francesi e tedesche sono quelle che spendono di più in valore mediano (€6 milioni), seguite da quelle italiane e spagnole (€5 milioni). Tali investimenti rappresentano nel caso della Francia e della Spagna rispettivamente il 7,2% e il 7,1% del budget IT, mentre per l’Italia corrispondono al 9,6%. L’Estonia è lo Stato Membro in cui le organizzazioni vedono la percentuale più alta del proprio budget IT allocata a favore della cybersicurezza (10,3%).
Volgendo uno sguardo ai singoli settori, si può osservare come le aziende bancarie sono le più propense a investire in cybersicurezza, avendo riportato un valore mediano di €4 milioni, pari al 8,2% del budget IT. Seguono quelle del settore energetico con €2,5 milioni (6,7% del budget IT) e la Pubblica Amministrazione con €2 milioni (8,3% del budget IT). Agli ultimi posti vi sono le imprese che operano nel comparto spaziale (€0,6 milioni – 10,3% del budget IT), le acque reflue (€0,5 milioni – 8,5% del budget IT) e le infrastrutture del mercato finanziario (€0,3 milioni – 11,2% del budget IT).
In tema, appare interessante osservare la quota di Full-Time Equivalent (FTE – Equivalente a Tempo Pieno) che si occupano di cybersicurezza nei soggetti sottoposti alla disciplina NIS2. Ebbene, la Francia primeggia, mostrando un valore mediano di 24 FTE, seguita dalla Spagna (22) e dalla Germania (20). Se si parametra la quota di personale a tempo pieno in cybersicurezza al totale di FTE IT emerge che sono Cipro, a pari merito con Malta, ed Estonia ad avere la percentuale più elevata, ossia rispettivamente il 15,5% e il 13,3%. Irlanda, Francia e Germania si collocano in coda, con una quota di FTE impiegati in cybersicurezza ordinatamente del 10%, del 8,9% e del 8,3% rispetto agli FTE in ambito IT.
Il numero mediano più elevato di FTE in cybersicurezza si registra in capo alle imprese bancarie (20 FTE; 12% di FTE IT) e sanitarie (13 FTE; 10% di FTE IT). Seguono i soggetti del comparto energetico (5 FTE; 8,1% di FTE IT), che presentano valori simili rispetto a PA (5 FTE; 9,6% di FTE IT), manifatturiero (5 FTE; 9,5% di FTE IT) e trasporti (5 FTE; 8,8% di FTE IT). Diversamente, le imprese del settore spaziale (3), delle acque reflue (2) e le infrastrutture del mercato finanziario (2) detengono le quote più basse. Tuttavia, queste ultime si posizionano prime in classifica se si considera il personale a tempo pieno in cybersicurezza con quello IT (17,8%).
LA PREPARAZIONE ALLA NIS2: AWARENESS E BUDGET
L’edizione di quest’anno del report di ENISA contiene anche un utile spaccato sulla preparazione dei soggetti intervistati rispetto all’implementazione della direttiva NIS2, che è divenuta applicabile lo scorso 18 ottobre in tutti gli Stati Membri. Tuttavia, al 28 novembre, solo 4 Paesi hanno recepito questo importante atto normativo nei termini previsti (Italia, Belgio, Croazia e Lituania). Per tutti gli altri il ritardo si è tradotto nell’apertura di una procedura di infrazione da parte della Commissione europea.
In questo scenario, il livello di awareness sulla NIS2 e sui rispettivi adempimenti varia significativamente tra gli Stati Membri e i settori. Più nel dettaglio, si passa dal 100% di Francia e Finlandia al 82% della Croazia e al 80% di Malta. L’Italia si colloca in quinta posizione con il 96% di awareness. Rispetto ai settori, la disomogeneità è particolarmente evidente. Difatti, se per un verso 7 settori su 12 raggiungono un valore pari o prossimo al 100%, lo spazio si colloca in ultima posizione col 57%, preceduto da acque reflue (60%), manifatturiero (62%) e PA (73%), evidenziando un urgente bisogno di aumentare la consapevolezza in questi settori.
Quanto detto vale ancor di più se si volge uno sguardo alle variazioni di budget programmate per far fronte alla compliance richiesta dalla disciplina NIS2. Infatti, considerando tutte le organizzazioni intervistate, oltre il 38% ha dichiarato di non aver bisogno di ulteriore budget per implementare le disposizioni della direttiva e un ulteriore 14% non ritiene possibile procedere a un incremento delle risorse. In particolare, come si può notare dal grafico successivo, i soggetti italiani fanno registrare un preoccupante 58% alla voce “Non c’è bisogno di un incremento” che, se sommato con il 6% per “Non c’è possibilità di incrementarlo” e a una quota complessiva del 33% rispetto a un incremento permanente del budget/investimento una tantum, restituisce una situazione quantomeno preoccupante con riferimento al nostro Paese.
Rispetto ai settori, appare incoraggiante che il comparto spaziale raggiunga l’80% se si considerano congiuntamente gli incrementi permanenti al budget e gli investimenti una tantum. Seguono le infrastrutture del mercato finanziario (63%), le PA (56%) e le infrastrutture digitali (54%). In coda (40%), si posizionano i settori bancario, energetico e acque reflue. Tuttavia, per i primi due è opportuno evidenziare che – come emerge anche dai dati sopracitati – si tratta di comparti decisamente virtuosi in tema di investimenti in cybersicurezza, per cui tali valori non dovrebbero destare particolare preoccupazione, a differenza del segmento delle acque reflue che si colloca in penultima posizione con riguardo alla spesa mediana in sicurezza informatica.
LA PREPARAZIONE ALLA NIS2: LEADERSHIP E TERZE PARTI
Altro tema assolutamente centrale è rappresentato dal coinvolgimento degli organi di gestione dei soggetti NIS2 nell’approvazione delle misure di gestione dei rischi di cybersicurezza, dovendo altresì supervisionarne la conseguente attuazione e potendo essere destinatari di pesanti sanzioni in caso di violazioni. Per adempiere a queste nuove responsabilità viene previsto che i componenti di tali organi seguano una formazione specifica in materia di sicurezza informatica. Sul punto, dai dati ENISA emerge che l’Italia è lo Stato Membro più virtuoso, in quanto il 70% delle organizzazioni intervistate a livello nazionale coinvolge i proprio vertici nella formazione in cybersicurezza. Seguono poi Danimarca e Germania col 68%, mentre alle ultime posizioni si trovano Ungheria (35%), Lettonia (34%) e Cipro (30%).
Con riguardo ai settori, gestione dei servizi ICT – che ricomprende i segmenti B2B dei fornitori di servizi gestiti e dei servizi di sicurezza gestiti – è quello che performa meglio (75%), seguito da bancario (69%), salute (56%) e spazio (55%). Chiudono la classifica, la PA (30%), il manifatturiero (22%) e – ancora una volta – le acque reflue (13%). Tali dati evidenziano come sia decisamente prioritario promuovere una maggiore sensibilizzazione sui temi della cybersicurezza, in particolare in settori critici come la PA e il manifatturiero, poiché dal primo dipendono molti servizi essenziali per i cittadini e il secondo costituisce una fetta rilevante del tessuto imprenditoriale a livello europeo e nazionale.
Rispetto all’approvazione delle misure di gestione dei rischi cyber, anche in questo caso l’Italia si posiziona tra i pri