In uno scenario in cui le imprese sono sotto pressione tra adempimenti normativi e carenza di competenze (interne e sul mercato del lavoro) e i cyberattacchi sono sempre più gravi e numerosi, gli investimenti in cybersicurezza assumono un’importanza piuttosto significativa, rappresentando la prima risposta, in termini preventivi, alle esigenze di resilienza e aderenza al quadro regolatorio che incombono su imprese e pubbliche amministrazioni.
Nell’ultima versione del report “NIS Investments”, pubblicato dall’ENISA a dicembre 2025, vengono analizzate le attività di impiego economico per la cybersicurezza a livello europeo, intervistando esponenti di 1.080 organizzazioni – pubbliche e private – residenti in tutti e 27 gli Stati Membri e appartenenti agli 11 “settori ad alta criticità” sottoposti alla NIS2, ossia: 1) Energia; 2) Trasporti; 3) Bancario; 4) Infrastrutture dei mercati finanziari; 5) Salute; 6) Acqua potabile; 7) Acque reflue; 8) Infrastrutture digitali; 9) Gestione dei servizi ICT; 10) Pubblica Amministrazione; 11) Spazio. Larga parte del campione è rappresentato da grandi imprese (83%), a cui si aggiunge un ulteriore 17% di PMI.
GLI INVESTIMENTI IN CYBERSICUREZZA: TREND E STATO DELL’ARTE
Innanzitutto, il report appena menzionato mostra che la spesa complessiva in cybersecurity nei settori NIS2 “ad alta criticità” è aumentata sensibilmente negli ultimi anni (dopo il picco del 2020), sia se si guarda al valore medio, sia a quello mediano. Allo stesso tempo, è opportuno evidenziare come vi sia un ampio divario tra questi due valori. Ciò segnala una forte asimmetria: un numero più contenuto di soggetti alloca importanti risorse alla cybersicurezza, mentre una porzione rilevante si mantiene su volumi decisamente inferiori.
Una dinamica simile si osserva per le risorse umane dedicate. Infatti, guardando al personale addetto specificamente a mansioni correlate alla cybersecurity, il numero medio di equivalenti a tempo pieno (FTE – Full Time Equivalent) è leggermente diminuito negli ultimi anni, mentre la mediana è aumentata sensibilmente, indicando che la maggior parte delle organizzazioni ha dimensioni dei team sostanzialmente stabili.
Le organizzazioni del campione considerato da ENISA assegnano una quota intorno al 9% del budget IT alla cybersecurity, con valori simili tra media e mediana, tra l’altro sostanzialmente stabili rispetto allo scorso anno e in netta crescita se si guarda agli ultimi quattro. Ciò riflette una situazione in cui la maggior parte delle organizzazioni ha mantenuto o aumentato leggermente i propri budget, il che tende a indicare una prioritizzazione strutturale rispetto al tema cyber, coerentemente con l’aumento di adempimenti normativi e minacce.
In questo contesto, il 70% delle organizzazioni intervistate ha identificato la compliance normativa (NIS2, CRA, DORA) come il principale motore dei propri investimenti in cybersecurity nell’ultimo anno. Ciò sottolinea che l’allineamento ai requisiti legali e normativi è stato il fattore chiave che ha influenzato le decisioni di spesa sia nel settore pubblico che in quello privato. Segue – in misura comunque rilevante – la mitigazione del rischio e la prevenzione del danno, che può configurarsi anche in termini reputazionali e d’immagine (42%), così come la sicurezza della supply chain (29%), la quale rappresenta uno dei principali elementi di novità della NIS2 rispetto alla prima versione del 2016. Allo stesso tempo, è opportuno evidenziare come solo un mero 7% abbia indicato un input dai vertici tra i driver degli investimenti in cybersecurity, nonostante il loro ruolo sia una novità altrettanto importante apportata dal framework NIS2.
Guardando al futuro, è interessante notare come i risultati attesi dagli investimenti in cybersecurity siano, condivisibilmente, più spostati sul piano operativo. Le priorità più selezionate riguardano l’implementazione o comunque l’upgrade delle tecnologie e degli strumenti cyber (47%), seguita dal rafforzamento della cyber resilienza (34%) e dall’ampliamento dei programmi di formazione e awareness del personale (33%). Naturalmente, pur trattandosi di risultati auspicati che si basano anche sul budget che si sta investendo (o si programma di investire) in questo momento, l’impatto effettivo andrà monitorato adeguatamente nel tempo.
Parallelamente, è utile sottolineare che la compliance normativa raggiunge un mero 24% in questo caso, mentre tocca 70 punti percentuali nel grafico precedente. Ciò sembra indicare chiaramente che le organizzazioni sottoposte alla NIS2 nell’UE mirano a rendere la sicurezza misurabile e sostenibile – in termini di processi, persone e resilienza – più che guardare (prioritariamente) alla compliance, che – se sorpassa certi limiti – può far intendere la cybersicurezza come un ostacolo alla digitalizzazione e all’innovazione, quando dovrebbe essere esattamente l’opposto.
L’IMPLEMENTAZIONE DELLA NIS2 IN EUROPA: LE SFIDE IN CORSO
In un contesto generale che vede avanzare il processo di digitalizzazione e, conseguentemente, accrescere i rischi legati alla cybersicurezza, la NIS2 costituisce la stella polare della security in Europa. Accanto a quest’ultima, la costellazione europea è illuminata da moltissimi altri atti normativi (CER, CSA, CRA, DORA, CSoA) che pongono stringenti obblighi (in primis di notifica degli incidenti) ed importanti responsabilità, determinando un quadro ad elevata complessità che certamente pone qualche difficoltà soprattutto alle PMI, notoriamente meno attrezzate in termini di competenze e risorse finanziarie da destinare alla cyber.
Ebbene, come emerge dal report ENISA, sebbene la regolamentazione stia facendo la differenza – essendo tra i principali driver attualmente per garantire maggiori investimenti in cybersecurity – l’implementazione, in particolare della NIS2, rimane un tema assai rilevante per le organizzazioni. Le aree per le quali si riscontrano maggiori difficoltà riguardano anzitutto la gestione delle vulnerabilità e delle patch di sicurezza, opzione selezionata dal 50% del campione, seguita immediatamente dalla garanzia della continuità operativa (49%) e dalla gestione dei rischi derivanti dalla supply chain (37%). Fa ben sperare che l’opzione meno selezionata attenga al rilevamento delle minacce e alla gestione degli incidenti, in quanto si tratta di due pilastri della disciplina NIS2, su cui si è lavorato intensamente anche a livello nazionale attraverso il ruolo guida dell’ACN.
Questi dati forniscono, quindi, un segnale chiaro: le autorità nazionali di cybersicurezza, insieme alle autorità di settore (in Italia, i Ministeri), devono incrementare il supporto verso i soggetti NIS2 affinché possano affrontare adeguatamente questioni operative complessive. L’obiettivo ultimo, infatti, è quello di rafforzare la postura di cybersicurezza, sia a livello nazionale, quanto sul piano eurounitario.
Più nel dettaglio, gli ostacoli riscontrati dalle organizzazioni sottoposte alla NIS2 variano – ovviamente – anche in base alla loro dimensione. Difatti, mentre alle grandi imprese pesano di più le difficoltà operative derivanti dalla presenza di sistemi legacy (29%) e la complessità dei requisiti normativi nei diversi Stati Membri in cui sono presenti (25%), per le PMI le barriere principali si rivedono nella mancanza di personale qualificato (27%) e in un budget insufficiente per affrontare queste sfide (27%). Pertanto, è evidente come la medesima disciplina “colpisce” naturalmente in maniera diversa, da cui deriva la necessità di garantire una risposta differenziata.
CONCLUSIONI
Dai dati sin qui esposti emerge innanzitutto che gli investimenti in cybersicurezza nei settori “ad alta criticità” NIS2 stanno consolidandosi su livelli elevati: la quota di budget IT destinata alla cyber si attesta intorno al 9% e risulta in netta crescita rispetto al passato. Tuttavia, la distanza persistente tra valori medi e mediani (sia per spesa, sia per FTE) segnala un’Europa a due velocità: poche organizzazioni, tipicamente più grandi e strutturate, riescono a sostenere programmi completi e continuativi, mentre una parte ampia del tessuto economico tende a mantenersi su livelli più contenuti con il rischio di rimanere esposta proprio nel momento in cui la superficie d’attacco aumenta e la disciplina regolatoria si fa più stringente.
In questo quadro, la regolazione sta chiaramente facendo la differenza: la compliance alla normativa settoriale (es: NIS2, CRA, DORA) è indicata come principale motore degli investimenti nell’ultimo anno, ma i risultati attesi guardano soprattutto all’operatività (tecnologie, resilienza, formazione, automazione). Il messaggio è assolutamente importante: la conformità è un acceleratore, ma non può diventare l’obiettivo finale. Diversamente, la cybersicurezza rischia di essere percepita come un freno rigido alla trasformazione digitale; al contrario, dovrebbe rappresentarne la condizione abilitante, rendendo l’innovazione più robusta e sostenibile nel tempo.
Resta poi centrale la sfida dell’implementazione della NIS2, in quanto la stessa disciplina impatta in modo diverso sulle imprese. Ne deriva la necessità di un supporto a geometria variabile da parte delle autorità e dei decisori: strumenti e linee guida pratiche, modelli standardizzati e percorsi di accompagnamento per le PMI; iniziative di armonizzazione e semplificazione applicativa (anche cross-border) e incentivi alla modernizzazione tecnologica per le realtà più grandi.
In parallelo, va rafforzata la leadership: il fatto che gli input dei vertici pesino ancora poco tra i driver degli investimenti è un segnale da non sottovalutare, considerando che la NIS2 porta responsabilità dirette e richiede una governance chiara ed efficace, per cui non basta “solo” allocare budget, è fondamentale anche il come e il perché. In definitiva, la traiettoria che emerge dai dati ENISA appare positiva, ma la vera misura del successo sarà la capacità di trasformare la spinta regolatoria in resilienza operativa diffusa, riducendo il divario tra realtà più strutturate e mature e organizzazioni in affanno.
