Chi ha raggiunto un livello adeguato di resilienza cyber e chi no, secondo le analisi condotte dall'agenzia UE per la sicurezza cyber
Autore: f.p.
La direttiva NIS2 rappresenta un punto importante nella messa in sicurezza delle aziende che appartengono ai settori considerati oggi più critici. Per questo l'agenzia UE per la sicurezza cyber - Enisa - conduce regolarmente una analisi approfondita di quanto questi settori sono effettivamente migliorati nella gestione della cybersecurity. Lo scopo di questa analisi è soprattutto capire se permangono gap importanti di cybersecurity e come questi vadano colmati.
L'analisi condotta da Enisa si basa su un modello denominato NIS360, che considera vari indicatori di cybersecurity relativi allo stato di un mercato nel suo complesso, non della media delle imprese che vi appartengono. NIS360, più precisamente, valuta la maturità cyber di un comparto esaminando le norme che lo riguardano e la loro efficacia, la preparazione media delle aziende del settore, come sono strutturate e come operano le Authority relative, quali sono e come operano gli ecosistemi aziendali di quello specifico mercato. Il tutto ovviamente dal punto di vista della cybersecurity.
Accanto alla maturità cyber, la seconda macro-dimensione che Enisa valuta per NIS360 è il livello di criticità dello specifico mercato. Questo viene valutato a livello socio-economico, tenendo conto dell'impatto che un "malfunzionamento" - in senso lato - del settore avrebbe sulla vita quotidiana dei cittadini e delle imprese e sull'economia in generale. Enisa si sforza di valutare questo impatto non solo all'interno del singolo settore ma anche tra settori diversi, per riflettere l'interconnessione e gli effetti a cascata che si hanno tra mercati anche diversi.
Le valutazioni di Enisa incrociano la criticità dei mercati con la loro maturità cyber, entrambe valutate su una scala bassa-moderata-alta. Si definiscono così nove "aree" più o meno sensibili, ma quelle davvero da considerare sono molte meno - tre - perché nessun mercato ha una bassa maturità cyber (fortunatamente) e nemmeno una bassa criticità (purtroppo). Inoltre, anche l'area di alta maturità e moderata criticità è "disabitata". Restano quindi popolate solo l'area con maturità e criticità entrambe moderate e le due aree di alta criticità e maturità moderata o alta.
Premesso questo, quali comparti sono oggi realmente a rischio in ottica NIS2, secondo Enisa? Dei 22 mercati considerati, per fortuna, non più molti. Nove (Banking, Energia Elettrica, Telecomunicazioni, Aviazione, Finance, più i provider dei servizi di Trust, Core Internet, Cloud, Data Center) hanno una maturità cyber elevata e più che adeguata rispetto ai loro profili di rischio. Altri cinque (Gas, Trasporti su strada, Energia/Distric Heating, Energia/Idrogeno, Energia/Petrolio) hanno una maturità moderata ma comunque sufficiente rispetto alle proprie criticità. Ne restano fuori otto.
Ai margini della zona di rischio NIS2 troviamo quattro ambiti: Sanità, Trasporti Ferroviari, Acqua Potabile, Acque Reflue. Marginalmente più a rischio sono i settori Trasporti Marittimi, Pubblica Amministrazione. Decisamente più carenti sono gli ambiti Spazio, Servizi di ICT Management. Per tutti questi, Enisa offre una breve analisi della situazione cyber al momento.
Il settore Sanità resta nella fascia di maturità cyber moderata, pur registrando progressi tangibili per il rafforzamento di alcuni sotto-segmenti (ad esempio le aziende farmaceutiche) e la maggiore attenzione politica rivolta alle entità che necessitano di sostegno (ad esempio ospedali e operatori sanitari). Nel settore permangono diverse sfide: dalla crescente digitalizzazione alla dipendenza da terze parti e fornitori, dalla prevalenza di sistemi legacy alle poche risorse a disposizione, sino a una generica bassa preparazione cyber.
Per i comparti dei trasporti marittimi e ferroviari Enisa fa le medesime valutazioni, dato che i due settori hanno molto in comune lato cyber. Sono contesti intrinsecamente complessi, con numerosi soggetti (gestori di infrastrutture, fornitori di servizi di trasporto, fornitori di tecnologia) che interagiscono strettamente tra loro, in supply chain molto articolate che per questo hanno una elevata esposizione complessiva alle minacce informatiche. Che peraltro aumentano, perché i trasporti hanno un ruolo sempre più strategico geopoliticamente.
I settori dell’acqua potabile e delle acque reflue rimangono tra i meno maturi lato cyber, con il primo che performa leggermente meglio del secondo perché è stato incluso prima nel campo di applicazione della legislazione in materia di sicurezza informatica. A parte questo dettaglio, entrambi i settori hanno ancora molta strada da fare per gestire i rischi e gli attacchi informatici in modo più efficace e uniforme, poiché gli approcci attualmente adottati sono in gran parte reattivi e ad hoc. Non aiuta che gli operatori di questi settori siano molto diversi fra loro, abbiano poche ricorse in campo cyber e soffrano la prevalenza di sistemi legacy.
Da parte sua, la PA si trova ancora in una fase iniziale di maturità cyber, con una gestione dei rischi reattiva e una collaborazione limitata tra i vari enti. Il problema principale è che la PA è fatta di realtà (amministrazioni centrali, regionali e locali) di dimensioni molto diverse, con vincoli altrettanto diversi in termini di risorse e competenze. È molto difficile, in questo scenario, fare crescere organicamente e con metodo la resilienza cyber.
Può sembrare strano che il settore Spazio, così apparentemente evoluto, sia ancora nella parte bassa del livello di maturità cyber moderata. Eppure. Questo deriva soprattutto dal fatto che alcune sue entità rientrano nell’ambito di applicazione della direttiva NIS2 mentre altre no, e alcune hanno scelto di adottare gli standard di sicurezza informatica applicabili, mentre altre no. Ne deriva uno scenario cyber disomogeno e complesso, con in più le complessità tecnologiche e organizzative di una transizione in corso verso infrastrutture cloud e software-defined. Non bene, in particolare per il ruolo crescente che il settore Spazio avrà nel sostenere l’autonomia strategica dell’Europa.
Di particolare interesse per noi, il comparto dei servizi di ICT management resta ad un moderato livello di maturità cyber e, secondo Enisa, sta appena iniziando a sperimentare le implicazioni pratiche derivanti dall’essere soggetto alla direttiva NIS2. E l’ampia diversità dei soggetti che operano nel settore comporta che ciascuno di essi debba affrontare sfide specifiche quando si tratta di allinearsi alle aspettative in materia di sicurezza. Sfide che possono essere anche di base (gestione delle patch, segmentazione delle reti, sicurezza dei dati) e che per chi opera a livello internazionale o transfrontaliero sono aggravate dalla necessità di coordinare i processi di risposta e ripristino tra contesti giuridici e giurisdizioni diverse.
C'è insomma parecchio da fare in ottica NIS2, e questo preoccupa non solo il settore stesso, ma anche gli altri mercati che fanno affidamento su MSP e MSSP e sui loro prodotti e servizi.