Direttiva NIS: all’Italia il primato per gli investimenti, ma c’è ancora da lavorare - Cybersecurity360

Primato per l’Italia rispetto all’Unione Europa in merito agli investimenti destinati all’attuazione della direttiva NIS. È quanto emerge dal recente rapporto di ENISA, Agenzia europea per la cybersicurezza, incentrato proprio sugli investimenti dedicati all’applicazione della direttiva.

Ecco i risultati e le aree su cui occorre intervenire nel mio articolo per Cybersecurity360

Direttiva NIS

Italia ha investito 140 mila euro attraverso i suoi operatori e fornitori di servizi per adeguarsi alla direttiva NIS, la direttiva sulla sicurezza delle reti e dei sistemi informativi, che ha rappresentato il primo atto legislativo europeo per la cyber sicurezza. La media europea è di 98 mila euro, un bel distacco che ha portato il nostro Paese a porsi al primo posto.

 

Investimenti cyber in UE

I dati sono stati riportati da ENISA, l’Agenzia europea per la cyber sicurezza, nell’ultimo rapporto dedicato alle risorse impiegate per cyber security e adeguamenti ai requisiti normativi NIS, appunto il “NIS Investments Reports”.

Il report ha analizzato le somme destinate alla cyber security da operatori dei servizi essenziali, OES: siamo quindi nel settore energia, trasporti, banche, infrastrutture per il mercato finanziario, sanità, distribuzione di acqua potabile, infrastruttura digitale; e da fornitori di servizi digitali, DSP, ossia i marketplace online, motori di ricerca online, servizi di cloud computing, di tutti i 27 stati membro, soggetti tutti obbligati a seguire la direttiva NIS.

Dopo l’Italia, la Francia ha registrato 115 mila euro, mentre Polonia e Austria 100 mila.

Delle 947 organizzazioni che rientrano in OES e DSP europei, l’82% si è attenuto alla direttiva NIS, mentre il 67% necessita di ulteriori implementazioni e compliance, ma non ha le risorse finanziarie sufficienti.

Secondo la direttiva NIS, i campi a cui bisogna destinare gli investimenti prioritari sono così suddivisi:

  • il 20% deve andare alla gestione delle vulnerabilità e security analytics;
  • il 18% a risk and compliance;
  • il 16% alla sicurezza di rete, senza tralasciare la gestione degli accessi e la sicurezza di dati, terminali e applicazioni.

Se i settori che includono aziende di fornitura e distribuzione di acqua, le infrastrutture per i mercati finanziari e le infrastrutture digitali rappresentano i meno dispendiosi, energia e settore bancario sono quelli che dall’altra parte spendono di più.

È da considerare, in questo senso, che per esempio, insieme al settore bancario, anche quello sanitario risente di costi molto elevati per i cyber attacchi, attestandosi su una media che oscilla tra i 213 e i 300 mila euro, mentre gli altri settori riescono a rimanere sui 100 mila.

 

I risultati del rapporto ENISA

Secondo il rapporto ENISA, nel complesso il 48,9 % delle organizzazioni intervistate riconosce un impatto molto significativo o significativo della direttiva NIS sulla sicurezza delle informazioni. Vediamo alcuni numeri tra i più efficaci per capire il quadro generale.

Il 67% delle OES/DSP ha richiesto un bilancio dedicato per l’attuazione della direttiva NIS, con un valore medio di 40 mila euro o del 5,1 % dei bilanci complessivi per la sicurezza delle informazioni, invece, circa il 50% ha richiesto una media di quattro dipendenti a tempo pieno aggiuntivi per l’attuazione, tramite assunzione o esternalizzazione.

Il costo diretto stimato medio di un grave incidente di sicurezza è di 100 mila euro, con i settori bancario e sanitario che registrano i costi più elevati, rispettivamente di 300 mila euro e 213 mila. Incidono particolarmente su questi numeri i costi relativi alle perdite di entrate e al recupero dei dati o alla gestione della continuità operativa. Il 9 % delle organizzazioni ha subito un grave incidente di sicurezza che ha avuto un impatto sulle parti interessate esterne.

Nel 28% degli OES/DSP intervistati, il Chief Information Officer (CIO) o il Chief Technology Officer (CTO) è responsabile della sicurezza delle informazioni, mentre in oltre il 50% dei casi, il responsabile della sicurezza delle informazioni riferisce direttamente all’amministratore delegato (CEO), al consiglio di amministrazione o al presidente.

Oltre il 50% degli OES/DSP intervistati non possiede alcuna forma di assicurazione informatica, ma circa il 25% prevede di ottenere una copertura.

Oltre il 50 % degli OES/DSP intervistati certifica i propri sistemi e processi.

La maggior parte degli OES/DSP intervistati riferisce che i loro controlli di sicurezza delle informazioni soddisfano o superano gli standard del settore, con solo il 5% che dichiara di non soddisfarli.

Da questi risultati, il rapporto deduce una forte correlazione tra un’auto-percezione molto positiva di sviluppo della sicurezza informatica e l’esistenza di certificazioni di sicurezza informatica per processi, persone e prodotti all’interno di un’organizzazione.

 

Le aree su cui occorre ancora intervenire

Il rapporto si conclude evidenziando che “a livello globale i budget per la sicurezza delle informazioni sembrano essere in aumento, sebbene la sicurezza delle informazioni sia ancora ampiamente riconosciuta come disciplina IT esclusiva.

I broker di sicurezza per l’accesso al cloud, le valutazioni delle vulnerabilità e i firewall delle applicazioni Web sono i segmenti di mercato che dovrebbero crescere di più nei prossimi anni.

La carenza di competenze persiste come un problema per il personale addetto alla sicurezza delle informazioni: le competenze nella gestione del rischio, nella gestione dei servizi, nella risposta agli incidenti, nell’intelligence sulle minacce, nella scienza/analisi dei dati e nella codifica dovrebbero essere tutte in crescente domanda nel prossimo futuro”.

Attualmente è sui tavoli di discussione una proposta “NIS 2”, che si spera prenderà in esame anche i dati qui riportati e esaminati per stabilire un monitoraggio storico di questi dati nei prossimi anni.

 

 

 

Fonte: Cybersecurity360