L’Italia ha investito 140 mila euro attraverso i suoi operatori e fornitori di servizi per adeguarsi alla direttiva NIS, la direttiva sulla sicurezza delle reti e dei sistemi informativi, che ha rappresentato il primo atto legislativo europeo per la cyber sicurezza. La media europea è di 98 mila euro, un bel distacco che ha portato il nostro Paese a porsi al primo posto.
Indice degli argomenti
Investimenti cyber in UE
I dati sono stati riportati da ENISA, l’Agenzia europea per la cyber sicurezza, nell’ultimo rapporto dedicato alle risorse impiegate per cyber security e adeguamenti ai requisiti normativi NIS, appunto il “NIS Investments Reports”.
Il report ha analizzato le somme destinate alla cyber security da operatori dei servizi essenziali, OES: siamo quindi nel settore energia, trasporti, banche, infrastrutture per il mercato finanziario, sanità, distribuzione di acqua potabile, infrastruttura digitale; e da fornitori di servizi digitali, DSP, ossia i marketplace online, motori di ricerca online, servizi di cloud computing, di tutti i 27 stati membro, soggetti tutti obbligati a seguire la direttiva NIS.
Dopo l’Italia, la Francia ha registrato 115 mila euro, mentre Polonia e Austria 100 mila.
Delle 947 organizzazioni che rientrano in OES e DSP europei, l’82% si è attenuto alla direttiva NIS, mentre il 67% necessita di ulteriori implementazioni e compliance, ma non ha le risorse finanziarie sufficienti.
Secondo la direttiva NIS, i campi a cui bisogna destinare gli investimenti prioritari sono così suddivisi:
- il 20% deve andare alla gestione delle vulnerabilità e security analytics;
- il 18% a risk and compliance;
- il 16% alla sicurezza di rete, senza tralasciare la gestione degli accessi e la sicurezza di dati, terminali e applicazioni.
Se i settori che includono aziende di fornitura e distribuzione di acqua, le infrastrutture per i mercati finanziari e le infrastrutture digitali rappresentano i meno dispendiosi, energia e settore bancario sono quelli che dall’altra parte spendono di più.
È da considerare, in questo senso, che per esempio, insieme al settore bancario, anche quello sanitario risente di costi molto elevati per i cyber attacchi, attestandosi su una media che oscilla tra i 213 e i 300 mila euro, mentre gli altri settori riescono a rimanere sui 100 mila.
Operatori di servizi essenziali (OSE): chi sono e quali obblighi di sicurezza hanno
I risultati del rapporto ENISA
Secondo il rapporto ENISA, nel complesso il 48,9 % delle organizzazioni intervistate riconosce un impatto molto significativo o significativo della direttiva NIS sulla sicurezza delle informazioni. Vediamo alcuni numeri tra i più efficaci per capire il quadro generale.
Il 67% delle OES/DSP ha richiesto un bilancio dedicato per l’attuazione della direttiva NIS, con un valore medio di 40 mila euro o del 5,1 % dei bilanci complessivi per la sicurezza delle informazioni, invece, circa il 50% ha richiesto una media di quattro dipendenti a tempo pieno aggiuntivi per l’attuazione, tramite assunzione o esternalizzazione.
Il costo diretto stimato medio di un grave incidente di sicurezza è di 100 mila euro, con i settori bancario e sanitario che registrano i costi più elevati, rispettivamente di 300 mila euro e 213 mila. Incidono particolarmente su questi numeri i costi relativi alle perdite di entrate e al recupero dei dati o alla gestione della continuità operativa. Il 9 % delle organizzazioni ha subito un grave incidente di sicurezza che ha avuto un impatto sulle parti interessate esterne.
Nel 28% degli OES/DSP intervistati, il Chief Information Officer (CIO) o il Chief Technology Officer (CTO) è responsabile della sicurezza delle informazioni, mentre in oltre il 50% dei casi, il responsabile della sicurezza delle informazioni riferisce direttamente all’amministratore delegato (CEO), al consiglio di amministrazione o al presidente.
Oltre il 50% degli OES/DSP intervistati non possiede alcuna forma di assicurazione informatica, ma circa il 25% prevede di ottenere una copertura.
Oltre il 50 % degli OES/DSP intervistati certifica i propri sistemi e processi.
La maggior parte degli OES/DSP intervistati riferisce che i loro controlli di sicurezza delle informazioni soddisfano o superano gli standard del settore, con solo il 5% che dichiara di non soddisfarli.
Da questi risultati, il rapporto deduce una forte correlazione tra un’auto-percezione molto positiva di sviluppo della sicurezza informatica e l’esistenza di certificazioni di sicurezza informatica per processi, persone e prodotti all’interno di un’organizzazione.
Verso una direttiva NIS 2, che cambia con le proposte della Commissione UE
Le aree su cui occorre ancora intervenire
Il rapporto si conclude evidenziando che “a livello globale i budget per la sicurezza delle informazioni sembrano essere in aumento, sebbene la sicurezza delle informazioni sia ancora ampiamente riconosciuta come disciplina IT esclusiva.
I broker di sicurezza per l’accesso al cloud, le valutazioni delle vulnerabilità e i firewall delle applicazioni Web sono i segmenti di mercato che dovrebbero crescere di più nei prossimi anni.
La carenza di competenze persiste come un problema per il personale addetto alla sicurezza delle informazioni: le competenze nella gestione del rischio, nella gestione dei servizi, nella risposta agli incidenti, nell’intelligence sulle minacce, nella scienza/analisi dei dati e nella codifica dovrebbero essere tutte in crescente domanda nel prossimo futuro”.
Attualmente è sui tavoli di discussione una proposta “NIS 2”, che si spera prenderà in esame anche i dati qui riportati e esaminati per stabilire un monitoraggio storico di questi dati nei prossimi anni.
