ENISA

Si è svolta a Roma la sesta edizione di BlueOLEx, l’esercitazione europea sulla gestione delle crisi cibernetiche, organizzata dall’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) e ospitata, per la prima volta, dall’Agenzia per la Cybersicurezza Nazionale (ACN). L’evento ha riunito le autorità responsabili della sicurezza informatica dei paesi membri dell’UE, insieme a rappresentanti della Commissione Europea e di ENISA, con l’obiettivo di testare la capacità di risposta comune contro minacce cyber su larga scala. Alla luce dell’era NIS2, l’edizione di quest’anno si è basata sullo scenario di Cyber ​​Europe 2024 e ha testato il livello esecutivo della cooperazione nell’ecosistema dell’UE.

Focus su cooperazione e resilienza

L’esercitazione ha rappresentato un’opportunità importante per valutare e potenziare la cooperazione tra gli Stati membri e la rete EU-CyCLONe. Creata nel 2020 su impulso italiano e francese e formalizzata dalla Direttiva NIS2 in vigore dal gennaio 2023, EU-CyCLONe rappresenta il pilastro della collaborazione europea in risposta a emergenze cibernetiche. Coinvolgendo i responsabili della gestione delle crisi cyber a livello europeo, l’evento ha permesso di valutare le modalità di interazione e di rafforzare la fiducia reciproca, essenziali per una risposta rapida e coordinata alle crisi cibernetiche. Questa esercitazione prosegue l’impegno intrapreso con Cyber Europe 2024, tenutasi a luglio, che simulava attacchi contro infrastrutture energetiche europee.

Il coordinatore per l’Italia, lammiraglio Gianluca Galasso, ha evidenziato il valore della cooperazione: “È essenziale, per gli Stati membri, confrontarsi periodicamente sulle crisi cyber, per costruire prassi comuni che permettano una risposta coerente e proattiva alle emergenze future. L’esercitazione è stata un’opportunità preziosa per scambiare idee e consolidare la fiducia tra i membri della rete. Lo scenario simulato ha confermato l’importanza della resilienza cibernetica di ogni Stato membro, soprattutto in settori interconnessi come quello energetico.”

Un progresso significativo per la sicurezza cyber europea

BlueOLEx 2024 rappresenta un passo avanti cruciale verso una gestione integrata della sicurezza informatica in Europa, contribuendo a migliorare il coordinamento tra le infrastrutture critiche e rafforzando la capacità di risposta a incidenti cyber su larga scala. Quest’anno, per la prima volta, gli esperti tecnici hanno partecipato in veste di osservatori, apportando competenze che saranno utili nella revisione del Blueprint sulla risposta coordinata alle crisi cibernetiche.

Con il contributo di ENISA e della Presidenza del Consiglio dell’UE, l’edizione di quest’anno ha dato prova dell’efficacia della collaborazione europea nel fronteggiare le sfide della cybersicurezza, ponendo le basi per strategie sempre più avanzate di difesa collettiva.

https://www.acn.gov.it/portale/en/w/acn-ospita-blueolex-2024-esercitazione-europea-di-gestione-delle-crisi-cyber

https://www.enisa.europa.eu/news/blueolex-2024-exercise-eu-cyclone-test-its-cyber-crisis-response-preparedness
 

L'articolo BlueOLEx 2024: ACN ospita l’esercitazione europea gestione crisi cyber proviene da Rivista Cybersecurity Trends.

L’ENISA (Agenzia dell’Unione Europea per la Cybersecurity) ha rilasciato una bozza delle sue linee guida tecniche che sta sviluppando per aiutare gli Stati membri e le entità dell’UE nell’applicazione dei requisiti di sicurezza informatica della direttiva NIS2, come stabilito dal regolamento (UE) 2024/2690 della Commissione Europea.

Questa guida tecnica fornisce:

• Consigli dettagliati su come implementare un requisito e ulteriori spiegazioni sui concetti e sui termini utilizzati nel testo giuridico;
• Esempi pratici per valutare se un requisito è stato soddisfatto;
• Tabelle comparative tra i requisiti di sicurezza previsti dal regolamento di esecuzione con gli standard europei e internazionali, nonché con i quadri normativi nazionali.

ENISA invita tutte le parti interessate a fornire commenti sulle linee guida tecniche per la legge attuativa NIS2 sulle misure di sicurezza informatica per le entità critiche nel settore delle infrastrutture digitali entro il 9 dicembre 2024, ore 18:00 CET, tramite il link alla bozza delle linee guida e seguendo le istruzioni fornite.

Contesto

La direttiva NIS2 è la nuova legislazione UE per rafforzare la sicurezza informatica e la resilienza nei settori critici europei. Gli Stati membri erano tenuti a recepirla entro il 17 ottobre 2024. ENISA ha anche pubblicato materiale informativo, come video e infografiche, per spiegare i concetti principali della direttiva.

La guida tecnica è stata sviluppata in collaborazione con la Commissione Europea e i rappresentanti degli Stati membri all’interno del NIS Cooperation group (NIS CG).

https://www.enisa.europa.eu/news/asking-for-your-feedback-enisa-technical-guidance-for-the-cybersecurity-measures-of-the-nis2-implementing-act

L'articolo Richiesta feedback: linee guida tecniche ENISA per attuazione NIS2 proviene da Rivista Cybersecurity Trends.

L’Agenzia dell’Unione Europea per la sicurezza informatica (ENISA) ha pubblicato il NIS Investments Report 2024, offrendo uno sguardo approfondito su come le organizzazioni europee stanno affrontando le sfide della sicurezza informatica in vista dell’implementazione della direttiva NIS 2.

Il report mira a fornire ai decisori politici dati per valutare l’efficacia del quadro di sicurezza informatica dell’UE, analizzando l’allocazione dei budget, lo sviluppo delle capacità e la maturità delle organizzazioni e mettendo in luce anche temi cruciali come l’impatto dell’intelligenza artificiale, le difficoltà di reclutamento nel settore e la preparazione per conformarsi alle nuove normative.

L’edizione 2024 del report si distingue per un campione ampliato, includendo nuovi settori ed entità previsti da NIS 2, e fornisce una panoramica pre-implementazione delle metriche rilevanti. Comprende un’analisi approfondita nei settori delle infrastrutture digitali e dello spazio, con dati raccolti da 1.350 organizzazioni in tutti i settori critici dell’UE, incluso il manifatturiero.

Risultati chiave

• La sicurezza informatica rappresenta ora il 9% degli investimenti IT dell’UE, con un aumento significativo di 1,9 punti percentuali rispetto al 2022, segnando il secondo anno consecutivo di crescita degli investimenti in sicurezza informatica dopo la pandemia.

• Nel 2023, la spesa IT media delle organizzazioni è salita a 15 milioni di euro, mentre la spesa per la sicurezza delle informazioni è raddoppiata, passando da 0,7 milioni di euro a 1,4 milioni di euro.

• Per il quarto anno consecutivo, la percentuale di IT Full Time Equivalent (FTE) dedicata alla sicurezza informatica è diminuita, dall’11,9% all’11,1%. Questa diminuzione potrebbe riflettere le sfide del reclutamento, con il 32% delle organizzazioni (e il 59% delle PMI) che hanno difficoltà a ricoprire ruoli di sicurezza informatica, in particolare quelli che richiedono competenze tecniche. Questa tendenza è particolarmente degna di nota dato che l’89% delle organizzazioni prevede di aver bisogno di personale aggiuntivo per la sicurezza informatica per conformarsi a NIS2.

• I nuovi settori NIS2 sono paragonabili in termini di spesa per la sicurezza informatica alle entità NIS Directive esistenti, con i loro investimenti ampiamente focalizzati sullo sviluppo e il mantenimento delle capacità di base per la sicurezza informatica. Le aree emergenti, come la crittografia post-quantistica, ricevono un’attenzione limitata, con solo il 4% delle entità intervistate che investono e il 14% che pianifica investimenti futuri.

• La maggior parte delle organizzazioni prevede un aumento una tantum o permanente dei budget per la sicurezza informatica per la conformità con NIS 2. In particolare, un numero considerevole di entità non sarà in grado di richiedere il budget aggiuntivo richiesto, una percentuale particolarmente elevata per le PMI (34%).

• Il 90% delle entità prevede un aumento degli attacchi informatici il prossimo anno, in termini di volume, costo o entrambi. Nonostante ciò, il 74% concentra i propri sforzi di preparazione alla sicurezza informatica internamente, con una partecipazione molto inferiore a iniziative a livello nazionale o UE. Questo divario sottolinea un’area critica di miglioramento, poiché un’efficace cooperazione transfrontaliera nella gestione di incidenti su larga scala può essere raggiunta solo a questi livelli più elevati.

• La consapevolezza complessiva tra le entità interessate è incoraggiante, con il 92% a conoscenza dell’ambito generale o delle disposizioni specifiche della direttiva NIS 2. Tuttavia, una percentuale notevole di entità in determinati nuovi settori NIS 2 non è a conoscenza della direttiva, il che suggerisce una potenziale necessità di campagne di sensibilizzazione più approfondite da parte delle autorità nazionali competenti.

• Le entità nei settori già coperti da NIS superano quelle appena incluse in NIS 2 in varie metriche di governance, rischio e conformità della sicurezza informatica. Analogamente, le entità nei nuovi settori NIS 2 mostrano un coinvolgimento inferiore e tassi di non partecipazione più elevati nelle attività di preparazione alla sicurezza informatica. Ciò evidenzia l’impatto positivo che la direttiva NIS ha avuto sui settori già inclusi e crea anticipazione per l’impatto che NIS 2 avrà sui nuovi settori.

Nel corso degli anni, i report sugli investimenti NIS hanno costruito un prezioso archivio di dati storici. Quest’anno, questi dati offrono una base solida per analizzare l’impatto di NIS 2 sulle nuove entità incluse nel suo ambito, fornendo preziose informazioni per valutazioni future.

Leggi il documento completo NIS Investments Report 2024

https://www.enisa.europa.eu/news/navigating-cybersecurity-investments-in-the-time-of-nis-2

L'articolo ENISA pubblica NIS Investments Report 2024 proviene da Rivista Cybersecurity Trends.

L’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) ha presentato il primo report biennale sullo stato della cybersecurity nell’UE, come richiesto dall’articolo 18 della direttiva NIS 2 (2022/2555). Questo documento, frutto della collaborazione tra ENISA, il gruppo di cooperazione NIS e la Commissione Europea, rappresenta una pietra miliare nella comprensione del panorama della sicurezza informatica nell’Unione.

Il report fornisce un’analisi basata su prove concrete dello stato attuale delle capacità di cybersecurity a livello dell’UE, nazionale e sociale. Esamina i rischi, le vulnerabilità e le strategie adottate, con l’obiettivo di formulare raccomandazioni politiche per colmare le lacune e rafforzare la resilienza informatica in tutta l’Unione. Tra le fonti utilizzate figurano l’EU Cybersecurity Index, i report NIS Investment e il Threat Landscape di ENISA. Questo report è il risultato di un’ampia consultazione con tutti i 27 Stati membri dell’UE e la Commissione europea.

Risultati principali 

L’analisi dei rischi condotta a livello dell’Unione ha rilevato una significativa esposizione alle minacce informatiche, evidenziando vulnerabilità che vengono regolarmente sfruttate da attori malevoli per colpire entità situate nell’UE.

Sul fronte delle capacità di sicurezza informatica, gli Stati membri dell’UE hanno sviluppato strategie che presentano un allineamento generale negli obiettivi.  I settori critici appaiono più eterogenei in termini di dimensioni e criticità, il che complica la supervisione e l’implementazione uniforme delle misure di sicurezza informatica. Dal punto di vista dei cittadini, si osserva un incremento della consapevolezza riguardo alla cybersecurity, specialmente tra le nuove generazioni. Tuttavia, permangono disparità nella disponibilità e nella qualità dei programmi educativi dedicati alle competenze digitali, con differenze significative tra i vari Stati membri.

Raccomandazioni politiche 

Il report individua quattro aree prioritarie su cui le raccomandazioni politiche dovrebbero concentrarsi: attuazione delle politiche, gestione delle crisi informatiche, sicurezza della supply chain e competenze. Le sei raccomandazioni politiche emerse affrontano queste aree, aggiungendo anche considerazioni sulle capacità degli operatori dei settori critici, la consapevolezza riguardo alla sicurezza informatica e la cyber hygiene.

• Rafforzare il sostegno tecnico e finanziario fornito alle istituzioni, agli organi e alle agenzie dell’Unione europea (EUIBA), alle autorità nazionali competenti e alle entità che rientrano nell’ambito di applicazione della direttiva NIS2 per garantire un’attuazione armonizzata, completa, tempestiva e coerente del quadro politico in evoluzione dell’UE in materia di sicurezza informatica utilizzando strutture già esistenti a livello dell’UE quali il gruppo di cooperazione NIS, la rete CSIRT e le agenzie dell’UE.
• Rivedere il Blueprint UE per una risposta coordinata agli incidenti informatici su larga scala, tenendo conto di tutti gli ultimi sviluppi della politica UE in materia di cybersecurity. La revisione dovrebbe promuovere una maggiore armonizzazione delle politiche di cybersecurity e rafforzare le capacità di sicurezza informatica a livello nazionale ed europeo, migliorando la resilienza complessiva.
• Rafforzare la forza lavoro informatica dell’UE mediante l’attuazione della Cybersecurity Skills Academy e in particolare definendo un approccio comune dell’UE alla formazione in materia di sicurezza informatica, individuando le future esigenze in termini di competenze, sviluppando un approccio coordinato dell’UE al coinvolgimento delle parti interessate per colmare il divario di competenze e istituendo un sistema europeo di attestazione delle competenze in materia di cybersecurity.
• Affrontare la sicurezza della supply chain nell’UE intensificando le valutazioni dei rischi coordinate a livello dell’UE e sviluppando un framework politico orizzontale dell’UE per la sicurezza della supply chain, volto ad affrontare le sfide della cybersecurity che affliggono sia il settore pubblico che quello privato.
• Migliorare la comprensione delle specificità e delle esigenze settoriali, migliorare il livello di maturità in materia di cybersecurity dei settori coperti dalla direttiva NIS2 e utilizzare il futuro meccanismo di emergenza per la sicurezza informatica che sarà istituito ai sensi del Cyber ​​Solidarity Act per la preparazione e la resilienza settoriale, concentrandosi sui settori deboli o sensibili e sui rischi identificati attraverso valutazioni dei rischi a livello dell’UE.
• Promuovere un approccio unificato basandosi sulle iniziative politiche esistenti e armonizzando gli sforzi nazionali per raggiungere un elevato livello comune di cybersecurity awareness e di cyber hygiene tra professionisti e cittadini, indipendentemente dalle caratteristiche demografiche.

 Sguardo al futuro

Si prevede che l’evoluzione delle tecnologie, come l’intelligenza artificiale e la crittografia post-quantistica, richiederà un’attenzione politica sempre maggiore. Sebbene l’UE abbia gettato solide basi per la cybersecurity, le autorità devono adattarsi a nuovi ruoli in un panorama di minacce in evoluzione. Rafforzare la competitività attraverso ricerca e innovazione, insieme a una cooperazione operativa efficace, sarà cruciale per affrontare le sfide future.

Scarica il documento completo 2024 Report on the State of the Cybersecurity in the Union

https://www.enisa.europa.eu/news/eus-first-ever-report-on-the-state-of-cybersecurity-in-the-union

L'articolo ENISA: 2024 Report on the State of the Cybersecurity in the Union proviene da Rivista Cybersecurity Trends.

L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha accolto con favore il piano d’azione dell’UE, presentato il 15 gennaio, volto a rafforzare la sicurezza informatica di ospedali e operatori sanitari. Il piano si colloca come una priorità strategica per garantire la resilienza del settore sanitario alle crescenti minacce informatiche.

In linea con le linee guida politiche della Presidente della Commissione Europea, Ursula von der Leyen, per il mandato 2024-2029, il piano d’azione prevede l’implementazione progressiva di misure specifiche tra il 2025 e il 2026 in collaborazione con gli Stati membri, gli operatori sanitari e la comunità della sicurezza informatica.

Un centro di supporto paneuropeo

Tra i progetti chiave proposti, l’ENISA si occuperà di istituire un centro di supporto paneuropeo dedicato alla cybersecurity per il settore sanitario. Il centro fornirà strumenti, servizi e formazione mirati, nonché linee guida per le buone pratiche e gli appalti in materia di sicurezza informatica. Tra gli altri compiti previsti ci sono lo sviluppo di una guida per le buone pratiche e gli appalti in materia di sicurezza informatica, lo sviluppo di uno strumento per mappare e rispettare le normative, l’istituzione di sistemi avanzati dell’UE per il rilevamento delle minacce informatiche contro il settore sanitario, un servizio di allerta precoce per il settore e lo sviluppo di manuali di risposta agli incidenti informatici.

Basandosi su normative esistenti come la Direttiva NIS2, il Cybersecurity Act e il Cyber Resilience Act, le proposte dell’ENISA puntano a rafforzare la protezione delle infrastrutture critiche, tenendo conto delle diverse esigenze dei singoli Stati membri. L’Agenzia ha sottolineato che il successo di questo ambizioso piano dipenderà anche dalla disponibilità di risorse adeguate e dalla collaborazione di tutte le parti coinvolte.

https://www.enisa.europa.eu/news/proposed-enisa-role-to-safeguard-cybersecurity-of-health-sector

L'articolo ENISA sostiene il piano UE per la sicurezza informatica nel settore sanitario proviene da Rivista Cybersecurity Trends.

Si è svolta a Roma la sesta edizione di BlueOLEx, l’esercitazione europea sulla gestione delle crisi cibernetiche, organizzata dall’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) e ospitata, per la prima volta, dall’Agenzia per la Cybersicurezza Nazionale (ACN). L’evento ha riunito le autorità responsabili della sicurezza informatica dei paesi membri dell’UE, insieme a rappresentanti della Commissione Europea e di ENISA, con l’obiettivo di testare la capacità di risposta comune contro minacce cyber su larga scala. Alla luce dell’era NIS2, l’edizione di quest’anno si è basata sullo scenario di Cyber ​​Europe 2024 e ha testato il livello esecutivo della cooperazione nell’ecosistema dell’UE.

Focus su cooperazione e resilienza

L’esercitazione ha rappresentato un’opportunità importante per valutare e potenziare la cooperazione tra gli Stati membri e la rete EU-CyCLONe. Creata nel 2020 su impulso italiano e francese e formalizzata dalla Direttiva NIS2 in vigore dal gennaio 2023, EU-CyCLONe rappresenta il pilastro della collaborazione europea in risposta a emergenze cibernetiche. Coinvolgendo i responsabili della gestione delle crisi cyber a livello europeo, l’evento ha permesso di valutare le modalità di interazione e di rafforzare la fiducia reciproca, essenziali per una risposta rapida e coordinata alle crisi cibernetiche. Questa esercitazione prosegue l’impegno intrapreso con Cyber Europe 2024, tenutasi a luglio, che simulava attacchi contro infrastrutture energetiche europee.

Il coordinatore per l’Italia, lammiraglio Gianluca Galasso, ha evidenziato il valore della cooperazione: “È essenziale, per gli Stati membri, confrontarsi periodicamente sulle crisi cyber, per costruire prassi comuni che permettano una risposta coerente e proattiva alle emergenze future. L’esercitazione è stata un’opportunità preziosa per scambiare idee e consolidare la fiducia tra i membri della rete. Lo scenario simulato ha confermato l’importanza della resilienza cibernetica di ogni Stato membro, soprattutto in settori interconnessi come quello energetico.”

Un progresso significativo per la sicurezza cyber europea

BlueOLEx 2024 rappresenta un passo avanti cruciale verso una gestione integrata della sicurezza informatica in Europa, contribuendo a migliorare il coordinamento tra le infrastrutture critiche e rafforzando la capacità di risposta a incidenti cyber su larga scala. Quest’anno, per la prima volta, gli esperti tecnici hanno partecipato in veste di osservatori, apportando competenze che saranno utili nella revisione del Blueprint sulla risposta coordinata alle crisi cibernetiche.

Con il contributo di ENISA e della Presidenza del Consiglio dell’UE, l’edizione di quest’anno ha dato prova dell’efficacia della collaborazione europea nel fronteggiare le sfide della cybersicurezza, ponendo le basi per strategie sempre più avanzate di difesa collettiva.

https://www.acn.gov.it/portale/en/w/acn-ospita-blueolex-2024-esercitazione-europea-di-gestione-delle-crisi-cyber

https://www.enisa.europa.eu/news/blueolex-2024-exercise-eu-cyclone-test-its-cyber-crisis-response-preparedness
 

L'articolo BlueOLEx 2024: ACN ospita l’esercitazione europea gestione crisi cyber proviene da Rivista Cybersecurity Trends.

L’ENISA (Agenzia dell’Unione Europea per la Cybersecurity) ha rilasciato una bozza delle sue linee guida tecniche che sta sviluppando per aiutare gli Stati membri e le entità dell’UE nell’applicazione dei requisiti di sicurezza informatica della direttiva NIS2, come stabilito dal regolamento (UE) 2024/2690 della Commissione Europea.

Questa guida tecnica fornisce:

• Consigli dettagliati su come implementare un requisito e ulteriori spiegazioni sui concetti e sui termini utilizzati nel testo giuridico;
• Esempi pratici per valutare se un requisito è stato soddisfatto;
• Tabelle comparative tra i requisiti di sicurezza previsti dal regolamento di esecuzione con gli standard europei e internazionali, nonché con i quadri normativi nazionali.

ENISA invita tutte le parti interessate a fornire commenti sulle linee guida tecniche per la legge attuativa NIS2 sulle misure di sicurezza informatica per le entità critiche nel settore delle infrastrutture digitali entro il 9 dicembre 2024, ore 18:00 CET, tramite il link alla bozza delle linee guida e seguendo le istruzioni fornite.

Contesto

La direttiva NIS2 è la nuova legislazione UE per rafforzare la sicurezza informatica e la resilienza nei settori critici europei. Gli Stati membri erano tenuti a recepirla entro il 17 ottobre 2024. ENISA ha anche pubblicato materiale informativo, come video e infografiche, per spiegare i concetti principali della direttiva.

La guida tecnica è stata sviluppata in collaborazione con la Commissione Europea e i rappresentanti degli Stati membri all’interno del NIS Cooperation group (NIS CG).

https://www.enisa.europa.eu/news/asking-for-your-feedback-enisa-technical-guidance-for-the-cybersecurity-measures-of-the-nis2-implementing-act

L'articolo Richiesta feedback: linee guida tecniche ENISA per attuazione NIS2 proviene da Rivista Cybersecurity Trends.

L’Agenzia dell’Unione Europea per la sicurezza informatica (ENISA) ha pubblicato il NIS Investments Report 2024, offrendo uno sguardo approfondito su come le organizzazioni europee stanno affrontando le sfide della sicurezza informatica in vista dell’implementazione della direttiva NIS 2.

Il report mira a fornire ai decisori politici dati per valutare l’efficacia del quadro di sicurezza informatica dell’UE, analizzando l’allocazione dei budget, lo sviluppo delle capacità e la maturità delle organizzazioni e mettendo in luce anche temi cruciali come l’impatto dell’intelligenza artificiale, le difficoltà di reclutamento nel settore e la preparazione per conformarsi alle nuove normative.

L’edizione 2024 del report si distingue per un campione ampliato, includendo nuovi settori ed entità previsti da NIS 2, e fornisce una panoramica pre-implementazione delle metriche rilevanti. Comprende un’analisi approfondita nei settori delle infrastrutture digitali e dello spazio, con dati raccolti da 1.350 organizzazioni in tutti i settori critici dell’UE, incluso il manifatturiero.

Risultati chiave

• La sicurezza informatica rappresenta ora il 9% degli investimenti IT dell’UE, con un aumento significativo di 1,9 punti percentuali rispetto al 2022, segnando il secondo anno consecutivo di crescita degli investimenti in sicurezza informatica dopo la pandemia.

• Nel 2023, la spesa IT media delle organizzazioni è salita a 15 milioni di euro, mentre la spesa per la sicurezza delle informazioni è raddoppiata, passando da 0,7 milioni di euro a 1,4 milioni di euro.

• Per il quarto anno consecutivo, la percentuale di IT Full Time Equivalent (FTE) dedicata alla sicurezza informatica è diminuita, dall’11,9% all’11,1%. Questa diminuzione potrebbe riflettere le sfide del reclutamento, con il 32% delle organizzazioni (e il 59% delle PMI) che hanno difficoltà a ricoprire ruoli di sicurezza informatica, in particolare quelli che richiedono competenze tecniche. Questa tendenza è particolarmente degna di nota dato che l’89% delle organizzazioni prevede di aver bisogno di personale aggiuntivo per la sicurezza informatica per conformarsi a NIS2.

• I nuovi settori NIS2 sono paragonabili in termini di spesa per la sicurezza informatica alle entità NIS Directive esistenti, con i loro investimenti ampiamente focalizzati sullo sviluppo e il mantenimento delle capacità di base per la sicurezza informatica. Le aree emergenti, come la crittografia post-quantistica, ricevono un’attenzione limitata, con solo il 4% delle entità intervistate che investono e il 14% che pianifica investimenti futuri.

• La maggior parte delle organizzazioni prevede un aumento una tantum o permanente dei budget per la sicurezza informatica per la conformità con NIS 2. In particolare, un numero considerevole di entità non sarà in grado di richiedere il budget aggiuntivo richiesto, una percentuale particolarmente elevata per le PMI (34%).

• Il 90% delle entità prevede un aumento degli attacchi informatici il prossimo anno, in termini di volume, costo o entrambi. Nonostante ciò, il 74% concentra i propri sforzi di preparazione alla sicurezza informatica internamente, con una partecipazione molto inferiore a iniziative a livello nazionale o UE. Questo divario sottolinea un’area critica di miglioramento, poiché un’efficace cooperazione transfrontaliera nella gestione di incidenti su larga scala può essere raggiunta solo a questi livelli più elevati.

• La consapevolezza complessiva tra le entità interessate è incoraggiante, con il 92% a conoscenza dell’ambito generale o delle disposizioni specifiche della direttiva NIS 2. Tuttavia, una percentuale notevole di entità in determinati nuovi settori NIS 2 non è a conoscenza della direttiva, il che suggerisce una potenziale necessità di campagne di sensibilizzazione più approfondite da parte delle autorità nazionali competenti.

• Le entità nei settori già coperti da NIS superano quelle appena incluse in NIS 2 in varie metriche di governance, rischio e conformità della sicurezza informatica. Analogamente, le entità nei nuovi settori NIS 2 mostrano un coinvolgimento inferiore e tassi di non partecipazione più elevati nelle attività di preparazione alla sicurezza informatica. Ciò evidenzia l’impatto positivo che la direttiva NIS ha avuto sui settori già inclusi e crea anticipazione per l’impatto che NIS 2 avrà sui nuovi settori.

Nel corso degli anni, i report sugli investimenti NIS hanno costruito un prezioso archivio di dati storici. Quest’anno, questi dati offrono una base solida per analizzare l’impatto di NIS 2 sulle nuove entità incluse nel suo ambito, fornendo preziose informazioni per valutazioni future.

Leggi il documento completo NIS Investments Report 2024

https://www.enisa.europa.eu/news/navigating-cybersecurity-investments-in-the-time-of-nis-2

L'articolo ENISA pubblica NIS Investments Report 2024 proviene da Rivista Cybersecurity Trends.

L’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) ha presentato il primo report biennale sullo stato della cybersecurity nell’UE, come richiesto dall’articolo 18 della direttiva NIS 2 (2022/2555). Questo documento, frutto della collaborazione tra ENISA, il gruppo di cooperazione NIS e la Commissione Europea, rappresenta una pietra miliare nella comprensione del panorama della sicurezza informatica nell’Unione.

Il report fornisce un’analisi basata su prove concrete dello stato attuale delle capacità di cybersecurity a livello dell’UE, nazionale e sociale. Esamina i rischi, le vulnerabilità e le strategie adottate, con l’obiettivo di formulare raccomandazioni politiche per colmare le lacune e rafforzare la resilienza informatica in tutta l’Unione. Tra le fonti utilizzate figurano l’EU Cybersecurity Index, i report NIS Investment e il Threat Landscape di ENISA. Questo report è il risultato di un’ampia consultazione con tutti i 27 Stati membri dell’UE e la Commissione europea.

Risultati principali 

L’analisi dei rischi condotta a livello dell’Unione ha rilevato una significativa esposizione alle minacce informatiche, evidenziando vulnerabilità che vengono regolarmente sfruttate da attori malevoli per colpire entità situate nell’UE.

Sul fronte delle capacità di sicurezza informatica, gli Stati membri dell’UE hanno sviluppato strategie che presentano un allineamento generale negli obiettivi.  I settori critici appaiono più eterogenei in termini di dimensioni e criticità, il che complica la supervisione e l’implementazione uniforme delle misure di sicurezza informatica. Dal punto di vista dei cittadini, si osserva un incremento della consapevolezza riguardo alla cybersecurity, specialmente tra le nuove generazioni. Tuttavia, permangono disparità nella disponibilità e nella qualità dei programmi educativi dedicati alle competenze digitali, con differenze significative tra i vari Stati membri.

Raccomandazioni politiche 

Il report individua quattro aree prioritarie su cui le raccomandazioni politiche dovrebbero concentrarsi: attuazione delle politiche, gestione delle crisi informatiche, sicurezza della supply chain e competenze. Le sei raccomandazioni politiche emerse affrontano queste aree, aggiungendo anche considerazioni sulle capacità degli operatori dei settori critici, la consapevolezza riguardo alla sicurezza informatica e la cyber hygiene.

• Rafforzare il sostegno tecnico e finanziario fornito alle istituzioni, agli organi e alle agenzie dell’Unione europea (EUIBA), alle autorità nazionali competenti e alle entità che rientrano nell’ambito di applicazione della direttiva NIS2 per garantire un’attuazione armonizzata, completa, tempestiva e coerente del quadro politico in evoluzione dell’UE in materia di sicurezza informatica utilizzando strutture già esistenti a livello dell’UE quali il gruppo di cooperazione NIS, la rete CSIRT e le agenzie dell’UE.
• Rivedere il Blueprint UE per una risposta coordinata agli incidenti informatici su larga scala, tenendo conto di tutti gli ultimi sviluppi della politica UE in materia di cybersecurity. La revisione dovrebbe promuovere una maggiore armonizzazione delle politiche di cybersecurity e rafforzare le capacità di sicurezza informatica a livello nazionale ed europeo, migliorando la resilienza complessiva.
• Rafforzare la forza lavoro informatica dell’UE mediante l’attuazione della Cybersecurity Skills Academy e in particolare definendo un approccio comune dell’UE alla formazione in materia di sicurezza informatica, individuando le future esigenze in termini di competenze, sviluppando un approccio coordinato dell’UE al coinvolgimento delle parti interessate per colmare il divario di competenze e istituendo un sistema europeo di attestazione delle competenze in materia di cybersecurity.
• Affrontare la sicurezza della supply chain nell’UE intensificando le valutazioni dei rischi coordinate a livello dell’UE e sviluppando un framework politico orizzontale dell’UE per la sicurezza della supply chain, volto ad affrontare le sfide della cybersecurity che affliggono sia il settore pubblico che quello privato.
• Migliorare la comprensione delle specificità e delle esigenze settoriali, migliorare il livello di maturità in materia di cybersecurity dei settori coperti dalla direttiva NIS2 e utilizzare il futuro meccanismo di emergenza per la sicurezza informatica che sarà istituito ai sensi del Cyber ​​Solidarity Act per la preparazione e la resilienza settoriale, concentrandosi sui settori deboli o sensibili e sui rischi identificati attraverso valutazioni dei rischi a livello dell’UE.
• Promuovere un approccio unificato basandosi sulle iniziative politiche esistenti e armonizzando gli sforzi nazionali per raggiungere un elevato livello comune di cybersecurity awareness e di cyber hygiene tra professionisti e cittadini, indipendentemente dalle caratteristiche demografiche.

 Sguardo al futuro

Si prevede che l’evoluzione delle tecnologie, come l’intelligenza artificiale e la crittografia post-quantistica, richiederà un’attenzione politica sempre maggiore. Sebbene l’UE abbia gettato solide basi per la cybersecurity, le autorità devono adattarsi a nuovi ruoli in un panorama di minacce in evoluzione. Rafforzare la competitività attraverso ricerca e innovazione, insieme a una cooperazione operativa efficace, sarà cruciale per affrontare le sfide future.

Scarica il documento completo 2024 Report on the State of the Cybersecurity in the Union

https://www.enisa.europa.eu/news/eus-first-ever-report-on-the-state-of-cybersecurity-in-the-union

L'articolo ENISA: 2024 Report on the State of the Cybersecurity in the Union proviene da Rivista Cybersecurity Trends.

L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha accolto con favore il piano d’azione dell’UE, presentato il 15 gennaio, volto a rafforzare la sicurezza informatica di ospedali e operatori sanitari. Il piano si colloca come una priorità strategica per garantire la resilienza del settore sanitario alle crescenti minacce informatiche.

In linea con le linee guida politiche della Presidente della Commissione Europea, Ursula von der Leyen, per il mandato 2024-2029, il piano d’azione prevede l’implementazione progressiva di misure specifiche tra il 2025 e il 2026 in collaborazione con gli Stati membri, gli operatori sanitari e la comunità della sicurezza informatica.

Un centro di supporto paneuropeo

Tra i progetti chiave proposti, l’ENISA si occuperà di istituire un centro di supporto paneuropeo dedicato alla cybersecurity per il settore sanitario. Il centro fornirà strumenti, servizi e formazione mirati, nonché linee guida per le buone pratiche e gli appalti in materia di sicurezza informatica. Tra gli altri compiti previsti ci sono lo sviluppo di una guida per le buone pratiche e gli appalti in materia di sicurezza informatica, lo sviluppo di uno strumento per mappare e rispettare le normative, l’istituzione di sistemi avanzati dell’UE per il rilevamento delle minacce informatiche contro il settore sanitario, un servizio di allerta precoce per il settore e lo sviluppo di manuali di risposta agli incidenti informatici.

Basandosi su normative esistenti come la Direttiva NIS2, il Cybersecurity Act e il Cyber Resilience Act, le proposte dell’ENISA puntano a rafforzare la protezione delle infrastrutture critiche, tenendo conto delle diverse esigenze dei singoli Stati membri. L’Agenzia ha sottolineato che il successo di questo ambizioso piano dipenderà anche dalla disponibilità di risorse adeguate e dalla collaborazione di tutte le parti coinvolte.

https://www.enisa.europa.eu/news/proposed-enisa-role-to-safeguard-cybersecurity-of-health-sector

L'articolo ENISA sostiene il piano UE per la sicurezza informatica nel settore sanitario proviene da Rivista Cybersecurity Trends.