La sesta edizione del NIS Investments Report 2025 dell’Agenzia europea per la cybersecurity (ENISA) mostra un cambio di rotta nelle strategie di investimento delle organizzazioni europee: meno risorse sulle persone, maggiore attenzione alla tecnologia e ai servizi esternalizzati. Allo stesso tempo, il report conferma che la carenza di professionisti della cybersecurity sta peggiorando, mentre la compliance e la Direttiva NIS2 stanno guidando le priorità ma pongono sfide rilevanti in fase di implementazione.

Il report analizza come le politiche europee in materia di sicurezza informatica si traducano in decisioni operative e allocazione di budget all’interno delle organizzazioni pubbliche e private degli Stati membri. Per l’edizione 2025, ENISA ha intervistato 1.080 organizzazioni, coprendo tutti i settori ad alta criticità individuati dalla Direttiva NIS2, con un campione composto per l’83% da grandi imprese e per il 17% da PMI.

Per approfondire i dati raccolti nell’indagine, insieme al report è stato pubblicato un allegato dedicato, che offre due visualizzazioni distinte del dataset: una suddivisa per Stato membro e una per settore.

Principali intuizioni emerse dal report di quest’anno

  1. Il focus degli investimenti si sposta dalle persone alla tecnologia e ai servizi 

Pur mantenendo livelli complessivi simili allo scorso anno — circa il 9% dei budget IT, con una media di 1,5 milioni di euro — la spesa si orienta sempre più verso tecnologia e outsourcing piuttosto che verso l’espansione dei team interni di cybersecurity.

  1. La crisi dei cyber talent non accenna ad attenuarsi

Le difficoltà nel reperire (76%) e trattenere (71%) professionisti della cybersecurity restano uno dei principali ostacoli per le organizzazioni europee, aggravate dalla carenza di professionisti qualificati e da una forte concorrenza per accaparrarsi talenti limitati. Il turnover elevato aggrava ulteriormente il divario di competenze, incidendo direttamente sui rischi e rimodellando le strategie di assunzione.

  1. La compliance è il principale motore di investimento

La compliance rimane il primo fattore che orienta gli investimenti (70%), ma i suoi benefici vanno oltre la regolamentazione. Le organizzazioni riconoscono che questi investimenti rafforzano la gestione del rischio (41%), la capacità di rilevamento (35%) e la risposta agli incidenti (26%). Le priorità future includono aggiornamento degli strumenti, rafforzamento del ripristino e sviluppo delle competenze interne.

  1. La NIS2 alza l’asticella, ma la sua implementazione rimane una sfida

Sebbene la NIS2 stia spingendo le aziende a rafforzare alcune delle aree più complesse ma fondamentali della cyber resilience, la sua attuazione è ampiamente percepita come sfidante. Le organizzazioni indicano tra le principali difficoltà il patching (50%), la business continuity (49%) e la gestione del rischio della supply chain (37%). Le sfide variano anche in base alle dimensioni: le grandi imprese devono armonizzare approcci e percorsi per la migrazione dalle tecnologie legacy a soluzioni moderne, mentre per le PMI le priorità critiche restano disporre di linee guida chiare, strumenti economicamente accessibili — inclusi servizi gestiti e cloud — e opportunità di sviluppo delle competenze.

  1. Patch in ritardo e test poco diffusi

L’applicazione tempestiva di patch e le valutazioni regolari rimangono difficili. Nonostante i requisiti normativi, molte organizzazioni impiegano ancora mesi per applicare patch critiche: il 28% supera i tre mesi, e quasi una su tre non ha effettuato alcuna valutazione di sicurezza nell’ultimo anno. Le PMI restano le più in difficoltà, con il 63% che non effettua test regolari.

  1. Rischio per la Supply chain: controlli più rigorosi, maggiore dipendenza

Sebbene la gestione del rischio nella supply chain stia progredendo, la crescente dipendenza da servizi ICT e di sicurezza esternalizzati introduce nuove vulnerabilità, soprattutto quando i fornitori sono PMI con risorse limitate. Di conseguenza, le compromissioni della supply chain e dei fornitori terzi costituiscono la seconda preoccupazione più citata per il futuro (47%).

  1. DoS crea rumore, il ransomware causa incubi

Se gli attacchi DoS possono disturbare le operazioni quotidiane, sono il ransomware (55%), gli attacchi alla supply chain (47%) e il phishing (35%) a rappresentare le principali preoccupazioni per il futuro. Il livello di preparazione varia significativamente tra le organizzazioni: le PMI, in particolare, mostrano una minore fiducia nella propria capacità di prevenire, resistere e riprendersi dagli incidenti informatici in qualsiasi scenario.

Come ENISA utilizza i dati raccolti

I dati raccolti attraverso questo studio alimentano il più ampio lavoro analitico dell’ENISA, inclusi il rapporto NIS360 — che valuta criticità e maturità dei settori — e l’EU Cybersecurity Index. Le informazioni emerse contribuiscono inoltre al report sullo stato della cybersecurity nell’Unione, supportandone le analisi e le raccomandazioni.

Puoi leggere il report completo NIS Investments Report 2025

https://www.enisa.europa.eu/news/whats-driving-cybersecurity-investments-and-where-lie-the-challenges

 

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: