L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha pubblicato l’ultimo report sugli investimenti nella sicurezza delle reti e delle informazioni nell’UE, fornendo una panoramica di come la direttiva NIS abbia influito sul bilancio della sicurezza informatica degli operatori nell’ultimo anno con approfondimenti nei settori dell’energia e della salute.
Il report analizza i dati raccolti dagli Operatori di Servizi Essenziali (OES) e dai Digital Service Provider (DSP) individuati nella Direttiva dell’Unione Europea sui Sistemi di Sicurezza delle Reti e delle Informazioni (Direttiva NIS). L’analisi mira a capire se tali operatori abbiano investito diversamente i propri budget nell’ultimo anno per far fronte ai nuovi requisiti previsti dal testo normativo. Inoltre, le tendenze del mercato globale della sicurezza informatica sono presentate attraverso dati e approfondimenti sulla sicurezza di Gartner osservati a livello globale e nell’UE, al fine di fornire una migliore comprensione delle dinamiche rilevanti.
Il report di quest’anno presenta i dati raccolti da 1080 OES/DSP di tutti i 27 Stati membri dell’UE e fornisce un set di dati storici che consente il confronto anno dopo anno e l’identificazione delle tendenze. Inoltre, approfondimenti settoriali sono stati condotti per i settori Energia e Salute. Nel complesso, un numero di valori assoluti, come i budget IT e Information Security (IS) o la percentuale dei budget IT spesi per la IS sembrano essere significativamente inferiori rispetto allo scorso anno. Ciò può essere attribuito alla composizione del campione dell’indagine e alla maggiore rappresentanza di OES dei settori Energia e Salute a causa delle profonde immersioni settoriali, ma anche del contesto macroeconomico, come l’impatto del COVID-19 sui rispettivi budget.
“La resilienza delle nostre infrastrutture e tecnologie critiche dell’UE dipenderà in larga misura dalla nostra capacità di effettuare investimenti strategici. Sono fiducioso che disponiamo delle competenze e delle capacità che ci guidano per raggiungere il nostro obiettivo, ovvero garantire che avremo a disposizione le risorse adeguate a sviluppare ulteriormente le nostre capacità di cybersecurity in tutti i settori economici dell’UE”, ha dichiarato Juhan Lepassaar, il direttore esecutivo dell’EU Agency for Cybersecurity.
Parametri contestuali che inquadrano l’analisi
La relazione include un’analisi che ha raggiunto più di 1000 operatori nei 27 Stati membri dell’UE. I risultati correlati mostrano che la percentuale del budget per l’Information Technology (IT) dedicata alla Sicurezza delle informazioni (IS) sembra essere inferiore rispetto ai risultati dello scorso anno, passando dal 7,7% al 6,7%.
Questi numeri dovrebbero essere concepiti come una panoramica generale della spesa per la sicurezza delle informazioni in una variegata tipologia di settori strategici. Di conseguenza, specifiche contingenze macroeconomiche come il COVID19 potrebbero aver influenzato i risultati medi.
Quali sono i risultati chiave?
- La direttiva NIS, altri obblighi normativi e il panorama delle minacce sono i principali fattori che incidono sui bilanci per la sicurezza delle informazioni;
- I grandi operatori investono 120 000 EUR in Cyber Threat Intelligence (CTI) rispetto ai 5 500 EUR delle PMI, mentre gli operatori con SOC completamente interni o insourced spendono circa 350 000 EUR in CTI, ovvero il 72% in più rispetto alla spesa degli operatori con un sistema ibrido SOC;
- I settori sanitario e bancario sostengono i costi più elevati tra i settori critici in caso di gravi incidenti di cybersecurity, con un costo diretto medio di un incidente in questi settori pari a 300 000 EUR;
- Il 37% degli Operatori di Servizi Essenziali e dei Digital Service Provider non gestisce un SOC;
- Per il 69% la maggior parte dei loro incidenti di sicurezza delle informazioni è causata da vulnerabilità nei prodotti software o hardware con il settore sanitario che dichiara il maggior numero di tali incidenti;
- L’assicurazione informatica è scesa al 13% nel 2021 raggiungendo un basso 30% rispetto al 2020;
- Solo il 5% delle PMI sottoscrive un’assicurazione cyber;
- L’86% ha implementato politiche di gestione dei rischi di terze parti.
Principali risultati dei settori Salute ed Energia
- Salute
Da una prospettiva globale, gli investimenti nelle TIC per il settore sanitario sembrano essere fortemente influenzati dal COVID-19 con molti ospedali alla ricerca di tecnologie per espandere i servizi sanitari da fornire oltre i confini geografici degli ospedali. Tuttavia, i controlli di sicurezza informatica rimangono una priorità assoluta per la spesa con il 55% degli operatori sanitari che cercano maggiori finanziamenti per gli strumenti di sicurezza informatica.
Il 64% degli operatori sanitari ricorre già a dispositivi medici connessi e il 62% ha già implementato una soluzione di sicurezza specifica per i dispositivi medici. Solo il 27% degli OES intervistati nel settore ha un programma di difesa ransomware dedicato e il 40% di loro non ha un programma di sensibilizzazione alla sicurezza per il personale non IT.
- Energia
Gli operatori di petrolio e gas sembrano dare la priorità alla sicurezza informatica con investimenti in aumento a un tasso del 74%. Il settore energetico mostra una tendenza degli investimenti che si spostano dalle infrastrutture legacy e dai data center ai servizi cloud.
Tuttavia, il 32% degli operatori di questo settore non dispone di un singolo processo OT (Operation Technology) critico monitorato da un SOC. OT e IT sono coperti da un unico SOC per il 52% degli OES nel settore energetico.
Sfondo
L’obiettivo della direttiva sulla sicurezza delle reti e dei sistemi informativi ( direttiva NIS ) è raggiungere un elevato livello comune di cybersecurity in tutti gli Stati membri.
Uno dei tre pilastri della direttiva NIS è l’attuazione della gestione del rischio e degli obblighi di segnalazione per OES e DSP.
Gli OES forniscono servizi essenziali nei settori strategici dell’energia (elettricità, petrolio e gas), dei trasporti (aerei, ferroviari, nautici e stradali), delle banche, delle infrastrutture dei mercati finanziari, della sanità, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali (punti di scambio Internet, fornitori di servizi del sistema dei nomi di dominio, registri dei nomi di dominio di primo livello).
DSP opera in un ambiente online, vale a dire mercati online, motori di ricerca online e servizi di cloud computing.
Il report esamina come gli operatori investono nella sicurezza informatica e rispettano gli obiettivi della direttiva NIS. Fornisce inoltre una panoramica della situazione in relazione ad aspetti come il personale addetto alla sicurezza IT, l’assicurazione informatica e l’organizzazione della sicurezza delle informazioni in OES e DSP.
