Occorre aumentare gli sforzi per assicurare un adeguato livello di cybersecurity in Unione Europea. Diversi passi sono stati fatti, a livello normativo, ma molto c’è ancora da fare, perché «la valutazione dei rischi condotta a livello dell’Unione Europea ha evidenziato un livello di minaccia informatica sostanziale per l’UE, evidenziando le vulnerabilità scoperte sfruttate dagli autori della minaccia che prendono di mira entità dell’UE». A scriverlo è ENISA, l’Agenzia UE per la cybersecurity nel primo rapporto dell’UE sullo stato della sicurezza informatica nell’Unione.
Il report è uno degli effetti concreti della direttiva NIS 2, la legislazione dell’UE in materia di cybersicurezza. ENISA è stata incaricata di redigere una relazione biennale sullo stato della sicurezza informatica nell’Unione, proprio in base a uno degli articoli della legge.
Il report, pubblicato proprio in questi giorni, fornisce ai decisori politici dell’UE una panoramica basata su prove dello stato attuale del panorama e delle capacità della sicurezza informatica nell’UE. Inoltre, fornisce raccomandazioni politiche per affrontare le carenze identificate e aumentare il livello di sicurezza informatica in tutta l’Unione europea.
Cybersecurity in Unione Europea: le minacce più frequenti
Qual è lo stato della cybersecurity in Unione Europea? Innanzitutto il documento rileva che il livello di minaccia alla sicurezza informatica nell’UE durante il periodo di riferimento è stato valutato considerevole. Nel grafico che riporta gli incidenti registrati, suddivisi per tipi di minacce, evidenzia che i principali sono DoS (Denial of Service), DDoS (Distributed Denial of Service) e RDoS (Ramsom Denial of Service). Il 41% del totale è caratterizzato da questo tipo di attacchi digitali. A seguire i ramsomware (25,7%). Enisa scrive a proposito della valutazione del rischio a livello di Unione che:
“È probabile che le entità siano direttamente prese di mira dagli attori della minaccia o esposte a violazioni attraverso vulnerabilità scoperte di recente, rendendo una possibilità realistica gravi interruzioni di entità essenziali e importanti o EUIBA (istituzioni, organi e agenzie dell’UE)”.
Per quanto riguarda le capacità di sicurezza informatica a livello UE, gli Stati membri dell’UE hanno sviluppato strategie di sicurezza informatica che presentano un allineamento generale negli obiettivi. «I settori critici appaiono più eterogenei in termini di dimensioni e criticità, il che complica la supervisione e l’implementazione uniforme delle misure di sicurezza informatica». A livello di cittadini, si suggerisce che la consapevolezza della sicurezza informatica sia aumentata.
Il quadro normativo e i punti deboli
A livello di quadro normativo-legislativo, la cybersecurity in Unione Europea può contare anche sui recenti sviluppi politici dell’UE come la direttiva NIS2, il Cyber Resilience Act, il Cyber Solidary Act. Essi hanno rafforzato il quadro di sicurezza informatica dell’UE, istituendo strutture e processi per far progredire la postura di sicurezza informatica dell’UE. Allo stesso tempo, le politiche settoriali specifiche affrontano sfide uniche in vari settori critici della nostra economia e società.
C’è però da ravvisare, come riporta la stessa ENISA, che ci sono ancora degli elementi da considerare. Innanzitutto, manca un quadro comune e in tempo reale per tutti gli Stati membri che copra tutti gli aspetti della consapevolezza della situazione.
Tutti i paesi monitorano le minacce alla sicurezza informatica, ma variano la frequenza di monitoraggio e i metodi di allerta. «Sebbene le diverse modalità di allerta non siano un problema importante, la frequenza di monitoraggio incoerente evidenzia lacune di capacità in alcuni Stati membri», segnala l’Agenzia.
Un altro elemento considerevole, riguarda gli operatori di servizi essenziali (OES), come sanità, trasporti, energia, e fornitori di servizi digitali (DSP), tra cui motori di ricerca online, mercati internet e servizi cloud.
Le capacità degli OES/DSP per la raccolta e lo scambio di informazioni «non sono ancora mature». Molti, in particolare le Pmi, non hanno Security Operation Center (SOC) e investono poco in ICT. ENISA ipotizza che gli incidenti di sicurezza informatica segnalati rappresentano probabilmente solo una frazione degli incidenti effettivi. Le Piccole e medie imprese, in particolare, potrebbero sottostimare a causa di preoccupazioni di reputazione e mancanza di consapevolezza. Un aspetto rimarcato nel report, riguarda, in particolare, il fatto che un numero «sorprendentemente elevato» di Pmi dichiara di non aver subito incidenti, rispetto alle grandi imprese.
Occorre rafforzare la cybersicurezza della supply chain
Un tema trattato nel report a proposito dello stato della cybersecurity in Unione Europea riguarda la supply chain. La compromissione delle dipendenze software della catena di fornitura è considerata la principale minaccia emergente tra le minacce alla sicurezza informatica per il 2030.
Nel 2023, riporta ENISA, c’è stata un’attività continua da parte dei cyber criminali che hanno utilizzato aggiornamenti software per distribuire malware alle vittime.
Attualmente, il 74% degli Stati membri ha definito misure di sicurezza della supply chain nella propria legislazione nazionale. Si prevede che questo numero aumenterà ulteriormente a causa della trasposizione nazionale della direttiva NIS2 e dei requisiti del regolamento DORA (Digital Operational Resilience Act) per il settore finanziario.
Sempre nel 2023, annota ancora il report, il 77% di OES e DSP aveva una politica di gestione dei rischi da terze parti. Le grandi imprese hanno maggiori probabilità di avere una politica (85%) rispetto alle Pmi (53%).
A livello internazionale, il numero di schemi di certificazione e metodologie di valutazione della sicurezza informatica sta crescendo nel corso degli anni. A tale proposito, si ricorda che il Cyber Resilience Act introduce requisiti per i prodotti e obblighi per i produttori «che alla fine si tradurranno in prodotti più sicuri da immettere sul mercato dell’UE».
Raccomandazioni politiche
Il rapporto ENISA oltre a individuare quanto è stato fatto finora, propone sei raccomandazioni politiche, che coprono quattro aree prioritarie (attuazione delle politiche, gestione delle crisi informatiche, supply chain, competenze).
Innanzitutto occorre rafforzare il sostegno tecnico e finanziario fornito alle istituzioni, agli organi e alle agenzie dell’Unione europea, alle autorità nazionali competenti e alle entità che rientrano nell’ambito di applicazione della direttiva NIS2 per garantire un’attuazione armonizzata, completa, tempestiva e coerente del quadro politico in evoluzione dell’UE in materia di sicurezza informatica. Come richiesto dal Consiglio, occorre rivedere il piano UE per una risposta coordinata agli incidenti informatici su larga scala, in grado di promuovere ulteriormente l’armonizzazione e l’ottimizzazione della sicurezza informatica UE, nonché rafforzare le capacità di sicurezza informatica sia nazionali che UE.
Come terzo punto, occorre rafforzare la forza lavoro informatica dell’UE mediante l’attuazione della Cybersecurity Skills Academy e in particolare definendo un approccio comune dell’UE alla formazione in materia di sicurezza informatica, definendo le priorità future e colmando il divario digitale attualmente presente.
ENISA raccomanda poi di affrontare la sicurezza della catena di fornitura nell’UE intensificando le valutazioni dei rischi coordinate a livello di Unione Europea e sviluppando un quadro politico orizzontale per la sicurezza della supply chain.
Serve anche migliorare: la comprensione delle specificità e delle esigenze settoriali e il livello di maturità in materia di sicurezza informatica dei settori coperti dalla direttiva NIS2 e utilizzare il futuro meccanismo di emergenza per la sicurezza informatica, che sarà istituito ai sensi del Cyber Solidarity Act, per la preparazione e la resilienza settoriale, concentrandosi sui settori deboli o sensibili e sui rischi.
Infine, occorre promuovere un approccio unificato basandosi sulle iniziative politiche esistenti e armonizzando gli sforzi nazionali per raggiungere un elevato livello comune di consapevolezza sulla cybersecurity in Unione Europea e di igiene informatica (insieme delle buone prassi da seguire per ridurre al minimo i rischi derivanti dall’utilizzo di sistemi informatici) tra professionisti e cittadini, indipendentemente dalle caratteristiche demografiche.
Comments are closed.