ENISA - RELAZIONE 2024 SULLO STATO DELLA SICUREZZA INFORMATICA NELL'UNIONE

Il contesto

L’Agenzia dell’Unione Europea per la cybersicurezza (ENISA)[1] in data 3 dicembre 2024 ha pubblicato la sua prima relazione, denominata “Report on the State of Cybersecurity in the Union”, relativa al livello di minaccia informatica rilevato presso gli Stati membri della Unione Europea.

La prima relazione sullo stato della cibersicurezza nell’Unione fornisce ai responsabili politici dell’UE una panoramica basata su dati concreti dello stato del panorama e delle capacità della cibersicurezza nell’UE. Il rapporto fornisce inoltre raccomandazioni politiche per affrontare le carenze individuate e aumentare il livello di sicurezza informatica in tutta l’Unione europea. Il rapporto completo è disponibile sul sito dell’ENISA[2].

Raccomandazioni

Rafforzare il sostegno tecnico e finanziario fornito alle istituzioni, agli organi e alle agenzie dell’UE (EUIBA)[3] e alle autorità nazionali competenti e alle entità che rientrano nell’ambito di applicazione della direttiva NIS2[4] per garantire un’attuazione armonizzata, completa, tempestiva e coerente dell’evoluzione della politica di sicurezza informatica dell’UE utilizzando strutture già esistenti a livello dell’UE come il gruppo di cooperazione NIS, la rete di CSIRT[5] e le agenzie dell’UE.

Come richiesto dal Consiglio, va rivisto il piano dell’UE per una risposta coordinata agli incidenti informatici su larga scala, tenendo conto di tutti gli ultimi sviluppi della politica di sicurezza informatica dell’UE.

Il piano UE rivisto dovrebbe promuovere ulteriormente l’armonizzazione e l’ottimizzazione della sicurezza informatica dell’UE, nonché rafforzare le capacità di sicurezza informatica sia nazionali che dell’UE per aumentare la resilienza della sicurezza informatica a livello nazionale ed europeo. Rafforzare la forza lavoro informatica dell’UE attraverso l’attuazione della Cybersecurity Skills Academy[6] e in particolare stabilendo un approccio comune dell’UE alla formazione in materia di cibersicurezza, individuando le future esigenze di competenze, sviluppando un approccio coordinato dell’UE al coinvolgimento delle parti interessate per colmare il divario di competenze e istituendo un sistema europeo di attestazione per le competenze in materia di sicurezza informatica

Affrontare la sicurezza della catena di approvvigionamento nell’UE intensificando le valutazioni dei rischi coordinate a livello dell’UE e lo sviluppo di un quadro politico orizzontale dell’UE per la sicurezza della catena di approvvigionamento volto ad affrontare le sfide della cibersicurezza affrontate sia dal settore pubblico che da quello privato.

Migliorare la comprensione delle specificità e delle esigenze settoriali, migliorare il livello di maturità della cibersicurezza dei settori coperti dalla direttiva NIS2 e utilizzare il futuro meccanismo di emergenza sulla cibersicurezza che sarà istituito nell’ambito del CSOA per la preparazione e la resilienza settoriali, con particolare attenzione ai settori e ai rischi deboli o sensibili identificati attraverso valutazioni del rischio a livello di UE.

Promuovere un approccio unificato basandosi sulle iniziative politiche esistenti e armonizzando gli sforzi nazionali per raggiungere un elevato livello comune di consapevolezza della sicurezza informatica e di igiene informatica tra professionisti e cittadini, indipendentemente dalle caratteristiche demografiche.

Raccomandazione politica.

Promuovere un approccio unificato basandosi sulle iniziative politiche esistenti e armonizzando gli sforzi nazionali per raggiungere un livello comune elevato di consapevolezza della sicurezza informatica e di igiene informatica tra professionisti e cittadini, indipendentemente dalle caratteristiche demografiche.

Migliorare la comprensione delle specificità e delle esigenze settoriali, migliorare il livello di maturità della cibersicurezza dei settori coperti dalla direttiva NIS2 e utilizzare il futuro meccanismo di emergenza sulla cibersicurezza istituito nell’ambito del CSOA per la preparazione settoriale e la resilienza concentrandosi sui settori ritenuti deboli o sensibili e sui rischi identificati attraverso valutazioni del rischio a livello di UE.

Attuazione delle politiche

Occorre migliorare il sostegno tecnico e finanziario per un’attuazione armonizzata; a tale riguardo, con l’evoluzione del quadro politico dell’UE in materia di cibersicurezza, l’attuazione a livello nazionale diventa una priorità e le autorità nazionali competenti stanno lavorando per raggiungere questo obiettivo. Tuttavia, il processo di attuazione delle politiche è impegnativo sia in termini di tempo che di risorse.

Raccomandazione politica.

Occorre rafforzare il sostegno tecnico e finanziario agli EUIBA, alle autorità competenti e alle entità che rientrano nell’ambito di applicazione della direttiva NIS2 per garantire un’attuazione armonizzata, completa, tempestiva e coerente del quadro politico in evoluzione della sicurezza informatica dell’UE utilizzando le strutture già esistenti a livello dell’UE quali il gruppo di cooperazione NIS, la rete di CSIRT e le agenzie dell’UE.

Gestione della crisi informatica.

Rafforzare la resilienza armonizzata della cibersicurezza. Al momento dell’adozione della NIS1, nel 2016, la cooperazione a livello di UE sulla gestione delle crisi era ancora un settore relativamente nuovo.

Da allora si sono verificati cambiamenti significativi, come l’istituzione della rete EU-CyCLONe[9] delle autorità nazionali di gestione delle crisi informatiche e nuove disposizioni in NIS2.

Raccomandazione politica.

Come richiesto dal Consiglio, la Commissione europea, nel proporre una revisione del piano dell’UE per risposte coordinate agli incidenti informatici su larga scala, tiene conto di tutti gli ultimi sviluppi della politica di sicurezza informatica dell’UE.

Competenze in cybersecurity.

Rafforzare un approccio comune dell’UE alle competenze e alla formazione in materia di cibersicurezza In un panorama geopolitico e in rapida evoluzione della cibersicurezza, la promozione di una cultura dinamica della cibersicurezza attraverso la consapevolezza e il miglioramento delle competenze pertinenti insieme all’adozione di iniziative volte a coltivare e trattenere i talenti della cibersicurezza sono aspetti cruciali per affrontare le attuali e sfide legate alle minacce imminenti.

Raccomandazione politica.

Rafforzare la forza lavoro informatica dell’UE attuando la Cybersecurity Skills Academy e in particolare:

stabilendo un approccio comune dell’UE alla formazione in materia di cibersicurezza,
individuando le future esigenze di competenze,
sviluppando un approccio coordinato dell’UE al coinvolgimento delle parti interessate per colmare il divario di competenze e
istituendo uno Schema europeo di attestazione delle competenze di cybersecurity.

Sicurezza della catena di fornitura

Rafforzare il coordinamento sulla sicurezza della catena di fornitura. I gruppi di minacce dimostrano un interesse continuo e una maggiore capacità negli attacchi alla catena di fornitura. Una forte protezione della sicurezza informatica non è più sufficiente per le organizzazioni quando gli aggressori hanno spostato la loro attenzione sui fornitori.

Raccomandazione politica.

La sicurezza della catena di approvvigionamento dovrebbe essere ulteriormente affrontata intensificando la valutazione dei rischi coordinata a livello dell’UE e lo sviluppo di un quadro politico orizzontale avanzato dell’UE per la sicurezza della catena di approvvigionamento, volto ad affrontare le sfide della cibersicurezza affrontate sia dal settore pubblico che da quello privato.

Uno sguardo sul futuro.

I recenti miglioramenti nel quadro politico dell’UE in materia di sicurezza informatica forniscono una solida base per rafforzare le capacità di sicurezza informatica, aumentare la resilienza e migliorare la cooperazione strategica tra gli Stati membri dell’UE.

Le autorità nazionali competenti e le istituzioni, gli organi e le agenzie dell’Unione Europea (EUIBA) affrontano sfide simili non solo nell’assumere i loro nuovi ruoli ma anche nella gestione del panorama delle minacce informatiche in continua evoluzione. In termini di tecnologie emergenti, due argomenti hanno guadagnato terreno negli ultimi due anni, vale a dire l’intelligenza artificiale (AI) e la crittografia post-quantistica (PQC).

È fondamentale garantire che la ricerca, lo sviluppo di tecnologie e applicazioni per stimolare la competitività globale nel campo della cibersicurezza e rafforzare le capacità di cibersicurezza dell’UE.

La natura transfrontaliera degli incidenti di cibersicurezza potrebbe essere rivalutata alla luce delle nuove tendenze tecnologiche e del contesto geopolitico che interessa l’UE.

Le autorità nazionali degli Stati membri dell’UE e gli EUIBA devono essere preparati a rispondere alle sfide di domani nel settore della sicurezza informatica. Si potrebbe porre l’accento sulla creazione di una consapevolezza situazionale comune e su una cooperazione operativa senza soluzione di continuità. Sebbene esista un quadro politico e giuridico, esso dovrebbe essere testato per individuare eventuali lacune.

[1] L’ENISA contribuisce alla politica informatica dell’UE. Accresce la fiducia nei prodotti, nei servizi e nei processi digitali elaborando sistemi di certificazione della cibersicurezza. Coopera con i paesi e gli organismi dell’UE e contribuisce a prepararsi alle future sfide informatiche. L’Agenzia collabora con le organizzazioni e le imprese per rafforzare la fiducia nell’economia digitale, promuovere la resilienza delle infrastrutture dell’UE e, in ultima analisi, garantire la sicurezza digitale dei cittadini dell’UE. Ciò avviene attraverso la condivisione delle conoscenze, lo sviluppo di personale e strutture e la sensibilizzazione. Il regolamento dell’UE sulla cibersicurezza ha rafforzato il lavoro dell’agenzia.

[2] Link: https://www.enisa.europa.eu/publications/2024-report-on-the-state-of-the-cybersecurity-in-the-union

[3] EUIBA è una piattaforma incentrata sull’utente. È semplice aggiungere la propria attività, creare e promuovere eventi, pubblicare offerte di lavoro ed elencare proprietà e automobili in vendita o in affitto sulla rete. Link: https://www.eu-startups.com/directory/euiba/

_{[4] La Direttiva (UE) 2022/2555 (NIS 2) abroga la Direttiva (UE) 2016/1148 (NIS), stabilisce un livello comune elevato di cybersecurity nell’Unione Europea, rafforza la sicurezza cibernetica a livello europeo aumentando la sicurezza delle infrastrutture tecnologiche e combattendo in maniera efficace i rischi causati dal cyber crime. La direttiva NIS 2 stabilisce i requisiti principali che le organizzazioni devono soddisfare per raggiungere un elevato livello di sicurezza informatica. Euro NIS 2 è parte della Digital Strategy della Commissione Europea per creare un mercato unico di prodotti e servizi sicuri e resilienti. La Direttiva Euro NIS2 si integra con varie normative e linee guida europee sulla protezione dei dati e sulla privacy, come il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR), il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.}

[5] CSIRT Italia (Computer Security Incident Response Team) istituito presso l’Agenzia per la Cybersicurezza Nazionale (ACN) con Decreto Legge n. 82/2021, si occupa principalmente delle attività di natura reattiva. Oltre a fornire supporto in caso di incidente informatico, indirizza i prodotti di allertamento preventivo sulle minacce e relative attività di mitigazione attraverso i suoi canali pubblici quali la sua pagina dedicata CSIRT Italia, l’account X CSIRT IT e il canale Telegram CSIRT Italia. CSIRT Italia opera anche in coordinamento con il Nucleo per la Sicurezza Cibernetica (NCS) e con il punto di contatto unico NIS, anch’essi istituiti presso l’Agenzia. Link: https://www.acn.gov.it/portale/csirt-italia.

[6] La Cyber Skills Academy è un’iniziativa politica europea, parte dell’Anno europeo delle competenze 2023, che mira a riunire e migliorare il coordinamento delle iniziative esistenti in materia di competenze informatiche al fine di colmare il divario di talenti in materia di sicurezza informatica, rafforzare la forza lavoro informatica dell’UE e stimolare Competitività, crescita e resilienza dell’UE. La sicurezza dell’Unione europea non può essere garantita senza la sua risorsa più preziosa: i suoi cittadini. L’UE ha urgentemente bisogno di professionisti con capacità e competenze per prevenire, individuare, scoraggiare e difendere l’UE dagli attacchi informatici. Link: https://digital-skills-jobs.europa.eu/en/cybersecurity-skills-academy

[7] Codice europeo delle comunicazioni elettroniche (EECC). L’EECC stabilisce un quadro giuridico a livello europeo per coordinare le legislazioni nazionali in materia di reti e servizi di comunicazione elettronica: servizi di telefonia, l’Europa unica, numero di emergenza “112, l’accesso di base a Internet, che ora deve essere considerato un servizio universale dai Paesi dell’UE. L’EECC mira a garantire la fornitura di servizi di comunicazione elettronica agli utenti finali che siano: di buona qualità, accessibile, disponibile al pubblico. Soprattutto, l’EECC mira a garantire che gli utenti finali con disabilità possano accedere a questi servizi su base paritaria con gli altri.

[8] Il Regolamento eIDAS (electronic Identification Authentication and Signature) – Regolamento UE n. 910/2014 sull’identità digitale – ha l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri.

[9] L’EU-CyCLONe – Rete europea di organizzazioni di collegamento per le crisi informatiche, è una rete di cooperazione tra le autorità nazionali degli Stati membri responsabili della gestione delle crisi informatiche. La rete è stata lanciata nel 2020 e formalizzata il 16 gennaio 2023 con l’entrata in vigore dell’art 16 NIS2. L’obiettivo è collaborare e sviluppare una condivisione tempestiva delle informazioni e la consapevolezza situazionale sulla base degli strumenti e del supporto forniti dall’Agenzia dell’UE per la sicurezza informatica, che funge da segretariato CyCLONe. Il presidente è un rappresentante degli Stati membri che esercitano la presidenza del Consiglio dell’UE. EU-CyCLONe è composto da rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri e, nei casi in cui un incidente di cibersicurezza su vasta scala, potenziale o in corso, abbia o possa avere un impatto significativo sui servizi e sulle attività che rientrano nell’ambito di applicazione di presente direttiva, la Commissione. Negli altri casi, la Commissione partecipa alle attività di EU-CyCLONe in qualità di osservatore. Link: https://www.enisa.europa.eu/topics/eu-cyber-crisis-and-incident-management/eu-cyclone

[10] Il termine Oes include gli operatori dei settore energia, trasporti, banche, infrastrutture per il mercato finanziario, sanità, distribuzione di acqua potabile, infrastruttura digitale. I Dsp comprendono i marketplace online, motori di ricerca online, servizi di cloud computing.

[11] Un Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla sicurezza dei sistemi informativi dell’azienda stessa (SOC interno) o di clienti esterni; in quest’ultimo caso il SOC è utilizzato per l’erogazione di Managed Security Services (MSS) e l’azienda che li eroga è definita Managed Security Service Provider (MSSP). Un SOC può anche fornire servizi di Incident Response, in questo caso svolge la funzione di CSIRT (Computer Security Incident Response Team), anche se le due funzioni sono logicamente e funzionalmente separate; alcune grandi aziende dispongono di un SOC e di un CERT separati. Un SOC fornisce tre tipologie di servizi: Servizi di gestione: tutte le attività di gestione delle funzionalità di sicurezza legate all’infrastruttura IT (rete, sistemi ed applicazioni) sono centralizzate dal SOC; Servizi di monitoraggio: l’infrastruttura IT e di Sicurezza vengono monitorate in tempo reale al fine di individuare tempestivamente tentativi di intrusione, di attacco o di misuse dei sistemi; Servizi proattivi: sono servizi finalizzati a migliorare il livello di protezione dell’organizzazione (Security assessments, vulnerability assessments, early warning, security awareness). Link: https://it.wikipedia.org/wiki/Security_Operation_Center

[12] La threat intelligence, chiamata anche “cyberthreat intelligence” (CTI) o “threat intel”, è costituita da informazioni dettagliate e fruibili sulle minacce con lo scopo di prevenire e combattere le minacce alla sicurezza informatica rivolte a un’organizzazione. La threat intelligence aiuta i team di sicurezza a essere più proattivi, consentendo loro di intraprendere azioni efficaci e basate sui dati per prevenire gli attacchi informatici prima che si verifichino. Può anche aiutare un’organizzazione a rilevare e rispondere più rapidamente agli attacchi in corso. Gli analisti della sicurezza creano la threat intelligence raccogliendo informazioni grezze sulle minacce e informazioni relative alla sicurezza da più fonti, quindi correlando e analizzando i dati per scoprire tendenze, modelli e relazioni che forniscono una comprensione approfondita delle minacce effettive o potenziali. Link: https://www.ibm.com/it-it/topics/threat-intelligence

[13] L’Information Sharing and Analysis Center nazionale, ISAC Italia, è istituito presso l’Agenzia per la Cybersicurezza Nazionale con il fine di riunire in un solo network gli ISAC settoriali già esistenti e che si costituiranno. Lo scopo di ISAC Italia è raccogliere, analizzare e condividere le informazioni prodotte dai vari servizi cyber nazionali in maniera bidirezionale e multisettoriale. La struttura è parte dello European CyberShield previsto dalla EU Cybersecurity Strategy for Digital Decade: apre un link esterno (2020), la strategia che mira a creare una rete europea degli ISAC e Security operation center (SOC), che si affiancheranno alla CSIRT network. ISAC Italia rientra tra le attività previste dalla misura 1.5 Cybersecurity del Piano Nazionale di Ripresa e Resilienza (PNRR). Gli ISAC sono organizzazioni finalizzate allo scambio di informazioni e conoscenze in ambito cyber. Entità, tipicamente senza scopo di lucro, che vedono il coinvolgimento di stakeholder omogenei, come imprese operanti nello stesso settore merceologico. Link: https://www.acn.gov.it/portale/isac-italia

[14] Il processo di Divulgazione Coordinata delle Vulnerabilità (CVD) è definito nella norma ISO/IEC 29147: “La divulgazione delle vulnerabilità è un processo attraverso il quale i venditori e ricercatori possono collaborare per trovare soluzioni che riducano i rischi associati alle vulnerabilità di sistema.

[15] Operatori di Servizi Essenziali (OSE), ossia organizzazioni pubbliche o private operanti nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, infrastrutture digitali, sanitario e fornitura e distribuzione di acqua potabile.

[16] Il Consiglio ha adottato oggi un nuovo regolamento sui requisiti di cibersicurezza per i prodotti con elementi digitali al fine di garantire che prodotti quali fotocamere domestiche connesse, frigoriferi, televisori e giocattoli siano sicuri prima della loro immissione sul mercato (regolamento sulla ciberresilienza). Il nuovo regolamento mira a colmare le lacune, chiarire i collegamenti e rendere più coerente il quadro normativo in vigore in materia di cibersicurezza, garantendo che i prodotti con componenti digitali, ad esempio i prodotti dell’internet delle cose, siano resi sicuri lungo l’intera catena di approvvigionamento e per tutto il ciclo di vita. Elementi chiave del nuovo regolamento. Il nuovo regolamento introduce requisiti di cibersicurezza a livello di UE per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software al fine di evitare la sovrapposizione di requisiti derivanti da diversi atti legislativi negli Stati membri dell’UE. Ad esempio, i prodotti software e hardware recheranno la marcatura CE per indicare che sono conformi ai requisiti del regolamento. La marcatura “CE” figura su molti prodotti commercializzati nel mercato unico esteso dello Spazio economico europeo (SEE). Essa indica che i prodotti venduti nel SEE sono stati giudicati conformi a elevati requisiti in materia di sicurezza, salute e protezione dell’ambiente. Il regolamento si applicherà a tutti i prodotti connessi direttamente o indirettamente a un altro dispositivo o a una rete. Sono previste alcune eccezioni per i prodotti già soggetti a requisiti di cibersicurezza in virtù delle norme dell’UE vigenti,, ad esempio i dispositivi medici, i prodotti aeronautici e le automobili. Infine, il nuovo regolamento consentirà ai consumatori di tener conto della cibersicurezza quando selezionano e utilizzano prodotti contenenti elementi digitali rendendo più facile individuare prodotti hardware e software con caratteristiche di cibersicurezza adeguate. Link: https://www.consilium.europa.eu/it/press/press-releases/2024/10/10/cyber-resilience-act-council-adopts-new-law-on-security-requirements-for-digital-products/

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

ENISA – RELAZIONE 2024 SULLO STATO DELLA SICUREZZA INFORMATICA NELL’UNIONE

About Author / Davide De Luca

Il principio di minimizzazione nel trattamento dei dati personali analizzato dalla Corte di Giustizia UE. Causa C-394/23 | Mousse

Il trattamento dei dati personali per finalità di telemarketing alla luce del Provvedimento del Garante del 13 novembre 2024.

Lascia un commento Annulla risposta

Articoli

Categorie

ENISA – RELAZIONE 2024 SULLO STATO DELLA SICUREZZA INFORMATICA NELL’UNIONE

About Author / Davide De Luca

Il principio di minimizzazione nel trattamento dei dati personali analizzato dalla Corte di Giustizia UE. Causa C-394/23 | Mousse

Il trattamento dei dati personali per finalità di telemarketing alla luce del Provvedimento del Garante del 13 novembre 2024.

Lascia un commento Annulla risposta

Potrebbe piacerti