La fine di questo 2024 rappresenta uno spartiacque importante per le imprese che devono essere compliant con la normativa NIS2. Sia quelle che erano già contemplate dalla precedente NIS, e ora devono gestire requisiti più stringenti, sia - e soprattutto - quelle che invece erano "ignorate" dalla NIS. Sono queste imprese al centro dell'attenzione ora: devono prepararsi ad affrontare problematiche di cybersecurity e resilienza che possono risultare di livello decisamente superiore a quanto affrontato sinora.

A confermare quanto l'arrivo della NIS2 possa cambiare effettivamente le carte in tavola è anche Enisa stessa, l'agenzia della UE per la sicurezza cyber. Per capire bene, anche quantitativamente, quanto la NIS2 farà evolvere l'approccio alla sicurezza IT delle aziende coinvolte, ha effettuato uno studio sullo stato attuale della cybersecurity europea e in particolare sugli investimenti che sono dedicati ai progetti cyber. Gli indicatori chiave espressi in questo studio saranno la base su cui comprendere quanto la nuova compliance avrà fatto bene alle imprese del Vecchio Continente.

Secondo l'analisi di Enisa - che ha coinvolto 1.350 organizzazioni distribuite in tutti i 27 Paesi UE - la mediana della spesa IT nel 2023 per le aziende UE è stata di 15 milioni di euro, mentre la media è stata di 98,5 milioni. Lato cybersecurity, la mediana della spesa dedicata è stata di 1,4 milioni di euro, mentre media è stata di 6,7 milioni. La mediana del rapporto tra spesa IT e spesa cyber è pari al 9,0% e la media al 9,6%. Enisa consiglia di considerare le mediane come valori significativi e non le medie, perché queste sono sbilanciate dal fatto che le grandi imprese fanno ovviamente investimenti tecnologici molto più rilevanti rispetto alle piccole e alle medie aziende.

Per la sola Italia, la mediana della spesa IT complessiva è pari a 45 milioni di euro. La mediana della spesa in cybersecurity è 5 milioni di euro. Quella del rapporto tra spesa IT e spesa cyber è 9,6%.

Colpisce il fatto che una crescita costante degli investimenti in cybersecurity non si traduce, nelle imprese UE, in un maggior peso dello staff cyber rispetto allo staff genericamente IT. La mediana del numero dei dipendenti IT - più precisamente dei cosiddetti FTE, Full Time Equivalent - nelle imprese UE è pari a 50 (la media è 295) mentre quella dei dipendenti cyber è 5 (media: 25). Nel corso degli anni, la mediana della percentuale dei secondi rispetto ai primi continua a calare: dal 13% del 2020 al 11,1% del 2023.

Per la sola Italia, la mediana dei dipendenti IT è 163,5. La mediana dei dipendenti cyber è 12,5. Quella del rapporto tra loro è 10%.

Mancanza di skill

Il fatto che lo staff cyber sia una quota calante dello staff IT deriva soprattutto dal fatto che le imprese UE fanno fatica a trovare i talenti necessari per la cybersecurity. Solo il 18% del campione Enisa indica di non avere difficoltà ad assumere personale di cybersecurity. Per il resto, il 25% ha difficoltà a ricoprire i ruoli che fanno capo all'architettura e all'ingegneria della cybersecurity, il 23% alle cybersecurity operations, il 20% alla parte di auditing e compliance, 19% alla parte di governance e gestione del rischio cyber.

Il risultato di questi problemi è che, spesso, nelle imprese UE a occuparsi di cybersecurity è una figura non ideale. Le imprese che non riescono a trovare i talenti giusti per un ruolo cyber si muovonio infatti in due modi: o uniscono quel ruolo a uno preesistente, ma non di cybersecurity, oppure mantengono il ruolo distinto ma assumono per svolgerlo un nuovo dipendente che però non viene dalla cybersecurity.

Lo scenario dello skill gap è, a quanto pare, complicato anche dalla direttiva DORA. Solo il 15% del campione indica di non avere bisogno di più personale per esservi compliant. Il 44% indica invece di avere bisogno di più risorse in campo cybersecurity architecture/engineering, il 42% per le security operations, il 23% per la parte di auditing, il 18% per le componenti di governance.

C'è peraltro da dire che le organizzazioni europee si sentono piuttosto ben preparate quando si tratta di cybersecurity in generale. In una scala da 1 a 10, la media UE complessiva di autovalutazione è 6,8. Le aziende italiane si sono date un voto anche più alto: 7,7. Solo la Spagna (8) e la Francia (7,8) si sono autovalutate meglio. Le aziende europee si sono date voti alti anche quando Enisa si è concentrata in modo specifico sulla capacità di rilevare attacchi cyber e di reagirvi in modo adeguato: la media UE è 6,9, con l'Italia (7,6) sempre sul podio dei più ottimisti.

Può essere stato proprio il lavoro fatto per recepire la direttiva NIS2 a dare questo senso di sicurezza cyber? Di sicuro la direttiva non è stata sottovalutata. Il 92% delle aziende europee del campione la conosce (si sale al 96% per le aziende italiane) e questa conoscenza è approfondita. Lo si vede dal fatto che le imprese hanno una idea chiara dei "mal di pancia" da sopportare, ossia dei requisiti della direttiva che avranno più difficoltà a gestire: solo l'1% non ha ancora fatto una analisi precisa in tal senso.

Il 49% delle imprese analizzate indica la gestione delle vulnerabilità come l'aspetto più problematico, con a pari merito la gestione dei processi di business continuity e di crisis management. Al 45% di citazioni troviamo la gestione dell'autenticazione multifattore, al 31% quella legata ai rischi della supply chain, al 30% la cifratura dei dati critici, al 13% la gestione degli incidenti, al 4% il reporting degli incidenti subiti.

Sono tutti aspetti piuttosto complessi, tanto che buona parte delle imprese ritiene che la NIS2 comporterà maggiori spese per la sua compliance. Il 14% del campione Enisa prevede solo una spesa una tantum per la compliance, ma una fetta anche maggiore (34%) ritiene che osservare la direttiva imponga un aumento permanente del budget. In Italia come al solito siamo più ottimisti: queste percentuali scendono rispettivamente al 10 e 23 percento.

La gestione del citato "third party risk" ha meritato un'analisi ad hoc che ha coinvolto circa un terzo delle aziende del campione Enisa. Lo scenario che descrivono non è certo ideale: nonostante si dedichino, rispetto a qualche anno fa, mediamente più risorse (lo indica il 65% del sotto-campione), più tempo (76%) e più tool mirati (66%) alla gestione dei rischi di sicurezza cyber derivanti dalle relazioni con terze parti, il 45% circa delle imprese ha comunque registrato una crescita nei problemi ai propri processi causati da incidenti collegati proprio alle terze parti.

Tutto questo, sottolinea Enisa, sembra indicare il permanere di un duplice problema. Da un lato, una questione più tecnica: i team di cybersecurity hanno ancora diverse difficoltà nel gestire la cybersecurity delle supply chain delle loro imprese. Dall'altro lato c'è una considerazione più strategica: chi fa sicurezza cyber non riesce a convincere il top management aziendale a prendere decisioni di business che tengano conto del rischio cyber, scartando i partner meno affidabili. Anche qui, gli indicatori dovranno migliorare.