L’Italia è il Paese Ue che ha speso di più nell’attuazione della direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva Nis), primo atto legislativo Ue nel campo della cybersecurity. È quanto emerge dal nuovo rapporto dell’Agenzia europea per la cybersicurezza, Enisa, sugli impatti della direttiva con un focus specifico sugli investimenti intitolato “NIS Investments Report 2021” (SCARICA QUI IL REPORT COMPLETO).
Lo studio aggrega i dati di tutti i 27 stati membro e analizza l’uso dei budget per la cybersicurezza da parte degli operatori di servizi essenziali (Oes) e dei fornitori di servizi digitali (Dsp), cui la direttiva attribuisce l’obbligo di adottare misure per la gestione dei rischi e la prevenzione degli incidenti informatici. In media il budget stanziato da ciascun Oes/Dsp per attuare la direttiva è pari a 98.000 euro, ma per l’Italia si arriva a 140.000 euro. A seguire la Francia (115.000 euro), la Polonia e l’Austria (100.000).
La direttiva Nis è stata implementata dall’82% delle 947 organizzazioni che ricadono nella definizione degli Oes e dei Dsp negli Stati Ue. Il 67% avrà bisogno di ulteriori risorse finanziarie per l’implementazione e la compliance. Di questi il 18% non ha attuato nessuna delle misure previste per soddisfare i requisiti del Nis.
Italia prima per spesa in cybersicurezza
Il termine Oes include gli operatori dei settore energia, trasporti, banche, infrastrutture per il mercato finanziario, sanità, distribuzione di acqua potabile, infrastruttura digitale. I Dsp comprendono i marketplace online, motori di ricerca online, servizi di cloud computing.
Tipicamente un Oes/Dsp spende circa 2 milioni di euro sulla sicurezza informatica, svela lo studio di Enisa. Quindi il budget per l’implementazione della direttiva Nis rappresenta dal 5% al 10% dell’intero budget.
L’Italia è tra i paesi che spendono di più in generale. I nostri Oes/Dsp hanno investito in It per la sicurezza informatica 77,8 milioni in un anno; solo la Francia ci supera con 80 milioni. In information security gli operatori e i provider italiani hanno speso 6,75 milioni; anche qui siamo secondo solo ai cugini d’Oltralpe (8 milioni).
Il budget per al sicurezza viene destinato soprattutto a tre aree: gestione delle vulnerabilità e security analytics (20%) governance, risk & compliance (18%) e sicurezza di rete (16%), prioritarie per il Nis. Seguono la spesa per la gestione degli accessi e la sicurezza di dati, terminali e applicazioni.
Energia e banche spendono più di ogni altro settore
Sono gli Oes e i Dsp del settore energia a spendere di più sull’implementazione della direttiva, seguiti da vicino dalle organizzazioni del settore bancario. Sul versante opposto le aziende della fornitura e distribuzione di acqua, le infrastrutture per i mercati finanziari e le infrastrutture digitali: spendono meno degli altri settori per la compliance al Nis.
Circa il 50% degli Oes/Dsp intervistati ritiene che l’implementazione della normativa abbia rafforzato in modo significativo o molto significativo la gestione della cybersicurezza. Quasi la metà considera rafforzate le proprie capacità di rilevamento delle minacce e il 26% ritiene che abbia rafforzato la propria capacità di recupero dagli incidenti di sicurezza. Nel 2020 solo l’8,8% degli intervistati ha subito un grave incidente di cybersecurity.
Quanto costano i cyber-incidenti
I settori banking e healthcare soffrono i costi diretti più alti degli incidenti di sicurezza severi, mediamente fra 213.000 e 300.000 euro, contro 100.000 euro di costi diretti per gli altri settori. Il 57% delle organizzazioni non ha una cyber-assicurazione.
Tipicamente un Oes o Dsp ha unto staff It di 60 persone, di cui 7 preposte alla sicurezza informatica e 2 di queste che si occupa di risposta agli incidenti. La direttiva Nis ha portato il 18,7% delle organizzazioni a spostare personale interno verso le mansioni di cybersicurezza e il 32% ha assunto collaboratori esterni per aiutare nella compliance e nella gestione dei rischi.