Il nuovo report ENISA NIS360 2026 è la terza edizione di uno strumento ormai diventato indispensabile per chiunque lavori sul tema della conformità alla direttiva NIS2. Si tratta di un’analisi strutturata che valuta, su base annuale, il livello di maturità in materia di sicurezza informatica in tutti i settori ad alta criticità individuati nell’Allegato I della direttiva.
La valutazione copre l’intero ecosistema di ciascun settore (autorità nazionali, enti, organismi UE e normativa applicabile) fornendo sia una panoramica comparativa sia un’analisi approfondita settore per settore.
Il messaggio centrale di questa edizione può essere riassunto in una formula: i progressi ci sono, ma sono disomogenei. E dove la maturità è ancora bassa rispetto alla criticità sistemica del settore, il rischio per l’economia e per i cittadini europei è concreto.
La metodologia: come si misura la maturità cyber di un settore
Prima di analizzare i risultati, vale la pena spiegare come funziona il modello NIS360. ENISA valuta ciascun settore lungo due assi principali: maturità e criticità.
La maturità è misurata attraverso quattro dimensioni:
- Quadro politico e normativo: efficacia della legislazione applicabile e capacità di supervisione delle autorità nazionali.
- Gestione del rischio cyber: adozione di pratiche strutturate da parte delle organizzazioni e valutazione dell’efficacia da parte delle autorità.
- Condivisione delle informazioni e collaborazione: livello di cooperazione tra aziende e autorità, sia a livello nazionale sia europeo.
- Preparazione operativa: prove di prontezza quali security assessment, test di incident response e piani di business continuity.
La criticità, invece, viene valutata a livello macro, considerando il grado di digitalizzazione del settore, l’impatto socioeconomico di un eventuale incidente significativo e la time-criticality, ovvero la velocità con cui un attacco si tradurrebbe in effetti concreti sulla società e sugli altri settori interconnessi.
Incrociando le due dimensioni, emerge il concetto chiave di “risk zone”: i settori che si trovano in questa zona sono quelli con una maturità inferiore alla media ma con un livello di criticità superiore alla loro capacità di gestire i rischi cyber. Sono, in sostanza, i settori che espongono l’UE ai rischi maggiori.
I settori ad alta maturità: chi guida e perché
Il report conferma che banche, elettricità e telecomunicazioni rimangono i settori più maturi e critici dell’intera analisi. Non è una sorpresa: sono anche i settori regolamentati da più tempo, con autorità di supervisione mature, ecosistemi strutturati di condivisione delle informazioni (ISAC) e un’abitudine consolidata a testare la preparazione operativa.
La novità di questa edizione è che tre settori sono entrati nella fascia di alta maturità: trust services, aviazione e infrastrutture dei mercati finanziari (FMI). Un avanzamento significativo, soprattutto per le FMI, dove la compliance al regolamento DORA (diventato applicabile a gennaio 2025) ha funzionato da acceleratore concreto per investimenti e pratiche di risk management strutturate.
Il messaggio per le aziende è chiaro: la normativa, quando è coerente e ben progettata, funziona davvero come leva di miglioramento. Non solo come obbligo formale, ma come strumento per allocare risorse in modo più efficace.
I dati del report NIS Investments 2025 citati nel documento lo confermano: il 70% delle organizzazioni intervistate indica la compliance normativa come principale driver degli investimenti cyber, ma una quota rilevante ha già registrato benefici che vanno ben oltre la semplice conformità.
La “risk zone”: i settori che preoccupano di più
La parte più critica del report riguarda i settori che rientrano nella cosiddetta risk zone. In questa edizione si trovano: sanità, ferroviario, marittimo, gestione dei servizi ICT (MSP/MSSP), spazio, pubblica amministrazione, acqua potabile e acque reflue.
Una lista lunga, eterogenea e per certi versi sorprendente nella sua persistenza. Analizziamo i casi più significativi.
Sanità: progressi tangibili ma insufficienti
Il settore sanitario rimane nella fascia di maturità moderata. Ci sono segnali positivi: l’attenzione politica crescente, i piani d’azione europei sulla cyber security healthcare, la disponibilità di linee guida sempre più dettagliate. I produttori farmaceutici mostrano performance superiori rispetto agli ospedali e ai provider di assistenza diretta.
Ma è proprio qui il problema: ospedali e strutture sanitarie continuano a fare i conti con sistemi legacy, dispositivi IoMT (Internet of Medical Things) vulnerabili, budget limitati e carenza di competenze specialistiche.
I ransomware restano la minaccia principale e gli attacchi recenti dimostrano che le conseguenze sono immediate e concrete: cancellazione di interventi chirurgici, esposizione di dati sensibili, interruzione dei servizi ai pazienti.
Questi dati confermano che le organizzazioni sanitarie devono adottare una visione integrata della sicurezza informatica che includa i dispositivi medicali, i fornitori terzi e le dipendenze dalla supply chain.
Il piano di business continuity non può essere solo un documento: deve essere testato regolarmente, anche con esercitazioni tabletop. La gestione delle vulnerabilità sui sistemi legacy richiede approcci compensativi quando il patching non è praticabile.
Pubblica amministrazione: il settore più attaccato, ancora immaturo
La PA è il settore più colpito in assoluto (il 69% degli attacchi riguarda le amministrazioni centrali, il 24% quelle locali) ma è anche tra quelli con il più basso coinvolgimento del management nelle decisioni di cyber security.
Circa un terzo delle PA non ha un approccio strutturato per garantire competenze cyber a livello dirigenziale. Il patching richiede spesso più di tre mesi. Solo un terzo conduce security assessment completi e regolari.
C’è un dettaglio che emerge dal report e che merita attenzione: le PA sono tra gli utenti più attivi del Support Action di ENISA, il che ha contribuito a miglioramenti nella threat detection. Ma il gap rispetto alla media cross-settoriale resta ampio.
Le PA devono, dunque, investire nella formazione del management, non solo del personale tecnico. La cyber hygiene di base, ossia gestione delle credenziali, consapevolezza sul phishing, aggiornamenti tempestivi, deve diventare una priorità operativa.
La supervisione da parte delle autorità nazionali è ancora debole e richiede rafforzamento urgente.
Acqua e acque reflue: tra i meno maturi in assoluto
Il settore dell’acqua potabile si trova a un livello di maturità “basso-moderato”, mentre le acque reflue sono addirittura a livello “basso”.
Gli approcci alla gestione del rischio restano largamente reattivi e ad hoc. La partecipazione alle iniziative di information sharing è limitata. I sistemi legacy dominano l’infrastruttura operativa. E la novità di questa edizione è che entrambi i settori sono entrati nella risk zone: un segnale preoccupante considerando il ruolo che queste infrastrutture svolgono per la salute pubblica.
La priorità è costruire una baseline di consapevolezza dei rischi cyber specifici del settore, includendo gli ambienti OT/ICS nella gestione del rischio. La partecipazione a iniziative di information sharing settoriali non è un lusso, è una necessità strutturale.
Spazio: alta criticità, maturità a macchia di leopardo
Il settore spaziale mostra una variabilità enorme nelle pratiche di sicurezza informatica. Alcune organizzazioni hanno capacità avanzate; altre faticano anche nelle aree fondamentali come la gestione degli asset e la segmentazione di rete.
Il problema è strutturale: non tutti gli operatori rientrano nell’ambito della NIS2, e chi è incluso non sempre ha un’autorità di supervisione con expertise specifica.
La criticità del settore è però cresciuta: le infrastrutture spaziali sono sempre più essenziali per la navigazione, il timing finanziario, le comunicazioni di emergenza e la difesa. ENISA ha aggiornato il punteggio di criticità dello spazio proprio per riflettere questa evoluzione.
Le organizzazioni del settore spaziale devono adottare un approccio coerente alla cyber security indipendentemente dall’obbligo normativo. La supply chain, sempre più dipendente da componenti COTS (Commercial Off-The-Shelf) e da operatori New Space, è un vettore di rischio sistemico che richiede governance specifica.
MSP e MSSP: il problema che si moltiplica
La gestione dei servizi ICT (MSP e MSSP) rimane a livello di maturità moderata, con progressi modesti e prevalentemente non sistematici. La preoccupazione non riguarda solo il settore in sé: i provider di servizi gestiti sono fornitori critici per tutti gli altri settori.
Una vulnerabilità in un MSP può propagarsi come un incendio attraverso decine di organizzazioni clienti.
ENISA lo dice esplicitamente: la maturità limitata degli MSP è una preoccupazione non solo per il settore stesso, ma per tutti i settori che dipendono da questi fornitori.
Le aziende che si affidano a MSP e MSSP devono integrare i requisiti di cyber security nei contratti, condurre audit regolari sui fornitori e verificare che i piani di incident response siano coordinati tra cliente e provider. Il DORA lo impone esplicitamente per il settore finanziario; è buona pratica universale per tutti.
Il contesto emergente: AI, supply chain e geopolitica
Il report dedica un’intera sezione ai fattori di contesto che stanno ridisegnando il panorama delle minacce per tutti i settori. Tre dinamiche in particolare:
- Intelligenza artificiale: l’AI sta amplificando le capacità offensive più rapidamente di quanto stia rafforzando le difese. Social engineering più convincente, phishing più sofisticato, tempi di exploitation delle vulnerabilità più rapidi. Le organizzazioni devono prepararsi a rilevare e rispondere alle minacce in finestre temporali significativamente più brevi rispetto al passato.
- Supply chain e terze parti: la compromissione di un singolo fornitore di fiducia può propagarsi attraverso l’intero ecosistema. Il 90% delle organizzazioni intervistate nel NIS Investments 2025 dichiara di aver implementato controlli sulla supply chain, ma la qualità e la profondità di questi controlli varia enormemente. La supply chain non è più un tema di secondo piano: è la superficie d’attacco principale.
- Volatilità geopolitica: le organizzazioni europee si trovano sempre più nella linea di fuoco di attacchi motivati politicamente, campagne di spionaggio e operazioni ibride. Settori come il ferroviario, il marittimo e lo spazio – sempre più legati alla logistica militare e alla difesa – stanno vedendo crescere la loro esposizione.
Il gas che esce dalla risk zone: un modello da replicare
C’è un dato positivo che vale la pena evidenziare: il settore del gas ha iniziato a uscire dalla risk zone. Come? Attraverso un miglioramento strutturato della condivisione delle informazioni, una collaborazione più intensa tra operatori e autorità, e un’implementazione più sistematica delle misure di risk management.
È un modello da replicare. Dimostra che anche settori con infrastrutture legacy complesse, ambienti OT difficili da proteggere e dipendenze cross-settoriali possono progredire in modo significativo, quando c’è volontà e metodo.
Cosa significa tutto questo per le aziende nel percorso NIS2
Il report ENISA NIS360 2026 non è solo una fotografia. È uno strumento di orientamento strategico per le aziende che stanno completando – o che ancora devono avviare – il percorso di conformità alla NIS2.
Alcune indicazioni operative trasversali che emergono dall’analisi:
Fare sul serio con la governance
Non basta che il management approvi formalmente le politiche di cybersecurity. Deve capire i rischi, allocare risorse in modo consapevole e partecipare attivamente alle decisioni.
Le organizzazioni con management coinvolto mostrano sistematicamente performance migliori in tutte le dimensioni valutate.
Includere gli ambienti OT nella gestione del rischio
Quasi tutti i settori industriali fanno i conti con sistemi operativi legacy che non erano stati progettati con la sicurezza in mente. La NIS2 non lo ignora.
Le aziende devono adottare approcci specifici per gli ambienti OT/ICS, anche quando il patching tradizionale non è praticabile.
Testare davvero la preparazione
Avere un piano di incident response scritto non equivale ad essere pronti. I test pratici (esercitazioni tabletop, simulazioni di attacco, test di business continuity) sono ciò che distingue la conformità formale dalla resilienza reale.
Non sottovalutare la supply chain
La NIS2 impone requisiti espliciti sulla gestione dei rischi derivanti dalla supply chain. Ma al di là dell’obbligo, è una priorità strategica.
Le organizzazioni devono sapere da chi dipendono, come questi fornitori gestiscono i propri rischi cyber e cosa succede se uno di loro viene compromesso.
Partecipare agli ecosistemi di information sharing
Gli ISAC settoriali (EH-ISAC per la sanità, EE-ISAC per l’energia elettrica, FI-ISAC per il settore bancario e altri) sono strumenti di intelligence collettiva.
Chi partecipa ha un vantaggio informativo reale rispetto a chi opera in isolamento.
La compliance non basta, serve la resilienza
Il messaggio finale che possiamo trarre dall’edizione 2026 del rapporto ENISA NIS360 2026 può essere, dunque, il seguente: la conformità normativa è un punto di partenza, non un punto d’arrivo.
Le organizzazioni che stanno usando la NIS2 come leva per costruire capacità cyber genuine e non solo per “spuntare le caselle” stanno ottenendo benefici che vanno ben oltre la compliance. Sono più resilienti agli attacchi, più preparate a rispondere agli incidenti, più competitive sul mercato.
Quelle che invece stanno adottando un approccio formalistico rischiano di trovarsi impreparate proprio quando la resilienza conta davvero: durante un attacco ransomware che paralizza i sistemi, durante un incidente che coinvolge un fornitore critico, durante una crisi che si propaga attraverso la supply chain.
Il rapporto ENISA NIS360 2026 ci dice dove siamo. Ora tocca alle organizzazioni decidere dove vogliono andare.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Paolo Tarsitano
Source link
