Resilienza cyber in attesa di NIS 2: Italia tra le più virtuose in Europa, secondo i numeri del Cyber Self Assessment di Marsh
Marsh, leader globale nell’intermediazione assicurativa e nella consulenza sui rischi, ha analizzato i dati sul livello di resilienza in ambito cyber delle aziende europee con l’obiettivo di evidenziare il livello di preparazione delle aziende rispetto ad alcuni dei requisiti della Direttiva Network and Information Systems (NIS) 2.
Lo studio trae i propri dati dal Marsh Cyber Self Assessment (CSA), strumento proprietario che analizza il livello di esposizione e la presenza dei requisiti necessari per accedere all’assicurazione cyber, I risultati dello studio, confluiti nel white paper Nis 2 Directive: Are organisations ready?, condotto nel 2024 su dati 2023, hanno evidenziato che, a livello europeo:
- L’Italia è il primo Paese in Europa, con un punteggio medio di 68%. Seguono Francia e Paesi Bassi, rispettivamente con il 67% e il 65%. Fanalino di coda Germania (48%) e Portogallo (46%). La media europea è del 57%.
- Il 70% delle organizzazioni europee si affida ancora a sistemi end-of-life (EOL), ossia sistemi alla fine del loro ciclo di vita che non beneficiano più degli aggiornamenti di sistema e sicurezza. Tale pratica contrasta con tutte le best practice e framework di Cybersecurity andando a rappresentare un rischio rilevante.
- L’implementazione di sistemi per la gestione degli accessi privilegiati (PAM) – cioè sistemi che permettono di gestire l’accesso ai sistemi aziendali da parte di utenti “privilegiati”, cioè con autorizzazioni ampie – è carente: in media, solo il 32% delle organizzazioni ha implementato tali sistemi.
- Solo il 60% delle organizzazioni richiede l’autenticazione a più fattori (MFA) per l’accesso a dati/sistemi critici, un requisito previsto dalla NIS 2. L’articolo 21 “Misure di gestione dei rischi per la sicurezza informatica” richiede infatti esplicitamente l’implementazione di soluzioni di autenticazione a più fattori.
- Le soluzioni anti-malware sono ben implementate su workstation e laptop (90%), ma i tassi di adozione scendono per i server (74%) e per i dispositivi mobili (30%). Questa discrepanza evidenzia la necessità per le organizzazioni di estendere i propri sforzi anti-malware a tutti i dispositivi per garantire una protezione completa. Le organizzazioni identificate come soggetti essenziali e importanti ai sensi della NIS 2 sono tenute a implementare misure di sicurezza adeguate a gestire i rischi per la propria rete e i propri sistemi informativi.
- Il 50% delle organizzazioni esegue settimanalmente scansioni delle vulnerabilità, a dimostrazione di un approccio proattivo.
“I risultati del nostro Cyber Self Assessment mettono in evidenza punti di forza e altrettanto spazio per azioni di miglioramento nell’implementazione delle principali misure di sicurezza informatica da parte delle aziende europee” ha commentato Carlo Drioli, Head of Business Resilience & Digital Risk di Marsh Advisory Italia. “Per le organizzazioni interessate dalla Direttiva NIS 2 è più importante che mai analizzare il proprio livello di esposizione ai rischi cyber e valutare le strategie più adatte per la loro mitigazione, tanto sul piano dell’implementazione di soluzioni e sistemi, quanto nell’ambito della pianificazione della risposta agli incidenti e della formazione dei dipendenti”.
“L’introduzione della norma NIS 2 rappresenta un’opportunità per molte organizzazioni di rivalutare la propria posizione in materia di sicurezza informatica” ha aggiunto Rossella Bollini, Head of Cyber di Marsh Italia. “Per trarne pieno vantaggio, le aziende devono investire nella costruzione della resilienza attraverso l’introduzione di controlli di sicurezza, supportando questo processo attraverso il trasferimento del rischio residuo al mercato assicurativo. Questo strumento si sta infatti confermando come elemento fondamentale nella generale strategia delle organizzazioni, aiutandole a gestire i rischi finanziari legati agli incidenti informatici.
Risultati per paese
I risultati specifici per Paese mostrano variazioni nei punteggi di valutazione dei controlli, con Italia, Francia e Paesi Bassi che ottengono buoni risultati e Svezia, Finlandia e Germania che ottengono i punteggi più bassi. L’Italia è in testa alla classifica per il punteggio medio CSA per Paese con il 68%. Seguono Francia e Paesi Bassi, rispettivamente con il 67% e il 65%. Germania (48%) e Portogallo (46%) sono in ritardo. La media è del 57%.
Ad un’analisi più approfondita, il nostro Paese ottiene ottimi risultati nell’implementazione dell’autentificazione a più fattori e nella predisposizione di piani di risposta documentati agli incidenti cyber. Più consolidati invece in Francia il ricorso ad assessment di sicurezza a opera di terze parti e l’implementazione della gestione degli accessi privilegiati. (vedi Figura 4). Per quanto riguarda l’adozione dell’MFA, Paesi Bassi, Belgio, Finlandia e Italia superano il punteggio medio del 73%, con punteggi compresi tra l’82% e l’86%. La Germania è in ritardo, con un punteggio del 56%. La differenza tra i Paesi con il punteggio più alto e quelli con il punteggio più basso è di oltre 20 punti percentuali, il che sottolinea la necessità di migliorare in alcuni Paesi.
Risultati per settore
I risultati specifici di settore rivelano che le industrie finanziarie e assicurative, identificate come vitali nell’ambito del NIS 2, sono in testa per quanto riguarda il livello di maturità nell’implementazione dei controlli, con un risultato CSA del 67% (valutazione media 67%). Il settore della produzione e distribuzione di prodotti chimici è invece in coda alla classifica (48%), mentre l’industria sanitaria, anch’essa considerata un settore vitale nell’ambito della NIS 2, ottiene un punteggio medio del 52%. Sorprendentemente, l’industria sanitaria, che è stata spesso bersaglio di attacchi informatici, ottiene un punteggio medio del 52%. Cionondimeno, è necessario un rafforzamento delle misure di sicurezza informatica nel settore sanitario, in particolare considerando la criticità dei dati personali trattati dei pazienti.