Indice Show
C’è qualcosa di quasi geologico nel modo in cui ENISA misura la cybersicurezza europea. Lenta accumulazione di evidenze, strati sovrapposti di dati e percezioni, movimenti impercettibili anno su anno – e poi, improvvisamente, uno spostamento che ridisegna la cartografia del rischio. Il rapporto NIS360 2026, pubblicato lo scorso 28 maggio, è esattamente questo: una carta topografica dello stato di salute digitale dei settori critici dell’Unione, che vale la pena leggere non solo come documento tecnico ma come diagnosi di sistema.
È la terza edizione. Il metodo si è consolidato: maturity e criticality vengono valutate separatamente per ciascuno dei 22 settori e sottosettori di alta criticità individuati dall’Allegato I della direttiva NIS2, e poi rilette insieme, alla ricerca di disallineamenti – quei casi in cui un settore è più esposto di quanto sia preparato a gestire. Quel quadrante si chiama risk zone. Ed è lì che la lettura diventa politicamente rilevante.
Chi sale, chi scende, chi preoccupa
I progressi ci sono, e sarebbe scorretto ignorarli. Banking, elettricità e telecomunicazioni rimangono saldamente nella banda dell’alta maturità. Tre settori – trust services, aviazione e infrastrutture dei mercati finanziari — fanno il salto e li raggiungono. Gas, trasporto su strada, marittimo e salute rafforzano la loro posizione all’interno della banda moderata. La legislazione ha funzionato da leva: il 70% delle organizzazioni intervistate nel contesto del rapporto NIS Investments 2025 cita la conformità normativa come principale driver degli investimenti in cybersicurezza, ma – ed è il dato più interessante – una quota significativa ha già realizzato benefici che vanno ben oltre la mera compliance.
DORA merita una menzione separata. Il suo ingresso in vigore a gennaio 2025 ha impresso un’accelerazione misurabile alle infrastrutture dei mercati finanziari: gestione del rischio più strutturata, preparedness operativa migliorata, supervisori più attrezzati. È la prova che la legislazione settoriale, quando è coerente e praticabile, produce effetti reali.
Ma il rapporto non è un comunicato di ottimismo regolatorio. La risk zone si allarga, non si restringe. E si allarga per una ragione controintuitiva: il miglioramento generale della media fa scivolare dentro la zona di rischio settori che prima stavano appena al confine. Ferrovie, acqua potabile e acque reflue entrano nella risk zone proprio mentre il gas ne esce. Non è un peggioramento assoluto: è la dinamica di un sistema che cresce in modo diseguale.
I settori che chiedono attenzione
La lettura settoriale del NIS360 2026 è impietosa su alcuni fronti.
Le pubbliche amministrazioni rimangono il settore più attaccato e tra i meno maturi. Un terzo non ha un approccio strutturato per garantire competenze cyber al livello manageriale. La metà non eroga formazione cybersecurity al management. Il patching dura spesso più di tre mesi. Il phishing resta il vettore di accesso iniziale più comune, eppure le misure di igiene di base latitano. È un paradosso che la direttiva NIS2 sta cercando di correggere, ma la supervisione è affidata ad autorità orizzontali che devono ancora acquisire familiarità con le specificità del settore.
L’ICT service management — ovvero i fornitori di servizi gestiti (MSP) e di sicurezza gestita (MSSP) – preoccupa per ragioni sistemiche. La sua maturità moderata non è solo un problema del settore in sé: è un problema per tutti i settori che dipendono da questi fornitori per operare. La compromissione di un MSP non è un incidente isolato; è potenzialmente un vettore di cascata verso centinaia di clienti. Eppure la collaborazione strutturata è quasi assente a livello europeo, le autorità di supervisione sono spesso inesperte, e il debito tecnico accumulato da anni di acquisizioni e architetture improvvisate rende difficile ogni percorso di consolidamento.
Il settore spaziale merita un paragrafo a parte. La sua criticality è stata rivalutata al rialzo – lo spazio è ormai infrastruttura critica per positioning, timing, comunicazioni sicure e osservazione della Terra – ma la sua maturità resta nella parte bassa della banda moderata, con una variabilità interna enorme. Alcune entità sono avanzate; altre faticano persino a definire ruoli e responsabilità in materia di cybersicurezza. L’assenza di un quadro regolatorio specifico (l’EU Space Act è ancora in negoziazione) lascia fuori dallo scope NIS2 una parte significativa del settore. Nel frattempo, le costellazioni crescono, le ground station migrano sul cloud, i componenti COTS si moltiplicano – e la superficie d’attacco si espande.
Acqua potabile e acque reflue chiudono la graduatoria di maturità. Un’entità su tre non ha mai condotto una valutazione del rischio. Le strutture di collaborazione e condivisione delle informazioni sono quasi inesistenti a livello europeo. La dipendenza da sistemi legacy e OT è pervasiva, le risorse scarse, e la consapevolezza regolamentare ancora limitata. Sono settori che la NIS2 ha incluso nel suo perimetro, ma che non hanno ancora beneficiato dell’attenzione che altri settori hanno ricevuto nel tempo.
Il contesto emergente: tre dinamiche che cambiano tutto
Il rapporto dedica un capitolo specifico a tre dinamiche trasversali che stanno ridisegnando il paesaggio di rischio indipendentemente dal settore.
La prima è l’intelligenza artificiale. I benefici si stanno materializzando più rapidamente per gli attaccanti che per i difensori. L’AI abbassa le barriere di accesso alle capacità offensive, accelera la scoperta e lo sfruttamento delle vulnerabilità, rende più convincente il social engineering. I settori critici si trovano a dover rilevare e rispondere a minacce in finestre temporali significativamente più strette rispetto al passato, e a gestire ondate di attacchi simultanei su scala.
La seconda è la supply chain. Ogni organizzazione che si fida di un fornitore si fida implicitamente di tutti i fornitori di quel fornitore. La compromissione di un singolo componente trusted – una libreria open source, un tool di CI/CD, un provider cloud – può propagarsi attraverso interi ecosistemi settoriali. Il 90% delle organizzazioni intervistate nel NIS Investments 2025 dichiara di aver implementato controlli per gestire i rischi della supply chain; il 47% indica gli attacchi alla catena di fornitura come seconda preoccupazione principale per il futuro, dopo il ransomware.
La terza è la volatilità geopolitica. Le sanzioni, i controlli sulle esportazioni, le instabilità regionali hanno effetti concreti sulla cybersicurezza: aumentano l’esposizione ad attacchi geopoliticamente motivati e spingono le organizzazioni a ripensare le proprie dipendenze tecnologiche in chiave di sovranità digitale e riduzione della concentrazione.
Cosa significa per chi fa compliance
Per un consulente che lavora quotidianamente con soggetti NIS2 – essenziali e importanti – il NIS360 non è solo letteratura accademica. È una mappa di priorità.
Dice che la conformità formale non basta: le aree dove le organizzazioni faticano di più sono gestione delle vulnerabilità, business continuity e disaster recovery, e gestione del rischio della supply chain. Tutte aree che richiedono sostanza, non checklist. Dice che le autorità di supervisione sono ancora in costruzione in molti settori, il che crea incertezza interpretativa ma anche finestre di dialogo. Dice che i settori meno maturi — pubbliche amministrazioni, ICT service management, acqua, spazio — hanno bisogno di un approccio graduato e contestualizzato, perché le sfide che affrontano non sono le stesse delle banche o delle telecomunicazioni, e trattarle come tali produce compliance di carta.
E dice, forse soprattutto, che il progresso è possibile. Il gas è uscito dalla risk zone. Le FMI hanno fatto il salto verso l’alta maturità. L’aviazione ha consolidato posizioni che sembravano fragili. Quando la legislazione è coerente, la supervisione è competente e la collaborazione è strutturata, le cose cambiano.
