L’Agenzia dell’Unione Europea per la cybersicurezza (ENISA) è nata nel 2004 con un compito chiaro: alzare il livello di sicurezza informatica in tutta Europa. In vent’anni si è trasformata da centro di competenza tecnico a snodo strategico capace di guidare le politiche europee, coordinare reti di risposta agli incidenti e preparare governi e aziende alle nuove sfide digitali.
ENISA non si limita a scrivere linee guida: agisce sul campo. Organizza esercitazioni paneuropee come Cyber Europe, che nell’ultima edizione ha coinvolto oltre un migliaio di esperti per simulare un maxi-attacco al settore energetico. Cura il Threat Landscape, la mappa delle minacce che ogni anno diventa punto di riferimento per aziende, istituzioni e analisti di sicurezza.
Un altro ruolo chiave di ENISA è la raccolta e analisi degli incidenti cyber notificati a livello europeo. Tra le sue pubblicazioni più recenti spicca l’Annual Report NIS Directive Incidents, che fornisce una panoramica degli episodi rilevati e notificati nel 2024. Un rapporto utile non solo alle entità direttamente interessate dalla direttiva, ma a tutte le aziende e le organizzazioni che vogliono comprendere meglio lo scenario delle minacce e rafforzare la propria resilienza.
I dati sugli incidenti
Per oltre cinque anni le segnalazioni previste dalla direttiva NIS1 hanno offerto una fotografia dello stato della sicurezza digitale in Europa. Ogni Stato membro inviava a ENISA un report annuale con i principali incidenti, i settori colpiti e le cause tecniche. Con l’arrivo di NIS2 lo scenario cambia radicalmente. Le notifiche diventano più frequenti e dettagliate, gli obblighi si estendono a un numero maggiore di entità e l’obiettivo si sposta dalla conformità formale a una resilienza sostanziale. Non più una semplice raccolta di dati, ma uno strumento dinamico per reagire con maggiore rapidità agli incidenti.
Il 2024 rappresenta l’ultimo anno di piena applicazione della NIS1. Secondo ENISA sono stati notificati 1.276 incidenti, con un aumento del 18% rispetto al 2023. Il settore sanitario si conferma il più colpito, seguito da energia, trasporti, infrastrutture digitali e banche. Le cause principali restano i guasti di sistema (oltre la metà del totale), seguiti dalle azioni dolose, soprattutto attacchi DDoS, responsabili delle interruzioni più gravi, e dagli errori umani (circa l’11%). Preoccupa la percentuale di casi in cui la causa tecnica non è stata dichiarata o non è nota, un vuoto che limita la possibilità di apprendere informazioni utili e rafforzare la prevenzione.
Il quadro consegnato dal 2024 è chiaro: incidenti in crescita, settori critici sotto pressione e ancora troppe lacune nella qualità delle informazioni raccolte.
Analisi per settore
Per il quinto anno consecutivo la sanità è il settore che registra il maggior numero di incidenti, confermando il ruolo della salute come uno degli ambiti più vulnerabili e strategici.
La maggior parte degli episodi ha avuto origine da guasti di sistema, spesso legati a software e infrastrutture cliniche. Non sono mancati attacchi dolosi, in particolare ransomware, che hanno rappresentato la principale causa delle ore di servizio perse: interruzioni che in un contesto ospedaliero si traducono in ritardi nelle diagnosi, sospensioni di interventi e gravi rischi per la continuità assistenziale. Anche gli errori umani hanno inciso, ad esempio con configurazioni sbagliate o procedure di aggiornamento gestite in modo non corretto.
Gli asset più colpiti sono stati server, controller di dominio e applicazioni cliniche e amministrative. Preoccupa inoltre la quota elevata di incidenti per i quali la causa tecnica non è stata identificata, un dato che segnala difficoltà di monitoraggio e una frammentarietà delle informazioni disponibili.
Il quadro che emerge è quello di un settore in cui la digitalizzazione accelera ma la resilienza rimane fragile. La crescente dipendenza da sistemi ICT in ospedali, laboratori e strutture territoriali rende la sanità un bersaglio privilegiato: proteggere questi ambienti non significa soltanto garantire la sicurezza dei dati, ma tutelare direttamente la vita delle persone.
Il settore energetico
L’energia si conferma il secondo settore più colpito e il dato più rilevante riguarda l’impatto dei ransomware, che si sono dimostrati particolarmente distruttivi per la continuità operativa delle infrastrutture. Anche gli attacchi DDoS hanno avuto un ruolo significativo, rallentando o bloccando temporaneamente l’accesso a servizi e interfacce critiche. A questo si aggiunge il peso di errori nei processi di aggiornamento software, che hanno reso ancora più vulnerabili sistemi già complessi da gestire.
Tra gli asset più esposti figurano siti web istituzionali e server/controller di dominio, spesso utilizzati come punto di accesso iniziale per campagne malevole di più ampia portata. In oltre il 90% dei casi, però, la causa tecnica non è stata specificata, a conferma della difficoltà di ricostruire in modo dettagliato la catena degli eventi.
Il settore energetico rimane dunque un bersaglio ad alta priorità: la sua rilevanza strategica lo rende appetibile per gruppi criminali e attori statali, mentre la crescente digitalizzazione delle reti di distribuzione e dei sistemi di controllo apre nuove superfici d’attacco. La capacità di prevenire, rilevare e mitigare rapidamente un incidente non è più solo una questione di compliance, ma una condizione imprescindibile per la sicurezza nazionale e la stabilità economica.
Il settore dei trasporti
Il comparto dei trasporti si colloca al terzo posto tra i settori più colpiti. Gli incidenti derivano da una combinazione di guasti di sistema e azioni dolose, con un ruolo significativo anche degli errori umani, che in diversi casi hanno inciso direttamente sulla disponibilità dei servizi.
Gli attacchi DDoS si confermano la minaccia più ricorrente, responsabile non solo di interruzioni temporanee ma anche del maggior numero di ore di servizio perse. Tra gli asset più colpiti figurano siti web e server a supporto delle infrastrutture di mobilità, dalle reti ferroviarie ai sistemi aeroportuali e marittimi.
Un dato rilevante è che, nonostante la crescita delle azioni malevole, gli errori umani hanno avuto un impatto particolarmente elevato, alimentando disservizi e vulnerabilità. Ciò evidenzia quanto sia cruciale il fattore umano in ambienti caratterizzati da tecnologie eterogenee e processi operativi complessi.
La resilienza del comparto trasporti non riguarda solo l’efficienza economica, ma tocca direttamente la mobilità quotidiana dei cittadini e la continuità delle supply chain internazionali. Un’interruzione prolungata può infatti propagarsi rapidamente a cascata, con conseguenze che superano il singolo episodio tecnico.
Infrastrutture digitali
Il comparto delle infrastrutture digitali si colloca al quarto posto tra i settori più colpiti. La maggior parte degli episodi è stata ricondotta a guasti di sistema e azioni dolose, con una quota minore ma significativa di errori umani.
Gli attacchi DDoS sono la principale causa delle interruzioni di servizio e delle ore perse dagli utenti, rivelandosi particolarmente efficaci contro data center, piattaforme di connettività e servizi online di larga scala. Anche i bug software hanno avuto un peso rilevante, segno della fragilità di sistemi sempre più interdipendenti.
Gli asset più esposti sono siti web e server/controller di dominio, punti di ingresso privilegiati per bloccare o degradare i servizi. Preoccupa però la qualità delle informazioni disponibili: nel 92% dei casi la causa tecnica non è stata dichiarata, limitando la possibilità di apprendere dagli incidenti e rafforzare la prevenzione.
Il settore delle infrastrutture digitali è la spina dorsale di tutti gli altri comparti critici: un attacco o un guasto in questo ambito si riflette a catena su energia, trasporti, finanza, sanità e pubblica amministrazione.
Banche e finanza
Il settore bancario rimane uno dei comparti più esposti alle minacce informatiche. Gli attacchi DDoS si confermano la minaccia più significativa, non solo per frequenza ma soprattutto per impatto: hanno causato il maggior numero di ore di servizio perse, colpendo in particolare siti web, applicazioni di online banking e server di autenticazione. In un contesto in cui la fiducia degli utenti e la continuità delle transazioni sono fondamentali, anche brevi interruzioni possono avere effetti amplificati sulla reputazione e sulla stabilità del servizio.
Gli asset più colpiti sono le piattaforme digitali di accesso ai servizi bancari, insieme a infrastrutture di backend essenziali per l’operatività quotidiana. Il settore resta uno dei bersagli privilegiati non solo per la criminalità organizzata alla ricerca di profitto immediato, ma anche per attori statali o gruppi avanzati che puntano a destabilizzare infrastrutture finanziarie strategiche.
Il settore dei servizi governativi
I servizi governativi hanno registrato un numero inferiore di incidenti rispetto ad altri comparti ma significativo per la natura delle minacce coinvolte. La maggioranza degli episodi è stata ricondotta ad azioni dolose, con una forte incidenza degli attacchi DDoS, spesso mirati a rendere inaccessibili portali istituzionali o piattaforme digitali utilizzate dai cittadini.
Gli asset più colpiti sono stati siti web e server/controller di dominio, elementi critici per la fruizione di servizi pubblici digitali. Le interruzioni hanno avuto conseguenze dirette sulla disponibilità di procedure amministrative online, incidendo immediatamente sulla relazione tra istituzioni e cittadini.
Un aspetto rilevante riguarda le ore di servizio perse, dovute non solo alle azioni malevole ma anche a malfunzionamenti in aggiornamenti software difettosi. Questo mette in evidenza come, anche nella pubblica amministrazione, la gestione del ciclo di vita applicativo e delle patch sia una sfida centrale per la continuità dei servizi.
Fornitura e distribuzione di acqua potabile
Nel 2024 il settore dell’acqua potabile ha registrato un numero di incidenti inferiore rispetto ad altri comparti, ma di grande rilevanza strategica perché riguarda un servizio essenziale per la vita quotidiana e la salute pubblica.
In questo ambito spiccano soprattutto gli attacchi malware e DDoS, che hanno rappresentato le principali cause delle ore di servizio perse, compromettendo la disponibilità e l’affidabilità dei sistemi di controllo industriale.
Gli asset più vulnerabili sono i sistemi ICS/SCADA, cuore operativo della distribuzione idrica, insieme a siti web e server di dominio. Questi apparati, spesso meno aggiornati o basati su architetture legacy, risultano particolarmente esposti a interruzioni e ad attacchi mirati.
La protezione della catena di fornitura dell’acqua non è soltanto una questione di compliance normativa: rappresenta un presidio diretto della sicurezza nazionale, perché qualsiasi interruzione prolungata avrebbe conseguenze immediate sul benessere della popolazione e sulla fiducia nei servizi pubblici fondamentali.
Trend trasversali
Il bilancio di questo report non è soltanto l’ultimo atto di un percorso normativo, ma la fotografia di un problema concreto che riguarda da vicino le aziende che operano nelle infrastrutture. La crescita degli incidenti, la fragilità dei sistemi e il peso delle azioni dolose si riflettono inevitabilmente anche su PMI e organizzazioni più piccole, spesso inserite in catene di fornitura complesse e interconnesse. Ogni interruzione nei settori chiave — sanità, energia, trasporti, finanza, servizi digitali — può avere effetti a cascata che colpiscono anche chi non è formalmente incluso negli obblighi NIS, ma ne subisce comunque le conseguenze.
In questo senso, i dati di ENISA non vanno letti solo come un adempimento normativo, ma come un segnale utile per tutto il tessuto economico. Prepararsi significa rafforzare processi, tecnologie e competenze in ogni tipo di organizzazione, grande o piccola che sia, perché la resilienza cyber è ormai un prerequisito per la competitività e la continuità operativa.
Dai dati all’azione
I numeri di ENISA ci dicono molto: quali settori sono più vulnerabili, quali cause ricorrono e quali asset risultano più esposti. Ma da soli non bastano. Per trasformare queste informazioni in una strategia di difesa serve un approccio pratico, che combini tecnologie, processi e competenze.
È qui che entra in gioco Hypergrid. Sul sito hypergrid.it trovi un ecosistema di soluzioni pensate per proteggere il tuo business digitale:
• Servizi gestiti di sicurezza come HyperSafe per esternalizzare la protezione della rete o HyperFilter per bloccare traffico web malevolo
• Strumenti di difesa avanzata come HyperDLP per evitare esfiltrazioni di dati, HyperCut per il controllo granulare degli accessi, HyperVPN per connessioni sicure e HyperDMZ per esporre servizi locali in modo protetto
• Resilienza e continuità con HyperSpace per il backup periodico, soluzioni di Disaster Recovery per il ripristino immediato dei sistemi e servizi IaaS e di virtualizzazione in cloud certificate AGID
• Protezione della comunicazione con HyperPEC, HyperMail, SecureMail, Mail Archive e Mail Outpost
• Compliance normativa e consulenza con HyperGDPR, HyperACN e servizi di consulenza trasversale, per accompagnare aziende e PA nell’adeguamento a GDPR, NIS2 e normative nazionali
• Formazione con percorsi dedicati a manager, team IT e utenti finali, perché la resilienza cyber parte dalle persone
L’obiettivo non è solo rispettare un obbligo, ma costruire una resilienza sostanziale: proteggere gli asset critici, garantire continuità operativa e rafforzare la fiducia di clienti e partner. Se i dati ENISA mostrano la mappa delle minacce, Hypergrid ti aiuta a scegliere la rotta giusta per affrontarle.
VUOI PRENOTARE UN APPUNTAMENTO ONLINE CON IL NOSTRO TEAM PER SCOPRIRE, SENZA IMPEGNO, COME POSSIAMO AIUTARTI?
Devi effettuare l'accesso per postare un commento.