ENISA, pubblicato l’Handbook for Cyber Stress Tests

20 Maggio 2025

L’European Union Agency for Cybersecurity (ENISA) ha sviluppato un manuale sui Cyber Stress Tests. Il documento è rivolto alle autorità nazionali o settoriali che supervisionano la cybersicurezza dei settori critici. Sia a livello nazionale, che regionale.

Consulta il rapporto integrale

Il nuovo rapporto sui Cyber Stress Tests

L’European Union Agency for Cybersecurity (ENISA) ha sviluppato l’Handbook for Cyber Stress Tests, un manuale guida per le autorità nazionali o settoriali che agiscono nel comparto della cybersicurezza. Per la sicurezza informatica comunitaria, dunque, si apre la possibilità di crescere e rafforzarsi, modulando delle più puntuali capacità di risposta alle vulnerabilità e alle minacce.

Nel dettaglio, questo documento si pone nell’ottica di tutti quei sistemi cibernetici critici – sia a livello nazionale che dell’Unione Europea – sotto l’egida della Direttiva NIS 2. Questi test, infatti, hanno offerto e valorizzato un nuovo metodo di valutazione sistemica, a fronte di incidenti e minacce informatiche.

Lo strumento potrebbe fungere da supporto per le autorità nazionali e di vigilanza nell’ambito delle normative settoriali. Ad esempio, quelle che ha previsto il Digital Operational Resilience Act (DORA) o la Direttiva sulla resilienza delle entità critiche (CER).

Nella sicurezza cyber europea

L’Agenzia sta operando in funzione delle misure di mitigazione e per lo stato di sfruttamento delle vulnerabilità di cybersecurity. Vulnerabilità, che interessano i prodotti e i servizi di Information and Communication Technology (ICT).

Da questo punto di vista, per migliorare i livelli di sicurezza cyber, lo stress test informatico può aiutare sia nell’analisi, che nelle capacità di recupero operativo. L’accento va sempre sugli scenari realistici di rischio. Questa modalità ha già trovato una sua applicazione all’interno di varie istituzioni.

Per esempio, la Banca Centrale Europea (BCE) e la Commissione europea, che hanno condotto le prove di merito rispettivamente su banche e infrastrutture energetiche.

Il livello degli obiettivi

Da questo punto di vista, gli attori di riferimento avranno modo di proteggere con maggiore efficienza e autonomia le infrastrutture digitali, sempre più collegate tra loro.

Si andranno così a soddisfare le misure della Direttiva NIS 2, convertendosi in una fonte efficiente di informazioni per individuare misure di mitigazione. Secondo quanto ha spiegato la stessa Agenzia, l’obiettivo del manuale “è quello di guidare le autorità nello stress test della cybersecurity e della resilienza di entità in settori critici“.

Caratteristiche dei cyber stress test

Sempre in termini formali, l’ENISA ha indicato tutte le caratteristiche di questi cyber stress tests. Sulla base di queste linee guida – in ciascun livello – le autorità andranno poi ad operare, seguendo i diversi passaggi. Nel dettaglio:

  1. Focus sulla resilienza. Gli stress test sono progettati per valutare la resilienza di un’organizzazione di fronte a diverse minacce informatiche. Gli stress test non sono previsioni, ma strumenti per comprendere i punti di rottura, per migliorare la preparazione, la risposta e il ripristino.
  2. L’utilizzo degli scenari, seguendo un approccio ‘what if‘, basandosi su scenari di rischio plausibili e il più possibile vicini al mondo reale.
  3. Queste prove hanno diversi livelli di stress, per capire il grado di preparazione dell’organizzazione in diversi scenari.
  4. Metriche di resilienza. Le prove di stress utilizzano metriche di resilienza per “misurare”qualitativamente e quantitativamente la resilienza della società. Gli esempi di metriche utilizzate nei cyber stress test sono il ‘time-to-detect‘ e il ‘time-to-recover‘.
  5. Individuale e indipendente. Gli stress test sono condotti da organizzazioni individuali, indipendenti, che forniscono le prove richieste spesso attraverso l’uso di questionari dettagliati.
  6. Visione del rischio sistemico. Le prove di stress partono da una visione del rischio sistemico del settore. Si usano anche per identificare gli effetti a cascata e le interdipendenze.

Quale operatività

Sempre in un’ottica operativa, il manuale contiene una guida in cinque fasi. Si comincia con la definizione degli obiettivi.

Dopodiché, ecco la progettazione degli scenari, esecuzione dei test, analisi dei risultati, e monitoraggio delle lacune riscontrate. Come caso di studio si è fatto riferimento al settore sanitario. Nella misura in cui si effettuino queste prove, si creano dei legami tra le autorità e gli operatori. Legami e relazioni che possono modularsi in base a ciascun contesto, sempre considerando i livelli di rischio e delle minacce.

Il futuro degli scenari europei

In un contesto politico europeo con investimenti e normative sempre più indirizzate a prevenire gli illeciti, come detto, il documento si pone all’interno di un quadrante definito. Due le parole chiave, “preparazione e resilienza“.

La visione di insieme della NIS 2, del Cyber Solidarity Act e del Digital Operational Resilience Act rafforza l’incoraggiamento di questi stress test su scenari comunitari che siano condivisi. La partecipazione a uno stress test presenta diversi vantaggi. Aiuterà infatti l’entità di comprensione, nella preparazione e nella resilienza in caso di un incidente significativo di cybersecurity.

Con i test dell’ENISA, si punta così a rafforzare la capacità collettiva di risposta a minacce complesse e sistemiche. Sia informatiche che fisiche.

PrecedenteSuccessivo

Related Posts

Ransomware Australia
,

Ransomware, in Australia obbligo di notifica per chi paga i riscatti. In Italia quando?

12 Giugno 2025

TIM presenta il Cyber Security Report. Santagata: “Mettiamo a disposizione una base informativa solida per rafforzare le difese comuni”

12 Giugno 2025
NSA Cyber Spionaggio

Logistica occidentale sotto scacco del cyber spionaggio russo: lo studio della NSA

12 Giugno 2025
Italia Maggio 2025

Maggio 2025, Italia: +23% eventi cyber rispetto ad Aprile. Il report CSIRT

11 Giugno 2025

Ultime news

Italia 2025
Ransomware Australia
NSA Cyber Spionaggio
Italia Maggio 2025
OpenAI Ban ChatGPT
Polizia Postale Phishing
Paragon Governo