ENISA aggiorna il framework per analizzare il mercato cyber: più monitoraggio continuo, più flessibilità e focus sul Cyber Resilience Act.

ENISA ha pubblicato la versione 3.0 dell’“ENISA Cybersecurity Market Analysis Framework” (ECSMAF), il modello metodologico con cui intende rafforzare l’analisi del mercato europeo della cybersicurezza. Il documento nasce in un contesto in cui il mercato cyber è descritto come sempre più dinamico, spinto dai nuovi obblighi normativi, dalla crescita dei prodotti con elementi digitali e dalla domanda di intelligence di mercato più tempestiva e strutturata.

L’elemento più interessante, sul piano operativo, è che ENISA non presenta il framework come un mero esercizio metodologico, ma come uno strumento pensato per supportare decisioni pubbliche e private con dati comparabili, per intercettare trend emergenti, opportunità di investimento, bisogni di certificazione, dipendenze di mercato e punti di debolezza dell’ecosistema cyber europeo. Il framework è rivolto non solo a ENISA, ma anche a istituzioni UE, autorità nazionali, associazioni di settore, imprese lato offerta e domanda, organismi di ricerca e persino investitori interessati a comprendere meglio le traiettorie del mercato.

Rispetto alle versioni precedenti, ECSMAF 3.0 punta a essere più rapido, più modulare e più riutilizzabile. ENISA evidenzia che il nuovo impianto incorpora le lezioni apprese dalle analisi già svolte e introduce un approccio più snello e user-friendly, basato su template riutilizzabili, strumenti modulari, tassonomie comuni e percorsi configurabili in base al tempo disponibile e all’obiettivo dell’analisi. In pratica, il framework è costruito per gestire sia studi pianificati sia richieste ad hoc, anche in finestre temporali strette, senza rinunciare a struttura e qualità analitica.

Un altro contenuto di particolare rilievo è l’integrazione del monitoraggio continuo del mercato. ENISA distingue chiaramente tra analisi di mercato periodiche e continuous market monitoring, che viene definito come un’attività permanente e in parte automatizzabile, capace di individuare eventi rilevanti e attivare, quando necessario, analisi ad hoc. Il documento collega questa evoluzione soprattutto alla crescente complessità del mercato e alle esigenze regolatorie introdotte dal Cyber Resilience Act, sottolineando che solo un monitoraggio continuo può consentire di cogliere in anticipo rischi sistemici, variazioni nei prodotti, vulnerabilità, certificazioni e gap di capacità nei diversi segmenti di mercato.

Sul piano metodologico, il framework mantiene una struttura in sette fasi: avvio dell’analisi, delimitazione del segmento di mercato, analisi del segmento, definizione di domande e metodi, raccolta dei dati, analisi dei dati e presentazione dei risultati. La vera novità, però, è che queste fasi diventano configurabili secondo due assi: il tipo di innesco, cioè analisi pianificata o richiesta ad hoc, e la durata, breve o lunga. Questo rende ECSMAF 3.0 più scalabile e adattabile a contesti regolatori, di policy e operativi molto diversi.