Un’indagine Veeam relativa all’entrata in vigore della NIS2 nell’area Emea ha rivelato che solo il 43% dei decision-makers IT ritiene che la normativa migliorerà significativamente la sicurezza informatica dell’UE. Le organizzazioni stanno infatti attraversando un panorama di emozioni contrastanti con l’avvicinarsi del 18 ottobre. Data che segna l’entrata in vigore la Direttiva 2022/2555 sulla sicurezza delle reti e delle informazioni (NIS2). La normativa punta a rafforzare la cybersecurity in tutta l’UE ampliando l’ambito di applicazione e aumentando il rigore dei requisiti di sicurezza. Il sondaggio è stato condotto da Censuswide e comprende le opinioni di oltre 500 responsabili delle decisioni in materia di IT e cybersicurezza di Belgio, Francia, Germania, Paesi Bassi e Regno Unito.
Conformarsi alle linee guida
Il 90% degli intervistati ha segnalato almeno un incidente di sicurezza che la direttiva avrebbe potuto prevenire negli ultimi 12 mesi. Allarmante notare che il 44% degli intervistati ha subito più di 3 incidenti informatici, dei quali il 65% classificato come “altamente critico”. Sebbene quasi l’80% delle aziende sia fiducioso nella propria capacità di conformarsi alle linee guida NIS2, fino a due terzi dichiara che non riuscirà a rispettare questa imminente scadenza.
Gli ostacoli alla conformità NIS2 e aziende
Il raggiungimento della conformità alla NIS2 richiede alle aziende l‘implementazione di misure essenziali. Come la definizione di piani di risposta agli incidenti, la messa in sicurezza della supply chain, la verifica delle vulnerabilità e la valutazione dei livelli complessivi di sicurezza, includendo tutte le organizzazioni affiliate, i partner e le catene di fornitura. Tuttavia, persistono diversi ostacoli alla conformità.
Le principali sfide citate dai responsabili delle decisioni in ambito IT includono il debito tecnico (24%), la mancanza di comprensione da parte della leadership (23%) e l’insufficienza di budget/investimenti (21%). In particolare, il 40% degli intervistati ha riferito di aver diminuito i budget IT da quando è stato proclamato l’accordo politico per il NIS2 nel gennaio del 2023. Nonostante le sue severe sanzioni siano paragonabili a quelle della normativa sulla privacy dei dati più importante dell’UE, il GDPR. Il 63% degli intervistati considera il GDPR severo; il 62% esprime lo stesso sentimento riguardo al NIS2.
Priorità aziendali e attacchi informatici
La lentezza dell’adozione della NIS2 è probabilmente dovuta alla moltitudine di priorità e pressioni aziendali che queste aziende devono affrontare. Gli intervistati classificano la NIS2 come meno urgente rispetto ad altre dieci questioni, tra queste il divario di competenze, la redditività e la trasformazione digitale. Preoccupante è il fatto che il 42% degli intervistati che ritiene la NIS2 insignificante per i miglioramenti della cybersecurity dell’UE attribuisce questo fatto alle conseguenze inadeguate della mancata conformità, che ha portato a una diffusa apatia nei confronti della direttiva.
Alcuni risultati chiave del report su NIS2 e aziende
Il 74% degli intervistati ritiene che la NIS2 sia vantaggiosa. Tuttavia il 57% dubita che avrà un impatto sostanziale sulla posizione complessiva dell’UE in materia di sicurezza informatica.
Gli scettici citano altre preoccupazioni come la mancanza di completezza della NIS2 (35%), la convinzione che la conformità non garantisca la sicurezza (34%) e la sovrapposizione con le normative esistenti (25%).
Altri ostacoli sono la mancanza di attenzione alla conformità alla NIS2 (20%), le tempistiche ristrette (19%), la carenza di competenze in materia di cybersecurity (19%). Infine la complessità della direttiva (19%) e i silos organizzativi (19%).
Nonostante i pareri contrastanti, la maggioranza degli intervistati percepisce positivamente la NIS2 nel contesto degli obblighi normativi della propria organizzazione. E si sente ottimista (33%), fiduciosa (32%) e incoraggiata (27%).
NIS2 e aziende: quali benefici nella prevenzione degli incidenti di cybersecurity
Andre Troskie, Emea Field Ciso di Veeam La NIS2 porta la responsabilità della cybersecurity al di là dei team IT, fino alla sala del consiglio di amministrazione. Sebbene molte aziende riconoscano l’importanza di questa direttiva, le difficoltà di adeguamento riscontrate nell’indagine evidenziano problemi sistemici significativi. La pressione combinata di altre priorità aziendali e delle sfide informatiche può spiegare i ritardi, ma ciò non diminuisce l’urgenza. Data la crescente frequenza e gravità delle minacce informatiche, i potenziali vantaggi della NIS2 nella prevenzione degli incidenti critici e nel rafforzamento della resilienza dei dati non possono essere sopravvalutati. I team dirigenziali devono agire rapidamente per colmare queste lacune e garantire la conformità. E questo non solo per motivi normativi, ma per migliorare realmente la solidità dell’organizzazione e proteggere i dati critici.
