Veeam ha commissionato a Censuswide un sondaggio per verificare l’impatto sulle aziende che si stanno adattando alla direttiva sulla security NIS2. Veeam ha evidenziato che, sebbene la maggior parte dei leader IT sia fiduciosa di poter rispettare la conformità alla direttiva, che ha anche amplificato le sfide esistenti. Come ad esempio le limitazioni di risorse e la carenza di competenze. Il sondaggio ha rivelato che il “gap di competenze” è il principale problema per le organizzazioni Emea. Con il 30% degli intervistati che afferma di aver attinto ai budget dedicati alle assunzioni per supportare gli sforzi richiesti per essere conformi alla NIS2.
Il budget per la direttive NIS2 sulle aziende
Il sondaggio ha rivelato che, sebbene i leader IT siano riusciti a garantire un budget sufficiente per rispettare la NIS2, l’impatto su altre aree potrebbe essere significativo. Il 68% delle aziende riporta di aver ricevuto il budget aggiuntivo necessario per la conformità alla NIS2. Tuttavia, il 20% ha identificato il budget come una barriera significativa per raggiungere la conformità. Dall’accordo politico per la NIS2 nel gennaio 2023, il 40% delle aziende ha visto ridursi i budget IT.
Mentre il 20% ha mantenuto le finanze invariate. Il 95% ha dirottato fondi da altre aree dell’azienda per coprire i costi di conformità alla NIS2. In particolare, il 34% ha attinto ai propri budget di gestione del rischio, il 30% da un budget di reclutamento più ampio, il 29% dalla gestione delle crisi. Infine, il 25% dalle riserve di emergenza. Questa riassegnazione sottolinea ulteriormente la pressione per le aziende su risorse finanziarie già limitate.
Spesso la NIS2 è considerata un problema in azienda
Edwin Weijdema, Field Cto Emea di Veeam Garantire un budget adeguato per la cybersicurezza è spesso una sfida per i leader IT. Tuttavia le sanzioni severe e l’enfasi sulla responsabilità aziendale imposte dalla NIS2 potrebbero aiutare a facilitare questo processo. Poiché la maggior parte dei budget IT sta subendo tagli o rimane stagnante, di fatto riducendosi a causa dell’aumento dei costi aziendali e dell’inflazione, la NIS2 sta attingendo a risorse già limitate. È particolarmente preoccupante vedere fondi dirottati dal reclutamento e dalle riserve di emergenza. La NIS2 non dovrebbe essere considerata una crisi, eppure una azienda su quattro sembra vederla in questo modo.
Crescono le sfide per i leader IT
Il sondaggio ha evidenziato anche le principali pressioni aziendali percepite dai leader IT. Con la NIS2 classificata al decimo posto nella lista delle priorità, ciò sottolinea la vasta gamma di sfide affrontate a livello senior. Le prime cinque sfide sono il gap di competenze (24%), le preoccupazioni per la redditività (23%), la trasformazione digitale (23%), l’aumento dei costi aziendali (20%) e la mancanza di risorse (20%). Questi risultati rivelano che le risorse – sia umane che finanziarie – sono i principali fattori limitanti per i leader IT, eppure la NIS2 richiede entrambe.
La direttiva NIS2 sulle aziende
Per diventare conformi, le aziende stanno adottando diverse misure. Come effettuare audit IT (29%), rivedere i processi e le best practice di cybersicurezza (29%), sviluppare nuove politiche e procedure (28%). E ancora: investire in nuove tecnologie (28%) e aumentare l’allocazione del budget per la cybersicurezza (28%). I principali “fattori abilitanti” per la conformità alla NIS2 includono soluzioni tecnologiche specializzate (27%), audit IT (25%) e competenze organizzative interne (25%). Tutti aspetti che richiedono budget e competenze preziose.
Il budget IT Emea è dominato da sicurezza e conformità
Nonostante le riduzioni generali del budget IT negli ultimi due anni, sono stati allocati fondi aggiuntivi per la conformità alla NIS2, sia dal budget IT che da altre aree dell’azienda. Questa limitazione potrebbe spiegare perché l’80% dei budget IT Emea sia ora destinato alla cybersicurezza e alla conformità da parte delle aziende obbligate a rispettare la NIS2. Ciò lascia poco spazio per affrontare le principali sfide dei leader IT, come il gap di competenze, la redditività e la trasformazione digitale.
Troppe le aziende impreparate e sottofinanziate
Andre Troskie, Field Ciso Emea di Veeam Mantenere sicurezza e conformità è fondamentale per qualsiasi organizzazione. Ma il fatto che attualmente consumi la maggior parte del budget IT evidenzia quanto siano impreparate e sottofinanziate molte aziende. I leader IT hanno budget limitati, ma devono ancora trovare risorse per soddisfare rapidamente i requisiti della NIS2. Coloro che adottano un approccio olistico alla sicurezza e alle best practice prima che la legislazione li imponga affronteranno naturalmente meno pressioni. Permettendo loro di affrontare meglio altre priorità e sfide chiave.
Il Regno Unito in testa per investimenti e fiducia nella NIS2
Nonostante la NIS2 non influisca direttamente sulle aziende britanniche, quelle che operano con entità dell’UE devono conformarsi, e le loro risposte offrono un quadro diverso. Il Regno Unito è stato l’unico paese del sondaggio a riportare un aumento dei budget IT dal gennaio 2023. Con il 62% dei decisori IT britannici che segnalano un incremento del budget e solo il 14% che ha registrato una diminuzione. Questo ha consentito alle aziende UK di investire maggiormente nel miglioramento della propria sicurezza in vista della direttiva.
Quale impatto ha l’implementazione della direttiva NIS2 sulle aziende
Il 38% degli intervistati nel Regno Unito ha già investito nella revisione dei processi e delle best practice di cybersicurezza, e il 34% ha investito in nuove tecnologie. Cifre superiori rispetto a quelle riportate dai loro omologhi europei. I decisori IT del Regno Unito intendono continuare a effettuare investimenti significativi in futuro. Il 30% prevede ulteriori revisioni dei processi di cybersicurezza e best practice e il 25% pianifica investimenti in nuove tecnologie. Contro una media rispettivamente del 15% e 16% negli altri paesi del sondaggio.
In attesa del Cyber Security and Resilience Bill
Dan Middleton, Regional Vice President of the United Kingdom & Ireland di Veeam Data la loro disponibilità a investire e migliorare, non sorprende che il 90% dei decisori IT del Regno Unito si senta fiducioso nella propria capacità di conformarsi ai requisiti normativi. La fiducia più alta in Emea. Questa è una buona notizia in vista del prossimo Cyber Security and Resilience Bill.
Sebbene i dettagli debbano ancora essere rilasciati, qualsiasi iniziativa che le aziende UK intraprendano ora per migliorare la loro resilienza informatica e dei dati le avvantaggerà quando questa direttiva entrerà in vigore. Ciò include il previsto investimento da parte di oltre un terzo (36%) dei rispondenti britannici nella formazione dei dipendenti esistenti. Questo contribuirà a affrontare il crescente gap di competenze, problema che mette sotto pressione un terzo (30%) delle aziende del Regno Unito più di qualsiasi altra sfida IT comune.
