La data di entrata in vigore della direttiva NIS2, il 18 ottobre 2024, si fa sempre più vicina: ma le aziende come stanno vivendo questo momento? Una recente indagine di Veeam Software rivela come molte aziende non siano ancora pronte ad aderire alla normativa NIS2, nonostante la ritengano fondamentale per mitigare gli attacchi informatici.
L’indagine si basa sui dati raccolti dalle opinioni di oltre 500 responsabili delle decisioni in materia di IT e sicurezza informatica di Belgio, Francia, Germania, Paesi Bassi e Regno Unito, e delineano la situazione delle aziende a meno di un mese dall’entrata in vigore della direttiva.
Relazione tra NIS2 e aziende: sentimenti contrastanti
La Direttiva 2022/2555 sulla sicurezza delle reti e delle informazioni, altrimenti conosciuta come NIS2, è volta a rafforzare la cybersecurity in tutta l’UE, ampliando l’ambito di applicazione e aumentando il rigore dei requisiti di sicurezza.
La prossima entrata in vigore della normativa sta creando parecchio tumulto tra le aziende, che si sono ritrovate a dover adeguare le loro vecchie infrastrutture alle nuove regole imposte, e al contempo affrontare un aumento esponenziale degli attacchi informatici.
Il recente report condotto da Censuswide per conto di Veeam Software mette in risalto proprio queste preoccupazioni e sentimenti contrastanti, rivelando come solo il 42% dei decision-makers IT dell’area EMEA ritenga che la NIS2 migliorerà significativamente la sicurezza informatica dell’UE, nonostante uno schiacciante 90% abbia segnalato almeno un incidente di sicurezza che la direttiva avrebbe potuto prevenire negli ultimi 12 mesi.
E lo scenario si fa ancora più preoccupante se consideriamo che il 44% degli intervistati ha subito più di tre incidenti informatici, con il 65% di questi classificato come “altamente critico”.
Il percorso verso il soddisfacimento dei requisiti della NIS2 è irto di ostacoli
Per conformarsi pienamente con la normativa NIS2, le aziende sono tenute a implementare misure di sicurezza essenziali come la definizione di piani di risposta agli incidenti, la messa in sicurezza della supply chain, la verifica delle vulnerabilità e la valutazione dei livelli complessivi di sicurezza, includendo tutte le organizzazioni affiliate, i partner e le catene di fornitura.
Questo percorso verso l’adempimento dei requisiti della direttiva non è però senza ostacoli. Sono molte le sfide citate dai responsabili delle decisioni in ambito IT intervistati: tra queste, le principali sono il debito tecnico (24%), la mancanza di comprensione da parte della leadership (23%) e l’insufficienza di budget/investimenti (21%).
Non solo: gli intervistati hanno citato anche la mancanza di attenzione alla conformità alla NIS2 (20%), le tempistiche ristrette (19%), la carenza di competenze in materia di cybersecurity (19%), la complessità della direttiva (19%) e i silos organizzativi (19%) come gravi ostacoli nel percorso di adozione della normativa.
Inoltre, il 40% dei rispondenti ha riferito di aver diminuito i budget IT da quando è stato proclamato l’accordo politico per il NIS2 nel gennaio del 2023: questo nonostante le sue severe sanzioni siano paragonabili a quelle della normativa sulla privacy dei dati più importante dell’UE, il GDPR.
Altre priorità e scetticismi rallentano l’adozione della NIS2
L’adozione della NIS2 sta procedendo lentamente: come mai? L’indagine rivela che le organizzazioni stanno dando priorità ad altri aspetti critici della gestione aziendale, come il divario di competenze, la redditività e la trasformazione digitale.
Particolarmente rilevante è come il 42% degli intervistati che ritiene la NIS2 insignificante per i miglioramenti della cybersecurity dell’UE attribuisce questo fatto alle conseguenze inadeguate della mancata conformità, che ha portato a una diffusa apatia nei confronti della direttiva.
“ La NIS2 porta la responsabilità della cybersecurity al di là dei team IT, fino alla sala del consiglio di amministrazione. Sebbene molte aziende riconoscano l’importanza di questa direttiva, le difficoltà di adeguamento riscontrate nell’indagine evidenziano problemi sistemici significativi,” ha affermato Andre Troskie, EMEA Field CISO di Veeam.“La pressione combinata di altre priorità aziendali e delle sfide informatiche può spiegare i ritardi, ma ciò non diminuisce l’urgenza. Data la crescente frequenza e gravità delle minacce informatiche, i potenziali vantaggi della NIS2 nella prevenzione degli incidenti critici e nel rafforzamento della resilienza dei dati non possono essere sopravvalutati. I team dirigenziali devono agire rapidamente per colmare queste lacune e garantire la conformità, non solo per motivi normativi, ma per migliorare realmente la solidità dell’organizzazione e proteggere i dati critici”.
Fortunatamente, la situazione non è completamente grigia. Infatti, nonostante i pareri contrastanti, la maggioranza degli intervistati percepisce positivamente la NIS2 nel contesto degli obblighi normativi della propria organizzazione, sentendosi ottimista (33%), fiduciosa (32%) e incoraggiata (27%).
Per maggiori informazioni sulla direttiva NIS2, vi invitiamo a visitare il sito web del Parlamento Europeo.
- Library, Legislative (Autore)