Come afferma Veeam Software, specialista della Data Resilience, le organizzazioni stanno attraversando un panorama di emozioni contrastanti con l’avvicinarsi della data di entrata in vigore della Direttiva 2022/2555 sulla sicurezza delle reti e delle informazioni (NIS2).
La NIS2, una normativa volta a rafforzare la cybersecurity in tutta l’UE ampliando l’ambito di applicazione e aumentando il rigore dei requisiti di sicurezza, entrerà in vigore il 18 ottobre 2024. Veeam ha commissionato un nuovo sondaggio condotto da Censuswide che ha rivelato che solo il 43% dei decision-makers IT dell’area EMEA ritiene che la NIS2 migliorerà significativamente la sicurezza informatica dell’UE, nonostante uno schiacciante 90% abbia segnalato almeno un incidente di sicurezza che la direttiva avrebbe potuto prevenire negli ultimi 12 mesi. È allarmante notare – sottolinea Veeam – che il 44% degli intervistati ha subito più di tre incidenti informatici e il 65% di questi è stato classificato come “altamente critico”.
I risultati dell’indagine, che comprende le opinioni di oltre 500 responsabili delle decisioni in materia di IT e sicurezza informatica di Belgio, Francia, Germania, Paesi Bassi e Regno Unito, rivelano la situazione a meno di un mese dall’entrata in vigore della direttiva, il 18 ottobre. Sebbene quasi l’80% delle aziende sia fiducioso nella propria capacità di conformarsi alle linee guida NIS2, fino a due terzi dichiara che non riuscirà a rispettare questa imminente scadenza.
Il raggiungimento della conformità alla NIS2 richiede alle aziende l’implementazione di misure essenziali, come la definizione di piani di risposta agli incidenti, la messa in sicurezza della supply chain, la verifica delle vulnerabilità e la valutazione dei livelli complessivi di sicurezza, includendo tutte le organizzazioni affiliate, i partner e le catene di fornitura. Tuttavia, persistono diversi ostacoli alla conformità.
Le principali sfide citate dai responsabili delle decisioni in ambito IT includono il debito tecnico (24%), la mancanza di comprensione da parte della leadership (23%) e l’insufficienza di budget/investimenti (21%). In particolare, il 40% degli intervistati ha riferito di aver diminuito i budget IT da quando è stato proclamato l’accordo politico per il NIS2 nel gennaio del 2023, nonostante le sue severe sanzioni siano paragonabili a quelle della normativa sulla privacy dei dati più importante dell’UE, il GDPR. Il 63% degli intervistati considera il GDPR severo; il 62% esprime lo stesso sentimento riguardo al NIS2.
Andre Troskie, EMEA Field CISO di Veeam, afferma: “La NIS2 porta la responsabilità della cybersecurity al di là dei team IT, fino alla sala del consiglio di amministrazione. Sebbene molte aziende riconoscano l’importanza di questa direttiva, le difficoltà di adeguamento riscontrate nell’indagine evidenziano problemi sistemici significativi. La pressione combinata di altre priorità aziendali e delle sfide informatiche può spiegare i ritardi, ma ciò non diminuisce l’urgenza.
Data la crescente frequenza e gravità delle minacce informatiche, i potenziali vantaggi della NIS2 nella prevenzione degli incidenti critici e nel rafforzamento della resilienza dei dati non possono essere sopravvalutati. I team dirigenziali devono agire rapidamente per colmare queste lacune e garantire la conformità, non solo per motivi normativi, ma per migliorare realmente la solidità dell’organizzazione e proteggere i dati critici”.
La lentezza dell’adozione della NIS2 – mette in evidenza Veeam – è probabilmente dovuta alla moltitudine di priorità e pressioni aziendali che queste aziende devono affrontare. Gli intervistati classificano la NIS2 come meno urgente rispetto ad altre dieci questioni, tra queste il divario di competenze, la redditività e la trasformazione digitale. Preoccupante è il fatto che il 42% degli intervistati che ritiene la NIS2 insignificante per i miglioramenti della cybersecurity dell’UE attribuisce questo fatto alle conseguenze inadeguate della mancata conformità, che ha portato a una diffusa apatia nei confronti della direttiva.
Altri risultati chiave dell’indagine:
- Il 74% degli intervistati ritiene che la NIS2 sia vantaggiosa, ma il 57% dubita che avrà un impatto sostanziale sulla posizione complessiva dell’UE in materia di sicurezza informatica.
- Gli scettici citano altre preoccupazioni come la mancanza di completezza della NIS2 (35%), la convinzione che la conformità non garantisca la sicurezza (34%) e la sovrapposizione con le normative esistenti (25%).
- Altri ostacoli sono la mancanza di attenzione alla conformità alla NIS2 (20%), le tempistiche ristrette (19%), la carenza di competenze in materia di cybersecurity (19%), la complessità della direttiva (19%) e i silos organizzativi (19%).
- Nonostante i pareri contrastanti, la maggioranza degli intervistati percepisce positivamente la NIS2 nel contesto degli obblighi normativi della propria organizzazione, sentendosi ottimista (33%), fiduciosa (32%) e incoraggiata (27%).
