La scadenza della NIS2 si avvicina, ma non mancano lo scetticismo e le difficoltà di adozione

Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2 chiede ora a tutte le aziende degli stati dell’UE di essere recepita entro il prossimo 17 ottobre. Le imprese di ogni settore devono rafforzare il proprio assetto di cybersecurity per rispettare i requisiti di sicurezza introdotti dalla normativa, pena sanzioni molto dure.

Secondo un recente sondaggio commissionato da Veeam e condotto da Censuswide, solo il 43% dei decision-maker IT dell’area EMEA ritiene che la NIS2 migliorerà la sicurezza informatica dell’UE, anche se il 90% degli intervistati ha ammesso che la direttiva avrebbe potuto prevenire almeno un incidente di sicurezza negli ultimi 12 mesi. Il dato è allarmante se si considera che il 44% delle imprese coinvolte ha subito più di tre incidenti informatici nell’ultimo anno e il 65% di questi è stato classificato come “altamente critico”.

L’80% delle imprese si dice fiducioso nella propria capacità di essere conforme alle linee guida della direttiva, ma due terzi delle realtà coinvolte dichiarano che non riusciranno a rispettare la scadenza.

La conformità alla NIS2 impone l’implementazione di misure essenziali quali la definizione di piani di risposta agli incidenti, la messa in sicurezza della supply chain, la verifica delle vulnerabilità e la valutazione dei livelli complessivi di sicurezza.

I responsabili aziendali riportano però diverse difficoltà in questo percorso di cambiamento, in primis la presenza di un forte debito tecnico (24%), la mancanza di comprensione della normativa da parte della leadership (23%) e l‘insufficienza di budget (21%). Altri ostacoli emersi sono la mancanza di attenzione alla conformità (20%), le tempistiche ristrette per l’attuazione (19%), la carenza di competenze in materia di cybersecurity (19%), la complessità della direttiva (19%) e i silos organizzativi (19%).

Il 40% degli intervistati ha riferito di aver diminuito il budget IT da quando è stato proclamato l’accordo per la NIS2, nonostante le sanzioni siano paragonabili a quelle della GDPR.

“La NIS2 porta la responsabilità della cybersecurity al di là dei team IT, fino alla sala del consiglio di amministrazione. Sebbene molte aziende riconoscano l’importanza di questa direttiva, le difficoltà di adeguamento riscontrate nell’indagine evidenziano problemi sistemici significativi. La pressione combinata di altre priorità aziendali e delle sfide informatiche può spiegare i ritardi, ma ciò non diminuisce l’urgenza” afferma Andre Troskie, EMEA Field CISO di Veeam.

Andre Troskie, EMEA Field CISO at Veeam. Credits: Veeam

La lentezza nell’adozione della NIS2 dipende anche dalla presenza di altre priorità e pressioni aziendali: gli intervistati vedono la direttiva come meno urgente rispetto ad altre dieci questioni, tra le quali il divario di competenze, la redditività e la trasformazione digitale.

Il 74% degli intervistati ritiene che la NIS2 sia vantaggiosa, ma il 57% dubita che avrà un impatto sostanziale sulla posizione dell’UE in materia di sicurezza informatica. Tra gli scettici, il 35% afferma che la NIS2 sia incompleta, mentre il 34% ritiene che non garantisca la sicurezza e il 25% che si sovrapponga con le normative esistenti.

“Data la crescente frequenza e gravità delle minacce informatiche, i potenziali vantaggi della NIS2 nella prevenzione degli incidenti critici e nel rafforzamento della resilienza dei dati non possono essere sopravvalutati. I team dirigenziali devono agire rapidamente per colmare queste lacune e garantire la conformità, non solo per motivi normativi, ma per migliorare realmente la solidità dell’organizzazione e proteggere i dati critici” conclude Troskie.