Cybersecurity, il 90% delle aziende ha affrontato incidenti che la NIS 2 poteva prevenire

Il 90% delle aziende in EMEA ha dovuto affrontare incidenti in ambito cybersecirity che la NIS2 avrebbe potuto prevenire. E circa l’80% delle aziende è sicuro di aderire alla NIS2, ma il 66% non rispetterà la scadenza.

A rivelarlo un’indagine Veeam^® Software, tra i leader di mercato nella Data Resilience, che ha commissionato un nuovo sondaggio condotto da Censuswide.

Cybersecurity, si avvicina l’entrata in vigore della NIS 2

Le organizzazioni stanno attraversando un panorama di emozioni contrastanti con l’avvicinarsi della data di entrata in vigore della Direttiva 2022/2555 sulla sicurezza delle reti e delle informazioni (NIS 2).

La NIS 2, una normativa volta a rafforzare la cybersecurity in tutta l’UE ampliando l’ambito di applicazione e aumentando il rigore dei requisiti di sicurezza, entrerà in vigore il 18 ottobre 2024.

Veeam^® Software, come accennavamo, ha commissionato un nuovo sondaggio condotto da Censuswide che ha rivelato che solo il 43% dei decision-makers IT dell’area EMEA ritiene che la NIS2 migliorerà significativamente la sicurezza informatica dell’UE, nonostante uno schiacciante 90% abbia segnalato almeno un incidente di sicurezza che la direttiva avrebbe potuto prevenire negli ultimi 12 mesi.

È allarmante notare che il 44% degli intervistati ha subito più di tre incidenti informatici e il 65% di questi è stato classificato come “altamente critico”.

Due terzi delle aziende non rispetterà la scadenza

I risultati dell’indagine, che comprende le opinioni di oltre 500 responsabili delle decisioni in materia di IT e sicurezza informatica di Belgio, Francia, Germania, Paesi Bassi e Regno Unito, rivelano la situazione a meno di un mese dall’entrata in vigore della direttiva, il 18 ottobre.

Sebbene quasi l’80% delle aziende sia fiducioso nella propria capacità di conformarsi alle linee guida NIS 2, fino a due terzi dichiara che non riuscirà a rispettare questa imminente scadenza.

Ostacoli alla conformità NIS 2

Il raggiungimento della conformità alla NIS 2 richiede alle aziende l’implementazione di misure essenziali, come la definizione di piani di risposta agli incidenti, la messa in sicurezza della supply chain, la verifica delle vulnerabilità e la valutazione dei livelli complessivi di sicurezza, includendo tutte le organizzazioni affiliate, i partner e le catene di fornitura. Tuttavia, persistono diversi ostacoli alla conformità.

Le principali sfide citate dai responsabili delle decisioni in ambito IT includono il debito tecnico (24%), la mancanza di comprensione da parte della leadership (23%) e l’insufficienza di budget/investimenti (21%).

In particolare, il 40% degli intervistati ha riferito di aver diminuito i budget IT da quando è stato proclamato l’accordo politico per il NIS2 nel gennaio del 2023, nonostante le sue severe sanzioni siano paragonabili a quelle della normativa sulla privacy dei dati più importante dell’UE, il GDPR.

Il 63% degli intervistati considera il GDPR severo; il 62% esprime lo stesso sentimento riguardo al NIS2.

Priorità aziendali e attacchi informatici

La lentezza dell’adozione della NIS 2 è probabilmente dovuta alla moltitudine di priorità e pressioni aziendali che queste aziende devono affrontare.

Gli intervistati classificano la NIS 2 come meno urgente rispetto ad altre dieci questioni, tra queste il divario di competenze, la redditività e la trasformazione digitale.

Preoccupante è il fatto che il 42% degli intervistati che ritiene la NIS2 insignificante per i miglioramenti della cybersecurity dell’UE attribuisce questo fatto alle conseguenze inadeguate della mancata conformità, che ha portato a una diffusa apatia nei confronti della direttiva.

Altri risultati chiave dell’indagine

Ed ecco altri risultati chiave dell’indagine realizzata da Veeam:

• Il 74% degli intervistati ritiene che la NIS 2 sia vantaggiosa, ma il 57% dubita che avrà un impatto sostanziale sulla posizione complessiva dell’UE in materia di sicurezza informatica.
• Gli scettici citano altre preoccupazioni come la mancanza di completezza della NIS 2 (35%), la convinzione che la conformità non garantisca la sicurezza (34%) e la sovrapposizione con le normative esistenti (25%).
• Altri ostacoli sono la mancanza di attenzione alla conformità alla NIS 2 (20%), le tempistiche ristrette (19%), la carenza di competenze in materia di cybersecurity (19%), la complessità della direttiva (19%) e i silos organizzativi (19%).
• Nonostante i pareri contrastanti, la maggioranza degli intervistati percepisce positivamente la NIS 2 nel contesto degli obblighi normativi della propria organizzazione, sentendosi ottimista (33%), fiduciosa (32%) e incoraggiata (27%).

Il commento di Veeam

“La NIS 2 porta la responsabilità della cybersecurity al di là dei team IT, fino alla sala del consiglio di amministrazione” afferma Andre Troskie, EMEA Field CISO di Veeam. “Sebbene molte aziende riconoscano l’importanza di questa direttiva, le difficoltà di adeguamento riscontrate nell’indagine evidenziano problemi sistemici significativi”.

“La pressione combinata di altre priorità aziendali e delle sfide informatiche può spiegare i ritardi, ma ciò non diminuisce l’urgenza. Data la crescente frequenza e gravità delle minacce informatiche, i potenziali vantaggi della NIS 2 nella prevenzione degli incidenti critici e nel rafforzamento della resilienza dei dati non possono essere sopravvalutati” prosegue.

“I team dirigenziali devono agire rapidamente per colmare queste lacune e garantire la conformità, non solo per motivi normativi, ma per migliorare realmente la solidità dell’organizzazione e proteggere i dati critici” conclude Andre Troskie.