Il 90% delle organizzazioni ha subìto almeno un incidente di sicurezza che la NIS2 avrebbe potuto prevenire negli ultimi 12 mesi. È evidente l'urgenza di una maggiore attenzione alla conformità a una direttiva europea che non costituisce l’ennesima lista di checkbox da spuntare, ma mira concretamente a migliorare la sicurezza informatica estendendo il suo campo di applicazione e aumentando i requisiti di sicurezza.

Il dato citato in apertura è incluso del recente report commissionato da Veeam a Censuswide, che ha comportato interviste a oltre 500 decision-makers in tutta l'area EMEA nel periodo fra il 29 agosto e il 2 settembre 2024. Dallo stesso report emerge che il 44% degli intervistati ha subito più di tre incidenti informatici in questo periodo e che il 65% di essi è stato classificato come “altamente critico”. Questi numeri suggeriscono che molte aziende stanno affrontando una serie di problematiche di cybersecurity che, in teoria, la conformità alla NIS2 potrebbe mitigare, migliorando la resilienza dei loro sistemi IT.

Oltre ai dati allarmanti ci sono anche buone notizie. Per esempio, il sondaggio indica che quasi l'80% delle aziende è fiducioso nella propria capacità di aderire alle linee guida della NIS2. Tuttavia, un significativo 66% di loro ammette che non riuscirà a rispettare la scadenza del 18 ottobre 2024, data in cui la direttiva entrerà ufficialmente in vigore. Questo disallineamento tra fiducia e realtà operativa si spiega con una serie di ostacoli che le aziende stanno affrontando nel percorso verso la conformità, e che si possono sintetizzare in tre punti: debito tecnico (24%), scarsa comprensione da parte della leadership aziendale (23%) e budget insufficienti (21%).

È significativo notare che il 40% delle organizzazioni ha dichiarato di aver ridotto i propri budget IT da gennaio 2023, data in cui è stato raggiunto l’accordo politico sulla NIS2. Questo taglio dei fondi, in concomitanza con l’aumento delle minacce informatiche, rappresenta una barriera evidente per molte aziende. Nonostante la NIS2 preveda sanzioni simili a quelle del GDPR, che il 63% degli intervistati considera severe, le risorse dedicate alla conformità restano insufficienti.

Un altro elemento chiave dell’indagine è l'atteggiamento diffuso tra le aziende verso la NIS2. Il 74% degli intervistati reputa che la direttiva sia complessivamente vantaggiosa, ma il 57% esprime dubbi sull’effettivo impatto che avrà sulla sicurezza informatica dell’UE. Questo scetticismo si basa su preoccupazioni relative alla completezza della NIS2 (35%), alla convinzione che la conformità non garantisca di per sé la sicurezza (34%) e alla sovrapposizione con altre normative esistenti (25%).

Il report rivela inoltre che le aziende non considerano la conformità alla NIS2 come una delle loro massime priorità. Al contrario, la direttiva viene superata in importanza da altre questioni aziendali, tra cui il divario di competenze, la redditività e la trasformazione digitale. Questo spiega perché il 42% degli intervistati ritiene che la NIS2 non introdurrà conseguenze adeguate in caso di mancata conformità, contribuendo così a una generale apatia verso questa normativa.

La complessità della direttiva è un altro fattore che contribuisce alla difficoltà di adesione. Il 19% degli intervistati ha citato la mancanza di attenzione alla conformità come un problema, mentre il 19% ha menzionato la carenza di competenze in materia di cybersecurity. L’implementazione della NIS2 richiede alle aziende di adottare misure essenziali, tra cui la definizione di piani di incident response, la protezione della supply chain e la valutazione delle vulnerabilità, ma questi passi richiedono risorse e competenze spesso mancanti.

Nonostante queste difficoltà, l’indagine rivela anche un certo ottimismo. Il 33% degli intervistati si sente ottimista riguardo alla NIS2, mentre il 32% è fiducioso e il 27% si sente incoraggiato dall’adozione di questa nuova normativa. Tuttavia, il panorama complessivo resta sfaccettato, con molte aziende che devono ancora superare significative barriere per garantire la conformità e migliorare la sicurezza dei propri sistemi informatici.