L'implementazione della NIS2 sta avendo un impatto significativo sulle aziende: secondo un nuovo sondaggio di CensusWide commissionato da Veeam Software, le limitazioni di risorse e la carenza di competenze stanno mettendo in difficoltà le imprese e moltiplicando i loro sforzi.
Il 30% delle organizzazioni EMEA intervistate afferma di aver attinto ai budget dedicati alle assunzioni per essere conformi alla NIS2. Il 68% delle imprese riporta inoltre di aver ricevuto il budget aggiuntivo per coprire le necessità di risorse e competenze, ma il 20% lo vede ancora come una barriera significativa per raggiungere la conformità.
Circa il 95% delle aziende ha dovuto dirottare fondi da altre aree per coprire i costi di conformità, in particolare dai budget di gestione del rischio, da budget di reclutamento, da fondi per la gestione delle crisi e da riserve di emergenza.
"Garantire un budget adeguato per la cybersicurezza è spesso una sfida per i leader IT, ma le sanzioni severe e l'enfasi sulla responsabilità aziendale imposte dalla NIS2 potrebbero aiutare a facilitare questo processo" ha dichiarato Edwin Weijdema, Field CTO EMEA di Veeam. "Tuttavia, poiché la maggior parte dei budget IT sta subendo tagli o rimane stagnante - di fatto riducendosi a causa dell'aumento dei costi aziendali e dell'inflazione - la NIS2 sta attingendo a risorse già limitate. È particolarmente preoccupante vedere fondi dirottati dal reclutamento e dalle riserve di emergenza. La NIS2 non dovrebbe essere considerata una crisi, eppure una azienda su quattro sembra vederla in questo modo”.
Le sfide principali percepite dai leader IT e legate alla NIS2 sono il gap di competenze (24%), le preoccupazioni per la redditività (23%), la trasformazione digitale (23%), l'aumento dei costi aziendali (20%) e la mancanza di risorse (20%). I risultati rivelano che le risorse - sia umane che finanziarie, entrambe richieste dalla normativa - sono i principali fattori limitanti per i leader IT.
Le aziende stanno adottando diverse misure per essere conformi alla NIS2, per esempio effettuando audit IT (29%), rivendendo i processi e le best practice di cybersicurezza (29%), sviluppando nuove politiche e procedure (28%), investendo in nuove tecnologie (28%) e aumentando l'allocazione del budget per la cybersicurezza (28%).
"Mantenere la sicurezza e la conformità è fondamentale per qualsiasi organizzazione, ma il fatto che attualmente consumi la maggior parte del budget IT evidenzia quanto siano impreparate e sottofinanziate molte aziende. I leader IT hanno budget limitati, ma devono ancora trovare risorse per soddisfare rapidamente i requisiti della NIS2. Coloro che adottano un approccio olistico alla sicurezza e alle best practice prima che la legislazione li imponga affronteranno naturalmente meno pressioni, permettendo loro di affrontare meglio altre priorità e sfide chiave" ha dichiarato Andre Troskie, Field CISO EMEA di Veeam.
Il Regno Unito è leader negli investimenti per la NIS2
Nonostante la NIS2 non influisca direttamente sulle imprese britanniche, quelle che operano con entità dell'UE devono conformarsi alla direttiva. Il Regno Unito è stato l'unico paese del sondaggio a riportare un aumento dei budget IT dal gennaio 2023, con il 62% dei leader IT del Paese che segnalano un incremento del budget e solo il 14% che ha registrato una diminuzione.
“Data la loro disponibilità a investire e migliorare, non sorprende che il 90% dei decisori IT del Regno Unito si senta fiducioso nella propria capacità di conformarsi ai requisiti normativi, la fiducia più alta in EMEA" ha spiegato Dan Middleton, Regional Vice President of the United Kingdom & Ireland di Veeam. "Questa è una buona notizia in vista del prossimo Cyber Security and Resilience Bill. Sebbene i dettagli debbano ancora essere rilasciati, qualsiasi iniziativa che le aziende britanniche intraprendano ora per migliorare la loro resilienza informatica e dei dati le avvantaggerà quando questa direttiva entrerà in vigore. Ciò include il previsto investimento da parte di oltre un terzo (36%) dei rispondenti britannici nella formazione dei dipendenti esistenti, il che contribuirà a affrontare il crescente gap di competenze, un problema che mette sotto pressione un terzo (30%) delle aziende del Regno Unito più di qualsiasi altra sfida IT comune".
Il 38% degli intervistati ha già investito nella revisione dei processi e delle best practice di cybersicurezza, e il 34% ha investito in nuove tecnologie. Le imprese, inoltre, intendono continuare a effettuare investimenti significativi in futuro, con il 30% che prevede ulteriori revisioni dei processi di cybersicurezza e best practice, e il 25% che pianifica investimenti in nuove tecnologie, rispetto a una media del 15% e 16% negli altri paesi del sondaggio.