La cybersecurity è priorità per le aziende, tanto più nel contesto attuale in cui i programmi di digitalizzazione espongono ulteriormente le organizzazioni, chiamate a rimodulare la propria “postura”. In Europa, il panorama normativo in materia di sicurezza delle reti e delle informazioni sta per subire una trasformazione significativa con l’entrata in vigore della direttiva Nis2 (Direttiva 2022/2555), prevista per il 18 ottobre 2024. Nis2 rappresenta un’evoluzione rispetto alla precedente direttiva Nis e ha come obiettivo primario il miglioramento della resilienza informatica delle infrastrutture essenziali in tutta l’Unione Europea. L’evoluzione della direttiva – in verità quasi una rivoluzione – introduce un ampliamento dell’ambito di applicazione e requisiti di sicurezza più rigorosi per le organizzazioni, considerate essenziali.
Veeam, sono pronte le aziende Emea?
In vista dell’entrata in vigore della Nis2, Veeam Software ha commissionato un’indagine condotta da Censuswide per analizzare il livello di preparazione delle aziende in Emea (Europa, Medio Oriente e Africa) rispetto alla nuova direttiva. Lo studio coinvolge oltre 500 decision maker nell’ambito IT e della sicurezza informatica provenienti da Belgio, Francia, Germania, Paesi Bassi e Regno Unito. I risultati dell’indagine evidenziano prima di tutto una situazione complessa, caratterizzata da ottimismo e preoccupazione.
Secondo il report, solo nell’ultimo anno, il 90% delle aziende ha subito almeno un incidente di sicurezza informatica che Nis2 avrebbe potuto prevenire, ma il 44% degli intervistati ha subito addirittura più di tre incidenti con il 65% di questi incidenti classificati come “altamente critici”. Nonostante questi numeri però solo il 43% dei decisori IT ritiene che Nis2 porterà un miglioramento significativo della sicurezza informatica in UE. Questo dato è indicativo della diffusa incertezza rispetto all’effettiva capacità della direttiva di offrire soluzioni concrete ai problemi di cybersecurity.
Nis2, i fattori che ostacolano la riuscita dei progetti
Essere conformi a Nis2 quindi continua a rappresentare una sfida non indifferente per diverse realtà. La direttiva richiede l’implementazione di misure essenziali, tra cui la definizione di piani di risposta agli incidenti, la messa in sicurezza della supply chain, la verifica delle vulnerabilità e la valutazione dei livelli complessivi di sicurezza, coinvolgendo non solo l’organizzazione principale, ma anche partner e fornitori. I numeri dell’indagine Veeam dicono però che circa due aziende su tre non riusciranno a rispettare la scadenza del 18 ottobre 2024, nonostante quasi quattro su cinque si dichiarino fiduciose nella propria capacità di conformarsi alle linee guida.
Uno degli ostacoli principali alla conformità risiede nel cosiddetto debito tecnico (per un intervistato su quattro), ovvero l’accumulo di problematiche tecnologiche derivanti da scelte passate che rallenta l’adozione di nuove tecnologie o normative. Un altro fattore critico è la mancanza di comprensione da parte della leadership aziendale (23%), che può tradursi in una carenza di supporto strategico e finanziario per l’adeguamento. Anche perché ben il 40% delle aziende ha ridotto il budget IT dall’annuncio dell’accordo politico su Nis2 nel gennaio 2023, nonostante le sanzioni previste per il mancato rispetto della direttiva siano paragonabili a quelle imposte dal Gdpr tra i regolamenti più severi in materia di privacy dei dati in Europa.
Nis2 nella percezione delle aziende
Si intenda, la maggior parte delle aziende sembra riconoscere i ‘potenziali’ benefici di Nis2. Ben tre intervistati su quattro ritengono infatti che la direttiva sia vantaggiosa per il miglioramento della sicurezza informatica, ma solo il 57% crede che avrà un impatto sostanziale. Le principali preoccupazioni dei decisori IT riguardano la mancanza di completezza della direttiva (35%), il timore che la conformità non garantisca necessariamente la sicurezza (34%), e la sovrapposizione con le normative esistenti (25%). Un altro elemento che contribuisce alla percezione negativa di Nis2 è l’inadeguatezza percepita delle conseguenze per la mancata conformità. Il 42% degli intervistati che considera la direttiva irrilevante per il miglioramento della cybersecurity in Europa ritiene anche che le sanzioni previste non siano sufficientemente deterrenti da spingere le aziende ad agire con urgenza. A questo si aggiungono altre sfide come la mancanza di competenze specializzate in cybersecurity (19%), la complessità della direttiva stessa (19%), e la presenza di silos organizzativi (19%), che rallentano il processo di conformità.
Organizzazioni soffocate dalle “priorità”
Uno degli aspetti che emerge chiaramente dall’indagine è che la lentezza nell’adozione della Nis2 è in gran parte dovuta alle tante (troppe) priorità che le aziende devono affrontare contemporaneamente. Le organizzazioni si trovano a dover bilanciare la conformità alla nuova direttiva con altre problematiche aziendali, come il divario di competenze, appunto, la redditività e la trasformazione digitale. Per molte aziende, Nis2 rappresenta quindi solo una delle tante questioni da affrontare, e non è considerata una priorità assoluta.
Secondo Andre Troskie, Field Ciso Emea di Veeam, questo rallentamento può essere spiegato dalla combinazione di priorità aziendali concorrenti e dalla crescente pressione degli attacchi informatici. Troskie sottolinea quindi che Nis2 porta la responsabilità della sicurezza informatica oltre i team IT, coinvolgendo anche i vertici aziendali: “La direttiva porta la responsabilità della cybersecurity al di là dei team IT, fino alla sala del consiglio di amministrazione. Sebbene molte aziende riconoscano l’importanza di questa direttiva, le difficoltà di adeguamento riscontrate nell’indagine evidenziano problemi sistemici significativi”.
Un commento che riflette una delle preoccupazioni principali sollevate dai responsabili IT: la mancanza di consapevolezza da parte dei livelli dirigenziali sulle implicazioni e l’urgenza di attuare le misure previste dalla Nis2. La complessità e la gravità delle minacce informatiche, sempre più frequenti e sofisticate, richiedono un approccio che coinvolga ogni livello dell’organizzazione e che risulti, una volta tramutato in progetti sul campo, coerente. Molte aziende invece si trovano ancora a lottare con limitazioni di budget e risorse.
© RIPRODUZIONE RISERVATA