Veeam: la direttiva NIS2 svuota le risorse delle organizzazioni: il 95% delle aziende EMEA utilizza altri fondi per rispettare la scadenza La conformità alla NIS2 amplifica le carenze di competenze IT e la pressione sulle risorse dell’azienda

Con l'implementazione della NIS2 in corso in tutta l'UE, un nuovo sondaggio di Censuswide, commissionato da Veeam Software, rivela l'impatto significativo sulle aziende che si stanno adattando a questa importante direttiva sulla security. Veeam, il leader globale nella resilienza dei dati per quota di mercato, ha evidenziato che, sebbene la maggior parte dei leader IT sia fiduciosa di poter rispettare la conformità alla NIS2, la direttiva ha anche amplificato le sfide esistenti, come le limitazioni di risorse e la carenza di competenze. Il sondaggio ha rivelato che il "gap di competenze" è il principale problema per le organizzazioni EMEA, con il 30% che afferma di aver attinto ai budget dedicati alle assunzioni per supportare gli sforzi richiesti per essere conformi alla NIS2.

Il budget per la NIS2 è stato garantito con grande fatica

Il sondaggio ha rivelato che, sebbene i leader IT siano riusciti a garantire un budget sufficiente per rispettare la direttiva NIS2, l'impatto su altre aree potrebbe essere significativo. Il 68% delle aziende riporta di aver ricevuto il budget aggiuntivo necessario per la conformità alla NIS2. Tuttavia, il 20% ha identificato il budget come una barriera significativa per raggiungere la conformità. Dall'accordo politico per la NIS2 nel gennaio 2023, il 40% delle aziende ha visto ridursi i budget IT mentre il 20% ha mantenuto le finanze invariate. Inoltre, il 95% delle organizzazioni ha dirottato fondi da altre aree dell'azienda per coprire i costi di conformità alla NIS2. In particolare, il 34% delle aziende ha attinto ai propri budget di gestione del rischio, il 30% da un budget di reclutamento più ampio, il 29% dalla gestione delle crisi e il 25% dalle riserve di emergenza. Questa riassegnazione sottolinea ulteriormente la pressione per le aziende su risorse finanziarie già limitate.

Edwin Weijdema, Field CTO EMEA di Veeam, ha dichiarato: “Garantire un budget adeguato per la cybersicurezza è spesso una sfida per i leader IT, ma le sanzioni severe e l'enfasi sulla responsabilità aziendale imposte dalla NIS2 potrebbero aiutare a facilitare questo processo. Tuttavia, poiché la maggior parte dei budget IT sta subendo tagli o rimane stagnante - di fatto riducendosi a causa dell'aumento dei costi aziendali e dell'inflazione - la NIS2 sta attingendo a risorse già limitate. È particolarmente preoccupante vedere fondi dirottati dal reclutamento e dalle riserve di emergenza. La NIS2 non dovrebbe essere considerata una crisi, eppure una azienda su quattro sembra vederla in questo modo”.

NIS2 aggiunge carburante al fuoco delle sfide per i leader IT

Il sondaggio ha evidenziato anche le principali pressioni aziendali percepite dai leader IT. Con la NIS2 classificata al decimo posto nella lista delle priorità, ciò sottolinea la vasta gamma di sfide affrontate a livello senior. Le prime cinque sfide sono il gap di competenze (24%), le preoccupazioni per la redditività (23%), la trasformazione digitale (23%), l'aumento dei costi aziendali (20%) e la mancanza di risorse (20%). Questi risultati rivelano che le risorse - sia umane che finanziarie - sono i principali fattori limitanti per i leader IT, eppure la NIS2 richiede entrambe.

Per diventare conformi, le aziende stanno adottando diverse misure: effettuare audit IT (29%), rivedere i processi e le best practice di cybersicurezza (29%), sviluppare nuove politiche e procedure (28%), investire in nuove tecnologie (28%) e aumentare l'allocazione del budget per la cybersicurezza (28%). I principali "fattori abilitanti" per la conformità alla NIS2 includono soluzioni tecnologiche specializzate (27%), audit IT (25%) e competenze organizzative interne (25%), tutti aspetti che richiedono budget e competenze preziose.

Il budget IT EMEA è dominato da sicurezza e conformità Nonostante le riduzioni generali del budget IT negli ultimi due anni, sono stati allocati fondi aggiuntivi per la conformità alla NIS2, sia dal budget IT che da altre aree dell'azienda. Questa limitazione potrebbe spiegare perché l'80% dei budget IT EMEA sia ora destinato alla cybersicurezza e alla conformità da parte delle aziende obbligate a rispettare la NIS2. Ciò lascia poco spazio per affrontare le principali sfide dei leader IT, come il gap di competenze, la redditività e la trasformazione digitale.

“Mantenere la sicurezza e la conformità è fondamentale per qualsiasi organizzazione, ma il fatto che attualmente consumi la maggior parte del budget IT evidenzia quanto siano impreparate e sottofinanziate molte aziende. I leader IT hanno budget limitati, ma devono ancora trovare risorse per soddisfare rapidamente i requisiti della NIS2. Coloro che adottano un approccio olistico alla sicurezza e alle best practice prima che la legislazione li imponga affronteranno naturalmente meno pressioni, permettendo loro di affrontare meglio altre priorità e sfide chiave,” ha dichiarato Andre Troskie, Field CISO EMEA di Veeam.

Il Regno Unito è leader negli investimenti e nella fiducia nella NIS2

Nonostante la NIS2 non influisca direttamente sulle aziende britanniche, quelle che operano con entità dell'UE devono conformarsi, e le loro risposte offrono un quadro diverso. Il Regno Unito è stato l'unico paese del sondaggio a riportare un aumento dei budget IT dal gennaio 2023, con il 62% dei decisori IT britannici che segnalano un incremento del budget e solo il 14% che ha registrato una diminuzione. Questo ha consentito alle aziende del Regno Unito di investire maggiormente nel miglioramento della propria sicurezza in vista della direttiva.

Il 38% degli intervistati nel Regno Unito ha già investito nella revisione dei processi e delle best practice di cybersicurezza, e il 34% ha investito in nuove tecnologie, cifre superiori rispetto a quelle riportate dai loro omologhi europei. I decisori IT del Regno Unito intendono continuare a effettuare investimenti significativi in futuro, con il 30% che prevede ulteriori revisioni dei processi di cybersicurezza e best practice, e il 25% che pianifica investimenti in nuove tecnologie, rispetto a una media del 15% e 16% negli altri paesi del sondaggio.

Dan Middleton, Regional Vice President of the United Kingdom & Ireland di Veeam, evidenzia: “Data la loro disponibilità a investire e migliorare, non sorprende che il 90% dei decisori IT del Regno Unito si senta fiducioso nella propria capacità di conformarsi ai requisiti normativi, la fiducia più alta in EMEA. Questa è una buona notizia in vista del prossimo Cyber Security and Resilience Bill. Sebbene i dettagli debbano ancora essere rilasciati, qualsiasi iniziativa che le aziende britanniche intraprendano ora per migliorare la loro resilienza informatica e dei dati le avvantaggerà quando questa direttiva entrerà in vigore. Ciò include il previsto investimento da parte di oltre un terzo (36%) dei rispondenti britannici nella formazione dei dipendenti esistenti, il che contribuirà a affrontare il crescente gap di competenze, un problema che mette sotto pressione un terzo (30%) delle aziende del Regno Unito più di qualsiasi altra sfida IT comune.”