La NIS 2 impatta duramente sui budget delle imprese interessate. L'analisi di Veeam

Molte aziende operanti in Europa a ottobre si sono dovute adeguare alla normativa NIS 2 sulla sicurezza informatica. Come avevamo spiegato qui, NIS 2 è un framework europeo che impone degli standard minimi di sicurezza per le imprese che operano in specifici settori, considerati sensibili. Si tratta di un importante passo avanti rispetto alla precedente incarnazione, la NIS, dato che estende notevolmente il perimetro di azione, includendo anche le realtà che fanno parte della catena di approvvigionamento. Obiettivo è quello di migliorare la postura di sicurezza delle imprese operanti nei settori impattati dalla norma. 

Come sempre accade, però, ci sono anche dei risvolti negativi. In questo caso, secondo uno studio condotto da Veeam la stragrande maggioranza delle aziende (95%) afferma di faticare a trovare il budget per adeguarsi alla nuova normativa. 

La NIS 2 svuota i budget delle aziende

Garantire la sicurezza è fondamentale, così come rispettare le norme. Ma la conformità ha dei costi, che possono essere anche significativi. Nel caso della NIS 2, entrata in vigore nella seconda metà di ottobre, tantissime aziende affermano di aver faticato per reperire i budget. Le somme già allocate per la cybersecurity non erano sufficienti a garantire il rispetto delle norme, e di conseguenza le imprese interessate hanno dovuto dirottare fondi destinati ad altre attività. 

Per assicurare la conformità, le aziende stanno adottando diverse misure: effettuare audit IT (29%), rivedere i processi e le best practice di cybersicurezza (29%), sviluppare nuove politiche e procedure (28%), investire in nuove tecnologie (28%) e aumentare l'allocazione del budget per la cybersicurezza (28%).

Il risultato è che oggi l'80% dei budget IT è investito sulla conformità normativa, lasciando pochi fondi per altre attività chiave come colmare il gap di competenze, migliorare la redditività e accelerare la trasformazione digitale. Il 95% delle imprese facenti parte del campione ha dirottato fondi da altre aree dell'azienda per coprire i costi di conformità alla NIS2. Nel 30% dei casi i budget IT non sono stati sufficienti ed è stato fatto ricorso ai budget previsti per le nuove assunzioni.

Norme complesse o scarsa lungimiranza delle aziende?

Sicuramente garantire la conformità normativa ha un costo molto elevato. Costo che però in questo caso è più che giustificato: non parliamo di obblighi burocratici di cui si fatica a vedere l'utilità, ma di un'occasione per migliorare la postura della sicurezza. 

Che a ottobre 2024 sarebbe entrata in vigore NIS 2 non è certo una novità: se ne parlava da anni. E se da un lato è vero che, come spesso accade, le norme definitive sono state approvate dagli Stati Membri solo pochi mesi fa, va sottolineato che queste sono minuzie, che non avrebbero impedito alle imprese di iniziare a lavorare sulla conformità così da non arrivare impreparati all'appuntamento. Nonostante questo, negli ultimi due anni la tendenza generale è stata quella di ridurre i budget IT. Evidenziando poca attenzione al tema della cybersecurity, come anche afferma Andre Troskie, Field CISO EMEA di Veeam: "mantenere la sicurezza e la conformità è fondamentale per qualsiasi organizzazione, ma il fatto che attualmente consumi la maggior parte del budget IT evidenzia quanto siano impreparate e sottofinanziate molte aziende. I leader IT hanno budget limitati, ma devono ancora trovare risorse per soddisfare rapidamente i requisiti della NIS2. Coloro che adottano un approccio olistico alla sicurezza e alle best practice prima che la legislazione li imponga affronteranno naturalmente meno pressioni, permettendo loro di affrontare meglio altre priorità e sfide chiave".

Le aziende più preparate? Quelle del Regno Unito, che non è soggetto alle norme UE

Dall'analisi di Veeam emerge anche un dato molto curioso: il Regno Unito è stato l'unico paese del sondaggio a riportare un aumento dei budget IT dal gennaio 2023, con il 62% dei decisori IT britannici che segnalano un incremento del budget e solo il 14% che ha registrato una diminuzione. Questo ha consentito alle aziende del Regno Unito di investire maggiormente nel miglioramento della propria sicurezza in vista della direttiva. 

Il 38% degli intervistati nel Regno Unito ha già investito nella revisione dei processi e delle best practice di cybersicurezza, e il 34% ha investito in nuove tecnologie, cifre superiori rispetto a quelle riportate dai loro omologhi europei. I decisori IT del Regno Unito intendono continuare a effettuare investimenti significativi in futuro, con il 30% che prevede ulteriori revisioni dei processi di cybersicurezza e best practice, e il 25% che pianifica investimenti in nuove tecnologie, rispetto a una media del 15% e 16% negli altri paesi del sondaggio.

Il fatto curioso è che la NIS 2 non impatta direttamente sulle aziende attiva nel Regno Unito, ma solamente con quelle che operano anche in Paesi dell'UE. “Data la loro disponibilità a investire e migliorare, non sorprende che il 90% dei decisori IT del Regno Unito si senta fiducioso nella propria capacità di conformarsi ai requisiti normativi, la fiducia più alta in EMEA", afferma Dan Middleton, Regional Vice President of the United Kingdom & Ireland di Veeam. "Questa è una buona notizia in vista del prossimo Cyber Security and Resilience Bill. Sebbene i dettagli debbano ancora essere rilasciati, qualsiasi iniziativa che le aziende britanniche intraprendano ora per migliorare la loro resilienza informatica e dei dati le avvantaggerà quando questa direttiva entrerà in vigore. Ciò include il previsto investimento da parte di oltre un terzo (36%) dei rispondenti britannici nella formazione dei dipendenti esistenti, il che contribuirà a affrontare il crescente gap di competenze, un problema che mette sotto pressione un terzo (30%) delle aziende del Regno Unito più di qualsiasi altra sfida IT comune”.