La NIS 2? Serve eccome: avrebbe potuto prevenire svariati incidenti solo nell'ultimo anno. L'analisi di Veeam

Spesso l'UE viene criticata per le tante norme e regole che impone. In alcuni casi, infatti, aziende e intere industrie hanno puntato il dito contro i tanti lacci e laccetti che imbrigliano le imprese, rischiando di porre un freno all'innovazione. Per esempio, è quello che sta accadendo recentemente con l'UE AI Act, contestato dai big del settore (in particolare statunitensi, ma non solo) in quanto considerato troppo limitante per chi sviluppa sistemi di IA. 

Altri regolamenti, però, sono considerati di estrema importanza per il settore di riferimento, come nel caso di NIS 2, un framework di sicurezza progettato per garantire che le aziende che operino in settori critici abbiamo un livello minimo di sicurezza certificato. Secondo un'indagine di Veeam, se già le imprese fosse conformi a NIS 2  lo scorso anno sarebbe stato possibile evitare alcuni incidenti informatici, 

Cosa è NIS 2?

NIS 2 è un set di regole mirato ad assicurare un livello minimo di sicurezza nella aziende che operano in settori critici. NIS 2 non si applica a tutte le imprese, ma solamente quelle sopra una certa dimensione attive in settori specifici: sanità, manifattura, farmaceutico, food & beverage, finanza, Pubblica Amministrazione e via dicendo. E avrà un impatto anche sui fornitori, anche se non direttamente specificati dalla norma. Le aziende che infatti si affidano a questi, dovranno garantire che anche i propri fornitori aderiscano a specifici standard di sicurezza. Sarà in vigore a partire dal 18 ottobre.

Le aziende saranno pronte? Come al solito, no, non tutte per lo meno. Secondo un'indagine svolta da Veeam, infatti, nonostante quasi l'80% delle aziende sia fiducioso nella propria capacità di adeguarsi alle linee guida NIS2, fino a due terzi dichiara che non riuscirà a rispettare questa scadenza. Non è l'unico dato che emerge: secondo l'analisi, solo il 43% dei decision-makers IT dell’area EMEA ritiene che la NIS2 migliorerà significativamente la sicurezza informatica dell'UE, nonostante uno schiacciante 90% abbia segnalato almeno un incidente di sicurezza che la direttiva avrebbe potuto prevenire negli ultimi 12 mesi. È allarmante notare che il 44% degli intervistati ha subito più di tre incidenti informatici e il 65% di questi è stato classificato come “altamente critico”.

Insomma: ancora oggi, nonostante i dati ci dicano che a livello globale gli attacchi informatici sono sempre più frequenti e impattanti, sono ancora presenti tante aziende che sopravvalutano la loro capacità di reagire a un incidente informatico.

NIS 2: le difficoltà per le aziende

Secondo l'analisi di Veeam, condotta su un campione di 500 decision maker in Belgio, Francia, Germania, Paesi Bassi e Regno Unito, le principali sfide includono il debito tecnico (24%), la mancanza di comprensione da parte della leadership (23%) e l'insufficienza di budget/investimenti (21%). 

E sicuramente la leadership ha le sue responsabilità: NIS 2 non arriva come un fulmine a ciel sereno. Se ne parla da anni, e la sua entrata in vigore era nota da molto tempo. Nonostante questo, molte realtà hanno preferito prendersela con comodo.  Addirittura il 40% degli intervistati ha riferito di aver diminuito i budget IT da quando è stato proclamato l'accordo politico per il NIS2 nel gennaio del 2023. Un atteggiamento decisamente miope, considerati non solo i rischi informatici, ma anche le multe per chi non si adegua, che possono essere molto salate. 

C'è anche un certo scetticismo da parte di numerose imprese: Il 74% degli intervistati ritiene che la NIS2 sia vantaggiosa, ma il 57% dubita che avrà un impatto sostanziale sulla posizione complessiva dell'UE in materia di sicurezza informatica. La sfiducia non è l'unico problema: pesano le tempistiche ristrette (19%), la carenza di competenze specifiche (19%), i silos organizzativi (19%).

Come prevedibile, insomma, in tanti sono arrivati in ritardo all'appuntamento, nonostante le scadenze fossero note da tempo. Un problema dovuto sì alla carenza di budget e competenze interne, ma anche da una consapevolezza ancora bassa sui rischi informatici. 

"La NIS2 porta la responsabilità della cybersecurity al di là dei team IT, fino alla sala del consiglio di amministrazione", afferma Andre Troskie, EMEA Field CISO di Veeam. "Sebbene molte aziende riconoscano l'importanza di questa direttiva, le difficoltà di adeguamento riscontrate nell'indagine evidenziano problemi sistemici significativi. La pressione combinata di altre priorità aziendali e delle sfide informatiche può spiegare i ritardi, ma ciò non diminuisce l'urgenza. Data la crescente frequenza e gravità delle minacce informatiche, i potenziali vantaggi della NIS2 nella prevenzione degli incidenti critici e nel rafforzamento della resilienza dei dati non possono essere sopravvalutati. I team dirigenziali devono agire rapidamente per colmare queste lacune e garantire la conformità, non solo per motivi normativi, ma per migliorare realmente la solidità dell'organizzazione e proteggere i dati critici”.