Con il countdown che porta al 18 ottobre 2024, le aziende europee si trovano di fronte a un panorama normativo e tecnologico complesso collegato alla nuova Direttiva NIS2. Questa legislazione ha come obiettivo quello di potenziare la cybersecurity in tutta l'Unione Europea. Anche se gran parte delle aziende riconosce l'importanza di questa normativa, un sondaggio recente ha rivelato un mix di emozioni e criticità operative che possono ritardare l'adeguamento.

CRESCENTE PRESSIONE SULLA CYBERSECURITY

L'indagine, condotta da Censuswide su oltre 500 decisori IT in Belgio, Francia, Germania, Paesi Bassi e Regno Unito, ha mostrato dati allarmanti. Solo il 43% degli intervistati crede che la NIS2 avrà un impatto significativo sulla sicurezza informatica dell'UE, nonostante il 90% abbia riportato almeno un incidente di sicurezza nell'ultimo anno che avrebbe potuto essere prevenuto grazie alla direttiva. Inoltre, il 44% delle aziende ha subito più di tre attacchi informatici, con il 65% di questi considerati “altamente critici”.

Questi numeri illustrano la vulnerabilità delle aziende davanti all’aumento degli attacchi informatici, nonostante le misure richieste dalla NIS2. Tra le misure da adottare ci sono piani di risposta agli incidenti, protezione della supply chain e valutazione della sicurezza, facendo attenzione anche ai partner e fornitori coinvolti. Tuttavia, meno della metà degli intervistati è convinta che tali misure faranno la differenza.

OSTACOLI ALL'ADEGUAMENTO

Il sondaggio ha evidenziato vari ostacoli che possono impedire l’adeguamento alla NIS2. Le principali problematiche emerse riguardano il debito tecnico (24%), la mancanza di comprensione da parte della leadership aziendale (23%) e budget insufficienti (21%). Preoccupante è anche il fatto che il 40% delle aziende ha ridotto gli investimenti IT dopo l’annuncio della NIS2, un passo controproducente alla luce delle nuove sfide normative.

Nonostante quasi l'80% delle aziende si dica fiduciosa sulla possibilità di conformarsi, due terzi ammettono di non riuscire a rispettare la scadenza del 18 ottobre. Molti attribuiscono questa difficoltà al dover bilanciare altre priorità aziendali, come il gap di competenze, la trasformazione digitale e le necessità di redditività.

Un altro dato interessante riguarda la percezione della NIS2: il 42% degli intervistati ritiene che la direttiva non sia rilevante per migliorare la cybersecurity dell’UE. Questa apatia sembra derivare dalla percezione che non ci siano conseguenze di rilievo legate alla non conformità, creando un divario tra realtà operative e normative.

A titolo di paragone, il GDPR è citato frequentemente: il 63% degli intervistati crede che sia molto severo, ma il 57% è scettico riguardo all’efficacia della NIS2, citando criticità come la sua incompletezza e la sovrapposizione con altre normative. Nonostante questo, un buon numero di decisori IT rimane ottimista: il 74% giudica la direttiva come vantaggiosa nel complesso.

LA DIRETTIVA NIS 2

La Direttiva NIS 2 è un atto legislativo volto ad aumentare il livello minimo di sicurezza informatica nell'UE, ampliando la sua applicazione a più settori e aziende di varie dimensioni, per garantirne uniformità. Essa richiede anche una condivisione più efficace delle informazioni e prevede sanzioni più severe, puntando a creare responsabilità legali per i team di gestione.

Con l'ampliamento dell'ambito di applicazione, la direttiva mira a rafforzare la resilienza e la capacità di risposta a incidenti di enti pubblici e privati, oltre a stabilire team di risposta agli incidenti (CSIRT) negli Stati membri. Attraverso la promozione della cooperazione tra Stati e l'incoraggiamento di una cultura della sicurezza, la normativa impone alle organizzazioni di servizi essenziali e ai fornitori di servizi digitali di adottare misure di sicurezza adeguate e di segnalare tempestivamente incidenti gravi.

**Un avviso finale per le aziende:** Ignorare la NIS2 potrebbe significare non solo multe, ma mettere a rischio la sicurezza dell’intera rete aziendale!