Veam, il pesante impatto sui budget delle imprese per adeguarsi alla NIS2

Sono numerose le aziende che svolgono la loro attività in Europa che nel mese di ottobre hanno dovuto adeguarsi alla normativa NIS2 sulla sicurezza informatica, che impone standard minimi di sicurezza per le imprese che operano in determinati settori, ritenuti sensibili. 

Oltre agli aspetti inuibbiamente positivi, sono da riscontrare però anche risvolti negativi. Stando ai dati di uno studio condotto da Veeam, la grande maggioranza delle aziende (il 95%) sostiene di fare fatica a reperire il budget per adeguarsi alla nuova normativa. Se infatti è essenziale garantire la sicurezza nel rispetto delle norme, è anche vero che la conformità presenta dei costi, che possono risultare anche importanti. In riferimento alla NIS2, entrata in vigore nella seconda metà di ottobre, sono molte le aziende che hanno avuto serie difficoltà: le somme già messe da parte per la cybersecurity non erano sufficienti a garantire il rispetto delle norme. Come conseguenza di questo fatto, le imprese hanno dovuto utilizzare risorse destinate ad altre attività.

Le misure adottate dalle aziende 

Per garantire la conformità, sono diverse le misure che le aziende stanno adottando: effettuare audit IT (29%), rivedere i processi e le best practice di cybersicurezza (29%), sviluppare nuove politiche e procedure (28%), investire in nuove tecnologie (28%) e aumentare l'allocazione del budget per la cybersicurezza (28%).

Come risultato si ha che oggi l'80% dei budget IT è investito sulla conformità normativa. Questo fa sì che siano esigui i fondi per altre attività decisive, come cercare di far fronte alle carenze di competenze, migliorare la redditività, progredire nel processo di trasformazione digitale. Il 95% delle imprese che hanno fatto parte del campione ha dovuto attingere fondi da altre aree dell'azienda per coprire i costi di conformità alla NIS2. Nel 30% dei casi i budget IT non si sono rivelati sufficienti e questo ha implicato il ricorso a fondi previsti per le nuove assunzioni.

Trattandosi di un'occasione per migliorare la postura della sicurezza e poiché è da anni che si era a conoscenza del fatto che la NIS2 sarebbe entrata in vigore a ottobre 2024, le imprese avrebbero dovuto essere più lungimirante, iniziando a lavorare molto prima sulla conformità a tale norma,  così da non arrivare impreparati all'appuntamento.

Nonostante questo, negli ultimi due anni la tendenza generale è stata quella di ridurre i budget IT, mostrando una scarsa attenzione al tema della cybersecurity. Lo conferma Andre Troskie, Field CISO EMEA di Veeam: "Mantenere la sicurezza e la conformità è fondamentale per qualsiasi organizzazione, ma il fatto che attualmente consumi la maggior parte del budget IT evidenzia quanto siano impreparate e sottofinanziate molte aziende. I leader IT hanno budget limitati, ma devono ancora trovare risorse per soddisfare rapidamente i requisiti della NIS2. Coloro che adottano un approccio olistico alla sicurezza e alle best practice prima che la legislazione li imponga affronteranno naturalmente meno pressioni, permettendo loro di affrontare meglio altre priorità e sfide chiave".

Il "caso" del Regno Unito

Dall'analisi di Veeam emerge anche un dato significativo: è il Regno Unito l'unico Paese interessato dal sondaggio a riportare un aumento dei budget IT da gennaio 2023, con il 62% dei decisori IT britannici che indicano un aumento del budget e soltanto il 14% che ha registrato una diminuzione. Questo atteggiamento ha permesso alle aziende del Regno Unito di investire di più nel miglioramento della propria sicurezza in vista della direttiva. 

Il 38% degli intervistati nel Regno Unito ha già investito nella revisione dei processi e delle best practice di cybersicurezza, e il 34% ha investito in nuove tecnologie, cifre superiori rispetto a quelle riportate dai loro omologhi europei. I decisori IT del Regno Unito intendono continuare a effettuare investimenti significativi in futuro, con il 30% che prevede ulteriori revisioni dei processi di cybersicurezza e best practice, e il 25% che pianifica investimenti in nuove tecnologie, rispetto a una media del 15% e 16% negli altri paesi del sondaggio.

E' singolare il fatto che la NIS 2 non ha un impatto diretto sulle aziende attive nel Regno Unito, ma soltanto con quelle attive anche in Paesi dell'UE. “Data la loro disponibilità a investire e migliorare, non sorprende che il 90% dei decisori IT del Regno Unito si senta fiducioso nella propria capacità di conformarsi ai requisiti normativi, la fiducia più alta in EMEA", osserva Dan Middleton, Regional Vice President of the United Kingdom & Ireland di Veeam. 

(Fonte immagine e testo: www.edge9.hwupgrade.it)