NIS 2: le aziende hanno fiducia nel raggiungere la conformità, ma c’è scarsa conoscenza dei requisiti

Giu 07, 2024 Approfondimenti, Gestione dati, In evidenza, News

Le aziende europee sono convinte che raggiungeranno la conformità alla direttiva NIS 2 entro ottobre, anche se riconoscono una scarsa conoscenza dei requisiti: è quanto emerge dall’ultima ricerca di Zscaler, la quale ha evidenziato una grave discrepanza tra la fiducia delle imprese nelle proprie capacità e l’effettiva comprensione di ciò che comporterà l’adattamento alla direttiva.

Nel dettaglio, il report “NIS 2 & Beyond: Risk, Reward & Regulation Readiness” evidenzia che l’80% dei responsabili IT (77% in Italia) è fiducioso che la propria azienda soddisferà i requisiti di conformità alla direttiva prima della scadenza, e il 14% (13% in Italia) afferma di averli già soddisfatti.

Al contrario, solo il 53% (48% in Italia) dei responsabili IT ritiene che i propri team comprendano appieno i requisiti necessari per essere conformi alla direttiva, e ancora meno (49% sia in Europa che in Italia) ritiene che lo faccia la dirigenza aziendale.

È chiaro che c’è una forte discrepanza tra il modo in cui i leader aziendali parlano del percorso verso la conformità alla direttiva e il modo in cui agiscono. I leader IT affermano che i propri manager riconoscono la crescente importanza della NIS 2, con un terzo che la vede come una priorità assoluta e poco più della metà che riconosce che sta diventando una priorità sempre maggiore, anche se la maggior parte dei responsabili IT ritiene che i team non ricevano il supporto necessario per rispettare le scadenze.

“Sebbene sembri esserci una certa fiducia nel fatto che le aziende raggiungeranno la conformità NIS 2 entro la scadenza in avvicinamento, la nostra ricerca suggerisce che questa convinzione potrebbe poggiare su fondamenta scarsamente solide, o per meglio dire: ottimistiche” ha affermato Stefano Alei, Transformation Architect di Zscaler. “Se non si fa attenzione, molte aziende potrebbero trovarsi a correre verso l’obiettivo, trascurando altri processi di cybersecurity – cosa che il 60% dei responsabili IT (58% in Italia) ha ammesso essere possibile. I dirigenti devono agire subito e fornire ai loro team IT il supporto necessario per evitare di saltare i passaggi chiave del loro percorso di conformità e rischiare gravi conseguenze finanziarie e organizzative“.

NIS 2: servono cambiamenti profondi per essere conformi

Il 62% (71% in Italia) degli intervistati ritiene che la NIS 2 si discosti in modo significativo dal quadro NIS esistente e da ciò che utilizzano attualmente. Per rendere le proprie aziende conformi, i leader IT devono apportare i cambiamenti più significativi nelle aree dello stack tecnologico e delle soluzioni di cybersecurity (34% in Europa, 28% in Italia), della formazione dei dipendenti (20% in Europa, 17% in Italia) e della leadership (17% in Europa, 16% in Italia).

Gli intervistati sottolineano che le aree aziendali più difficili da trasformare per renderle conformi sono la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi (31% in Europa, 35% in Italia), le pratiche di igiene informatica di base e la formazione in materia di cybersecurity (30% in Europa, 26% in Italia e  le policy e le procedure per l’efficacia delle misure di gestione del rischio di cybersecurity (29% in Europa, 35% in Italia).

La scadenza è vicina ma, secondo i risultati del report, molte aziende europee non sono così avanti con gli standard di sicurezza fondamentali come dovrebbero: solo il 31% degli intervistati (23% in Italia) definisce il proprio livello di igiene informatica “eccellente”.

A livello di settori, quello dei trasporti e dell’energia hanno registrato un livello di eccellenza molto più basso, con solo il 14% dei responsabili IT del settore trasporti che ha dichiarato di aver raggiunto gli standard fondamentali di sicurezza e il 21% per le aziende del settore energetico. I dati evidenziano che sono poche le aziende in alcuni settori delle infrastrutture critiche che si sono tenute al passo con le revisioni di sicurezza negli ultimi anni; ciò potrebbe causare maggiori problemi quando si svolgeranno i controlli di conformità.

“Le normative da sole non saranno mai la risposta a un’igiene di primo livello in materia di cybersecurity, soprattutto se si considera la portata della sfida della cybersecurity. Infatti, il 53% dei nostri intervistati (59% in Italia) ha dichiarato che le norme NIS 2 non sono sufficienti considerando la sfida che si trovano ad affrontare le aziende” ha affermato James Tucker, Head of CISO di Zscaler.

“Piuttosto che un problema da risolvere, le normative dovrebbero quindi essere viste come un’opportunità per migliorare la sicurezza di base. Le normative devono diventare parte integrante delle revisioni dei processi in corso in azienda, invece di essere un’attività separata che i team IT devono affrontare. Le aziende dovrebbero sfruttare questa opportunità per rivedere l’entità dei loro stack tecnologici e trovare il modo di semplificare e tracciare l’hardware e il software attraverso un’unica piattaforma per evitare la complessità nel loro ambiente aziendale” ha concluso Tucker.

• conformità, direttiva sicurezza, NIS 2, responsabili IT, standard di sicurezza, zscaler