Veeam® Software, el líder nº 1 por cuota de mercado en resiliencia de datos, encargó una nueva encuesta que revela que sólo el 43% de los responsables de toma de decisiones de IT en EMEA cree que NIS2 mejorará significativamente la ciberseguridad de la UE, a pesar de que un abrumador 90% de los encuestados admitió al menos un incidente de seguridad que la directiva NIS2 podría haber evitado en los últimos 12 meses. Resulta alarmante que el 44% haya sufrido más de tres ciberataques de este tipo y que el 65% de ellos calificados como “muy graves”.
Los resultados de la encuesta, que recoge las opiniones de más de 500 responsables de las decisiones en materia de TI de Alemania, Bélgica, Francia, Países Bajos y Reino Unido, revelan la situación a menos de un mes de que esta directiva entre en vigor el próximo 18 de octubre. Aunque casi el 80% de las empresas confían en su capacidad para cumplir finalmente las directrices de NIS2, hasta dos tercios admiten que no cumplirán este plazo inminente.
Obstáculos para el cumplimiento de NIS2
El cumplimiento de la norma NIS2 exige que las empresas apliquen medidas fundamentales, como la definición de planes de respuesta a incidentes, la protección de las cadenas de suministro, la evaluación de las vulnerabilidades y la consideración de niveles generales de seguridad, incluidas todas las organizaciones afiliadas, los partners y las cadenas de suministro. Sin embargo, para el cumplimiento de la normativa persisten varios obstáculos. Entre los principales retos citados por los responsables de la toma de decisiones en materia de TI se encuentran la deuda técnica (24%), la falta de comprensión por parte de los directivos (23%) y la insuficiencia de presupuesto/inversiones (21%). En particular, el 40% de los encuestados informaron de una disminución de los presupuestos de TI desde que se anunció el acuerdo político para NIS2 en enero de 2023, a pesar de sus estrictas sanciones comparables a las del Reglamento General de Protección de Datos (RGPD, GDPR en inglés). El 63% de los encuestados considera estricto el GDPR y el 62% expresa el mismo sentimiento sobre el NIS2.
Presiones competitivas ante las ciberamenazas
El ralentizado ritmo de adopción de NIS2 se debe probablemente a la multitud de prioridades y presiones empresariales a las que se enfrentan estas organizaciones. Los encuestados consideran que NIS2 es menos urgente que otras diez cuestiones incluyendo la falta de competencias, la rentabilidad y la transformación digital. Preocupantemente, el 42% de los encuestados que consideran que NIS2 es insignificante para las mejoras de ciberseguridad de la UE atribuyen esto a las consecuencias de su incumplimiento, lo que lleva a una apatía generalizada hacia la directiva.
Otros resultados clave de la encuesta son:
El 74% de los encuestados considera beneficiosa la NIS2, pero el 57% duda de que tenga algún impacto sustancial en la postura general de la UE en materia de ciberseguridad.
Los escépticos citan otras preocupaciones, como la falta de exhaustividad de NIS2 (35%), la creencia de que su cumplimiento no garantiza la seguridad (34%) y el solapamiento con la normativa vigente (25%).
Otros obstáculos son la falta de atención al cumplimiento de la directiva NIS2 (20%), los plazos ajustados (19%), la escasez de competencias en ciberseguridad (19%), la complejidad de la directiva (19%) y los silos organizativos (19%).
A pesar de las opiniones en contra, muchos encuestados perciben positivamente la NIS2 en el contexto de las obligaciones reglamentarias de su organización, sintiéndose optimistas (33%), confiados (32%) y animados (27%).
Andre Troskie, EMEA Field CISO de Veeam, declara: “NIS2 lleva la responsabilidad de la ciberseguridad más allá de los equipos de TI, hasta la junta directiva. Aunque muchas empresas reconocen la importancia de la directiva, la lucha por cumplirla mostrada en esta encuesta pone de manifiesto importantes problemas sistémicos. Las presiones combinadas de otras prioridades de las empresas y los retos informáticos pueden explicar la demora, pero ello no disminuye la urgencia. Dada la creciente frecuencia y gravedad de las ciberamenazas, no se pueden exagerar los beneficios potenciales de NIS2 en la prevención de incidentes críticos y el refuerzo de la resistencia de los datos. Los equipos directivos deben actuar con rapidez para colmar estas lagunas y garantizar el cumplimiento, no sólo por motivos normativos, sino para mejorar realmente la solidez de la organización y salvaguardar los datos críticos”.