Con la entrada en vigor de la directiva NIS2 en toda la Unión Europea, una reciente encuesta realizada por Censuswide para Veeam Software ha revelado el impacto considerable que está teniendo en las empresas mientras se adaptan a las nuevas normativas de ciberseguridad. Veeam ha encontrado que, aunque la mayoría de los responsables de TI están seguros de poder cumplir con NIS2, también se enfrentan a desafíos aumentados, como la falta de recursos y la escasez de personal cualificado.
La encuesta destaca que esta “falta de habilidades” es el principal obstáculo para las organizaciones en la región EMEA, con un 30% de las empresas utilizando sus presupuestos de contratación para apoyar el cumplimiento de NIS2.
Presupuesto para NIS2: Un logro costoso
Aunque los responsables de TI han logrado obtener el presupuesto necesario para cumplir con NIS2, esto ha tenido un impacto significativo en otras áreas. El 68% de las empresas ha recibido fondos adicionales para el cumplimiento, pero el 20% aún ve el presupuesto como una barrera importante. Desde el acuerdo político para NIS2 en enero de 2023, el 40% de las empresas ha visto reducidos sus presupuestos de TI, mientras que el 20% no ha experimentado cambios. Además, el 95% de las organizaciones ha desviado fondos de otras áreas para cubrir los costos de cumplimiento, afectando presupuestos de gestión de riesgos, contratación, gestión de crisis y reservas de emergencia.
Edwin Weijdema, Field CTO EMEA en Veeam, comenta que asegurar un presupuesto adecuado para ciberseguridad es un reto constante para los líderes de TI. Las sanciones estrictas y el énfasis en la responsabilidad corporativa de NIS2 pueden facilitar este proceso, pero con los presupuestos de TI reducidos o estancados debido a los costos empresariales y la inflación, NIS2 está ejerciendo presión sobre unos fondos ya limitados. Es preocupante que se desvíen fondos de las reservas de contratación y emergencia, ya que NIS2 no debería ser tratada como una crisis, aunque una de cada cuatro empresas parece verlo así.
NIS2 y los desafíos para los responsables de TI
La encuesta también revela las principales presiones que sienten los responsables de TI. NIS2 ocupa el décimo lugar en su lista de prioridades, lo que refleja la variedad de desafíos que enfrentan. Los cinco principales retos son: la falta de cualificación (24%), la preocupación por la rentabilidad (23%), la transformación digital (23%), el aumento de los costos empresariales (20%) y la falta de recursos (20%). Estos resultados muestran que los recursos humanos y financieros son los principales limitantes para los líderes de TI, aunque NIS2 requiere ambos.
El cumplimiento de NIS2 agrava la escasez de competencias informáticas y la presión sobre recursos
Para cumplir con la normativa, las empresas están tomando varias medidas, como realizar auditorías informáticas (29%), revisar los procesos y mejores prácticas de ciberseguridad (29%), desarrollar nuevas políticas y procedimientos (28%), invertir en nuevas tecnologías (28%) y aumentar el presupuesto para ciberseguridad (28%). Los principales facilitadores del cumplimiento de NIS2 son las nuevas soluciones tecnológicas (27%), las auditorías informáticas (25%) y las competencias organizativas internas (25%), que requieren presupuesto y conocimientos específicos.
Presupuesto de TI en EMEA: Seguridad y cumplimiento normativo
A pesar de las reducciones generales en los presupuestos de TI en los últimos dos años, se han asignado fondos adicionales para el cumplimiento de NIS2, ya sea del presupuesto de TI o de otras áreas de la empresa. Esto explica por qué el 80% de los presupuestos de TI en EMEA se destinan ahora a ciberseguridad y cumplimiento normativo. Esto deja poco margen para abordar otros retos importantes como la falta de competencias, la rentabilidad y la transformación digital.
“Mantener la seguridad y el cumplimiento es vital para cualquier organización, pero el hecho de que actualmente represente la mayor parte del presupuesto de TI muestra lo poco preparadas y dotadas de recursos que están las organizaciones. Los responsables de TI tienen presupuestos limitados, pero aún necesitan encontrar recursos para cumplir rápidamente con NIS2. Aquellos que adopten un enfoque holístico de la seguridad y las mejores prácticas antes de que la legislación lo exija, enfrentarán menos presión y podrán abordar mejor otras prioridades y retos clave”, añade Andre Troskie, Field CISO EMEA de Veeam.
Reino Unido: Líder en inversión y confianza en NIS2
Aunque NIS2 no afecta directamente a las empresas británicas, aquellas que operan con entidades de la UE deben cumplirla, y sus respuestas muestran un panorama diferente. El Reino Unido es el único país encuestado que ha informado de un aumento en los presupuestos de TI desde enero de 2023, con un 62% de los responsables de TI en el Reino Unido informando de un aumento del presupuesto y solo un 14% experimentando una disminución. Esto ha permitido a las empresas británicas invertir más en mejorar su seguridad antes de la entrada en vigor de la directiva.
El 38% de los encuestados del Reino Unido ya ha realizado inversiones para revisar los procesos y mejores prácticas de ciberseguridad, y el 34% ha invertido en nuevas tecnologías, cifras superiores a las de sus homólogos de la UE. Los responsables de TI del Reino Unido también planean seguir invirtiendo significativamente en el futuro, con un 30% planeando revisar los procesos y mejores prácticas de ciberseguridad, y un 25% planeando nuevas inversiones en tecnología, en comparación con una media del 15% y el 16% en otros países encuestados.
