Utrecht, 30 september 2024 - De algemene
NIS2-deadline van 18 oktober nadert snel. NIS2 is een richtlijn die gericht is op het versterken van de cyberbeveiliging van de hele EU door bepaalde beveiligingspraktijken verplicht te stellen. Een nieuw onderzoek, uitgevoerd in opdracht van
Veeam Software, leider op het gebied van dataveerkracht, toont aan dat slechts 43% van de IT-leiders in EMEA gelooft dat NIS2 de cyberbeveiliging in de EU aanzienlijk verbetert. Dit is ondanks dat een overweldigende 90% van de respondenten in de laatste twaalf maanden minstens één beveiligingsincident meldt dat voorkomen had kunnen worden als het bedrijf NIS2-compliant was geweest. Alarmerend genoeg heeft 44% meer dan drie beveiligingsincidenten meegemaakt. 65% van deze incidenten is gecategoriseerd als ‘zeer kritiek’.
De resultaten van het onderzoek onthullen de stand van zaken in de aanloop naar de NIS2-deadline. Hoewel 80% van de organisaties er vertrouwen in heeft dat ze op tijd aan de NIS2-richtlijn voldoen, geeft twee derde aan dat ze de naderende deadline niet halen.
Belemmeringen voor NIS2-compliance
Om NIS2-compliance te bereiken moeten organisaties essentiële maatregelen nemen, zoals het definiëren van incidentresponseplannen, het beveiligen van hun supply chain, het beoordelen van kwetsbaarheden en het evalueren van beveiligingsniveaus. Respondenten hebben echter te maken met verschillende uitdagingen om NIS2-compliance daadwerkelijk te bereiken. Belangrijke uitdagingen zijn technical debt (24%), gebrek aan begrip bij het leiderschap (23%) en onvoldoende budget/investeringen (21%). Opvallend is dat 40% van de respondenten aangeeft dat hun IT-budgetten zijn gedaald sinds NIS2 in januari 2023 werd aangekondigd, ondanks de strenge straffen die op niet-compliance staan. Deze straffen zijn vergelijkbaar met de wet voor dataprotectie: de AVG. 63% van de respondenten beschouwt de AVG als streng, 62% heeft hetzelfde gevoel over NIS2.
Concurrentiedruk te midden van cyberdreigingen
Het trage tempo van NIS2-adoptie is waarschijnlijk te wijten aan de veelheid aan concurrerende prioriteiten en zakelijke druk. Respondenten rangschikken NIS2 lager in urgentie dan andere kwesties, zoals de vaardigheidskloof, winstgevendheid en digitale transformatie. 42% van de respondenten die NIS2 als onbelangrijk beschouwen voor het verbeteren van het cyberbeveiligingsniveau van de EU, schrijft dit toe aan de ontoereikende gevolgen van niet-compliance.
Andere belangrijke bevindingen uit het onderzoek zijn:
- 74% van de respondenten ziet NIS2 als nuttig, maar 57% twijfelt aan de substantiële impact ervan op het cyberbeveiligingsniveau van de EU.
- Sceptici noemen aanvullende belemmeringen zoals het gebrek aan volledigheid van NIS2 (35%), de overtuiging dat compliance geen garantie biedt voor veiligheid (34%) en overlapping met bestaande regelgeving (25%).
- Andere uitdagingen zijn een gebrek aan focus op NIS2-compliance (20%), een te strakke tijdlijn (19%), een tekort aan cyberbeveiligingsvaardigheden (19%), de complexiteit van de richtlijn (19%) en organisatorische silo’s (19%).
- Ondanks tegenstrijdige meningen ervaart de meerderheid van de respondenten NIS2 als positief in de context van de wettelijke verplichtingen van hun organisatie. Ze voelen zich optimistisch (33%), zelfverzekerd (32%) en aangemoedigd (27%).
Andre Troskie, EMEA Field CISO bij Veeam: “NIS2 brengt de verantwoordelijkheid voor cyberbeveiliging van de IT-afdeling naar bestuurders. Veel organisaties zien wel in hoe belangrijk deze richtlijn is, maar hebben moeite om op tijd aan de eisen te voldoen, wat wijst op grote systemische problemen. De gecombineerde druk van andere bedrijfsprioriteiten en IT-uitdagingen kan de vertraging verklaren, maar dit vermindert de urgentie niet. Gezien de toenemende frequentie en ernst van cyberdreigingen, kunnen de potentiële voordelen van NIS2 bij het voorkomen van kritieke incidenten en het versterken van de veerkracht niet genoeg worden benadrukt. Leiders moeten snel aan de slag om de gaten te dichten en te zorgen dat ze aan de regels voldoen, niet alleen omdat het moet, maar ook om de organisatie sterker te maken en belangrijke gegevens te beschermen.”
Methodologie
Dit onderzoek is uitgevoerd door Censuswide, in opdracht van Veeam, tussen 29 augustus en 2 september 2024. Het onderzoek omvat 500+ IT-besluitvormers uit België, Frankrijk, Duitsland, Nederland en het VK. Hoewel het VK geen EU-lidstaat is, werd het opgenomen vanwege de zakelijke banden met EU-landen.