Nut van NIS2 voor cybersecurity in praktijk alvast aangetoond (maar niet altijd gezien)

Uit onderzoek in opdracht van Veeam Software blijkt dat 90% van de incidenten die bedrijven in EMEA (Europa, het Midden-Oosten en Afrika) de afgelopen 12 maanden hebben meegemaakt, viel te voorkomen als NIS2-compliance al gerealiseerd was. Dat positieve nieuws wordt echter gekleurd door onwetendheid over NIS2 en twijfel eraan. Zo gelooft slechts 43% van de IT-leiders in EMEA dat NIS2 ervoor zal zorgen dat cyberbeveiliging in de EU aanzienlijk verbetert.

Geen actie ondernemen

Ondertussen blijkt dat in Nederland kleine bedrijven onvoldoende aandacht hebben voor hun cybersecurity. Een derde van de kleine bedrijven onderneemt geen enkele actie om veilig online te zijn. Ook is het merendeel van de mewerkers niet bekend met de aankomende NIS2-regulering. Dit meldt het Digital Trust Center, het op ondernemers gerichte cybersecurity-orgaan van het ministerie van Economische Zaken.

De ondermaatse cybersecurity-inspanning van kleinere Nederlandse bedrijven komt naar voren uit het Alert Online-trendonderzoek dat begin deze week is gepubliceerd. In opdracht van het ministerie van Economische Zaken voerde Ipsos I&O onderzoek uit naar de kennis en beleving van de digitale veiligheid van Nederlanders. Daarbij is ook een deelrapport over het bedrijfsleven geproduceerd, over de beleving van digitale veiligheid onder werknemers bij bedrijven.

Wel eens gehoord van NIS2

Een derde (33%) van de ICT-verantwoordelijken heeft wel eens gehoord van NIS2 of is daar goed van op de hoogte. Dat aandeel ligt wat hoger in sectoren die onder de richtlijn gaan vallen: daar is bijna de helft (45%) van de ICT-verantwoordelijken bekend met NIS2. Binnen alle andere typen bedrijven zijn medewerkers minder goed op de hoogte: daar heeft 85% nog nooit van NIS2 gehoord. Bovendien zijn negen op de tien medewerkers er niet van op de hoogte dat hun bedrijf (waarschijnlijk) onder de richtlijn gaat vallen.

Bovendien blijkt uit het Veeam-onderzoek, uitgevoerd door Censuswide, dat 44% van de bevraagde EMEA-bedrijven meer dan drie beveiligingsincidenten heeft meegemaakt. Maar liefst 65% van deze incidenten is gecategoriseerd als ‘zeer kritiek’.

Oktoberdeadline

Ondertussen nadert NIS2 snel: die EU-richtlijn moet voor 18 oktober geïmplementeerd zijn in nationale wetgeving. De Nederlandse overheid gaat die implementatiedeadline niet halen, zo is begin dit jaar bekend geworden. "Het omzetten van de richtlijnen in nationale wetgeving vraagt meer tijd dan in eerste instantie werd verwacht", liet toenmalig demissionair minister Dilan Yeşilgöz-Zegerius weten aan de Tweede Kamer.

Het is echter niet alleen de overheid die moeite heeft met NIS2. Veeam uit zorgen over de stand van zaken in de aanloop naar de NIS2-deadline. Hoewel 80% van de organisaties er vertrouwen in heeft dat ze op tijd aan de NIS2-richtlijn voldoen, geeft twee derde aan dat ze de naderende deadline niet haalt.