Een onderzoek van Censuswide, uitgevoerd in opdracht van Veeam Software, onthult de aanzienlijke impact op organisaties die NIS2-compliant willen worden. Hoewel de meeste IT-leiders er vertrouwen in hebben dat ze NIS2-compliant zullen worden, laat het onderzoek onder meer zien dat de richtlijn ook uitdagingen zoals het tekort aan IT-vaardigheden versterkt. Het onderzoek toont verder aan dat 30% van de organisaties wervingsbudgetten heeft gebruikt om NIS2-compliance te ondersteunen.
IT-leiders hebben genoeg budget voor NIS2-compliance, maar tegen een hoge prijs
IT-leiders hebben voldoende budget om te kunnen voldoen aan de NIS2-richtlijn. De impact op andere afdelingen kan echter groot zijn, omdat zij hier soms aanzienlijke resources voor moeten inleveren. 68% van de organisaties heeft extra budget ontvangen voor NIS2-compliance. 20% identificeert budget echter juist als een barrière om NIS2-compliance te bereiken. Sinds de aankondiging van NIS2 in januari 2023 heeft 40% van de organisaties een lager IT-budget en 20% werkt met hetzelfde budget als daarvoor. Maar liefst 95% van de organisaties heeft fondsen van elders in het bedrijf omgeleid om NIS2-compliance te dekken: 30% van wervingsbudgetten, 29% van crisisbeheer en 25% van noodreserves.
Edwin Weijdema, Field CTO EMEA bij Veeam: “Het veiligstellen van een toereikend budget voor cybersecurity is vaak een uitdaging voor IT-leiders. Maar de strenge straffen en nadruk op corporate accountability van NIS2 kunnen dat proces vergemakkelijken. Echter, aangezien de meeste IT-budgetten worden gekort of niet groeien – of effectief krimpen door stijgende bedrijfskosten en inflatie – halen teams hun budgetten steeds vaker ergens anders vandaan. Het is met name zorgwekkend om te zien dat fondsen van wervings- en noodreserves worden omgeleid. NIS2 zou niet als een crisis moeten worden behandeld, maar toch lijkt één op de vier bedrijven het zo te zien.”
NIS2 vergroot bestaande uitdagingen voor IT-leiders
Het onderzoek gaat verder in op de zakelijke druk waar IT-leiders mee te maken hebben. De vijf belangrijkste uitdagingen van IT-leiders zijn het tekort aan IT-vaardigheden (24%), winstgevendheid (23%), digitale transformatie (23%), de stijgende kosten van zakendoen (20%) en een gebrek aan resources (20%). NIS2 staat als #10 laag op de prioriteitenlijst. Deze bevindingen laten zien dat resources – zowel mensen als financieel – de belangrijkste beperkende factoren zijn voor IT-leiders. NIS2 vereist beide.
Om NIS2-compliance te bereiken ondernemen organisaties verschillende stappen, waaronder het uitvoeren van IT-audits (29%), het beoordelen van hun cybersecurityprocessen en best practices (29%), het ontwikkelen van nieuwe beleidsregels en procedures (28%), het investeren in nieuwe technologie (28%) en het verhogen van de budgettoewijzing aan cybersecurity (28%). De belangrijkste enablers die NIS2-compliance mogelijk maken, zijn de noodzaak van investeringen in nieuwe technologische oplossingen (27%), IT-audits (25%) en interne organisatorische vaardigheden (25%). Deze vereisen allemaal budget en expertise.
IT-budgetten in EMEA worden geclaimd door security en compliance
Ondanks algehele IT-budgetverlagingen zijn er extra fondsen toegewezen voor NIS2-compliance – hetzij uit het IT-budget of van elders binnen het bedrijf. Inmiddels wordt 80% van het IT-budget van organisaties die aan NIS2 moeten voldoen, toegewezen aan cybersecurity en compliance. Dit laat weinig ruimte over voor de andere genoemde uitdagingen, zoals het tekort aan IT-vaardigheden, winstgevendheid en digitale transformatie.
“Het handhaven van security en compliance is essentieel voor elke organisatie, maar het feit dat dit momenteel het grootste deel van het IT-budget opslokt, benadrukt hoe onvoorbereid en onderbezet organisaties zijn. IT-leiders hebben beperkte budgetten, maar moeten snel resources vinden om NIS2-compliant te worden. Degenen die een holistische benadering van beveiliging en best practices hanteren zullen minder druk ervaren, waardoor ze andere belangrijke prioriteiten en uitdagingen beter kunnen aanpakken”, aldus Andre Troskie, Field CISO EMEA bij Veeam.
