75% van de Europese IT-leiders onzeker over NIS2-compliancevereisten

Een recent IDC InfoBrief, gespon­sord door Insight Enter­prises, brengt de stevige uitda­gingen in kaart waarmee Europese orga­ni­sa­ties worden gecon­fron­teerd bij het voldoen aan de cyber­be­vei­li­gings­re­gels van de NIS2-richtlijn. De bevin­dingen tonen aan dat er onder IT-beslis­sings­ne­mers veel onze­ker­heid bestaat over de compli­an­ce­ve­r­eisten, mede veroor­zaakt door interne obstakels die de voortgang belem­meren. Deze uitda­gingen bena­drukken de noodzaak van meer duide­lijk­heid en voor­be­rei­ding om effectief door het steeds veran­de­rende regel­ge­vings­land­schap te navigeren.

Gebrek aan bewustzijn of kennis van de eisen van de richtlijn

Orga­ni­sa­ties worden gecon­fron­teerd met strenge finan­ciële sancties en persoon­lijke aanspra­ke­lijk­heid voor leiding­ge­venden bij het niet voldoen aan de NIS2-richtlijn. Deze sancties omvatten boetes tot 10 miljoen euro of 2 procent van de wereld­wijde omzet, en kunnen leiden tot het intrekken van het recht voor leiding­ge­venden om nog leiding­ge­vende functies te bekleden.

Uit het onderzoek, dat kort voor de deadline van 17 oktober werd gehouden onder IT-managers en besluit­vor­mers in heel Europa, blijkt dat men zich over het algemeen niet bewust is van alle impli­ca­ties van de richtlijn en hoe deze van invloed is op de dage­lijkse acti­vi­teiten van bedrijven in Europese orga­ni­sa­ties. De belang­rijkste bevin­dingen tonen aan dat:

• drie van de vier onder­vraagde Europese orga­ni­sa­ties niet volledig op de hoogte zijn en geen gede­tail­leerde kennis hebben van de NIS2-richtlijn.

Hoewel niet elke orga­ni­sa­tie­laag gede­tail­leerde kennis van de imple­men­tatie van NIS2 vereist, bestaat de onder­vraagde groep voor­na­me­lijk uit IT-managers en direc­teuren in bedrijven met 59–999 werk­ne­mers. Van deze profes­si­o­nals wordt verwacht dat ze de NIS2-naleving binnen hun orga­ni­satie aansturen of overzien.

Gebrekkige afstemming tussen C‑Suite en IT-management

Het onderzoek wijst op een duide­lijke kloof in commu­ni­catie en afstem­ming tussen het uitvoe­rend niveau en IT-managers binnen bedrijven. De resul­taten tonen een discre­pantie tussen de perceptie van de CEO’s over de gereed­heid van hun orga­ni­satie en de opvat­tingen mening van hun eigen IT-teams. Terwijl de C‑Suite compli­ance als een hoge prio­ri­teit beschouwt, wordt deze over­tui­ging niet gedeeld door IT-managers. Velen geven aan dat de orga­ni­satie volgens hen compli­ance nog onvol­doende serieus neemt. Uit het onderzoek blijkt dat:

• 46% van de Europese CEO’s het verbe­teren van de risi­co­ma­na­ge­ment­hou­ding ziet als de eerste prio­ri­teit … maar 42% van de IT- en bevei­li­gings­ma­na­gers geeft aan dat hun directie (C‑Suite) zich niet bezig­houdt met NIS2-compliance.

Gevraagd naar de redenen waarom de C‑Suite zich niet bezig­houdt met NIS2-compli­ance blijkt dat:

• de raad van bestuur zich alleen op de zaken en groei richt; compli­ance is een lage prio­ri­teit (43%) 
• de raad van bestuur weinig inzicht heeft in cyberbeveiligingsrisico’s en hoe deze verband houden met het bedrijf (33%)
• de raad van bestuur niet in staat is om tech­ni­sche over­we­gingen te begrijpen (30%)
• het bestuur zich weinig bewust is van het risico op cyber­be­vei­li­ging (28%)

Gebrek aan interne expertise om compliance-taken uit te voeren

Een ander tekort dat uit de bevin­dingen van het onderzoek naar voren komt, is dat van het personeel in de orga­ni­satie. Gevraagd naar problemen die het vermogen van hun orga­ni­satie om aan de richtlijn te voldoen in de weg staan, noemden de onder­vraagden “mense­lijke factoren, zoals een gebrek aan voldoende technisch personeel” als een top drie uitdaging. Uit de resul­taten blijkt verder dat:

• 57% aangeeft dat hun interne teams over­wel­digd worden door de workload op het gebied van naleving
• 52% toegeeft dat ze niet over de interne vaar­dig­heden beschikken om volledig compliant te worden.

Het onver­mogen van veel orga­ni­sa­ties om te voldoen aan de tech­ni­sche perso­neels­be­hoeften rond NIS2-compli­ance wordt verder geïl­lu­streerd door het feit dat 54% verwacht binnen de komende twee jaar de hulp in te roepen van een managed security services provider.

“Ondanks dat de deadline voor NIS2-compli­ance is verstreken, onthult deze Infobrief een kritiek tekort in de inspan­ningen van veel orga­ni­sa­ties om aan de stan­daarden te voldoen”, aldus Rob O’Connor, CISO en Security Tech­no­logy Lead bij Insight. “De resul­taten van het onderzoek wijzen op een alar­me­rend gebrek aan prio­ri­teit­stel­ling en bewust­zijn onder C‑suite execu­tives met betrek­king tot cyber­be­vei­li­gings­na­le­ving, zoals waar­ge­nomen door IT-mana­ge­ment. Daarnaast onder­strepen de bevin­dingen het gebrek aan interne expertise die nodig is om compli­ance te bereiken, waardoor men steeds meer vertrouwt op externe ondersteuning.”

O’Connor voegt hieraan toe: “Als toon­aan­ge­vende Solutions Inte­grator zien we een toename in verzoeken om cyber­be­vei­li­gings­ad­viezen om te voldoen aan de hoge eisen van NIS2-compli­ance. Hoewel de wetgeving misschien nog niet in alle landen wettelijk is vast­ge­legd, moeten deze resul­taten orga­ni­sa­ties wakker schudden en hen eraan herin­neren dat ze onmid­del­lijk hun eigen deadlines voor NIS2-compli­ance moeten vaststellen.”

Hoewel de NIS2-richtlijn op 17 oktober in heel Europa van kracht werd als gemeen­schap­pe­lijke aanpak voor bevei­li­gings­na­le­ving binnen de Europese Unie, hebben tot nu toe slechts zes EU-landen NIS2 in hun wetgeving opgenomen.