Staat Europa voor een NIS2 compliance nachtmerrie?

Een recente IDC InfoBrief*, gesponsord door Insight Enterprises, toont verontrustende vertragingen in heel Europa aan bij het voldoen aan de NIS2-cyberbeveiligingsregels. Veel organisaties ondervinden aanzienlijke interne obstakels die hun compliance-inspanningen ernstig belemmeren. Alarmerend is het wijdverbreide gebrek aan inzicht in de essentiële stappen die nodig zijn om volledige NIS2-compliance te bereiken, wat extra complexiteit toegevoegd aan een toch al uitdagend regelgevend landschap.

Gebrek aan bewustzijn of kennis van de eisen van de richtlijn

Organisaties worden geconfronteerd met strenge financiële sancties en persoonlijke aansprakelijkheid voor leidinggevenden bij het niet voldoen aan de NIS2-richtlijn. Deze sancties omvatten boetes tot 10 miljoen euro of 2 procent van de wereldwijde omzet, en kunnen leiden tot het intrekken van het recht voor leidinggevenden om nog leidinggevende functies te bekleden**.

Uit het onderzoek, dat kort voor de deadline van 17 oktober werd gehouden onder IT-managers en besluitvormers in heel Europa, blijkt dat men zich over het algemeen niet bewust is van alle implicaties van de richtlijn en hoe deze van invloed is op de dagelijkse activiteiten van bedrijven in Europese organisaties. De belangrijkste bevindingen tonen aan dat:

• Drie van de vier ondervraagde Europese organisaties niet volledig op de hoogte zijn en geen gedetailleerde kennis hebben van de NIS2-richtlijn.

Hoewel niet elke organisatielaag gedetailleerde kennis van de implementatie van NIS2 vereist, bestaat de ondervraagde groep voornamelijk uit IT-managers en directeuren in bedrijven met 59-999 werknemers. Van deze professionals wordt verwacht dat ze de NIS2-naleving binnen hun organisatie aansturen of overzien.

Gebrekkige afstemming tussen C-Suite en IT-management

Het onderzoek wijst op een duidelijke kloof in communicatie en afstemming tussen het uitvoerend niveau en IT-managers binnen bedrijven. De resultaten tonen een discrepantie laten tussen de perceptie van de CEO's over de gereedheid van hun organisatie en de opvattingen mening van hun eigen IT-teams. Terwijl de C-Suite compliance als een hoge prioriteit beschouwt, wordt deze overtuiging niet gedeeld door IT-managers. Velen geven aan dat de organisatie volgens hen compliance nog onvoldoende serieus neemt. Uit het onderzoek blijkt dat:

• 46% van de Europese CEO's het verbeteren van de risicomanagementhouding ziet als de eerste prioriteit ... maar 42% van de IT- en beveiligingsmanagers geeft aan dat hun directie (C-Suite) zich niet bezighoudt met NIS2-compliance.

Gevraagd naar de redenen waarom de C-Suite zich niet bezighoudt met NIS2-compliance blijkt dat:

• De raad van bestuur zich alleen op de zaken en groei richt; compliance is een lage prioriteit (43%)
• De raad van bestuur weinig inzicht heeft in cyberbeveiligingsrisico's en hoe deze verband houden met het bedrijf (33%)
• De raad van bestuur niet in staat is om technische overwegingen te begrijpen (30%)
• Het bestuur zich weinig bewust is van het risico op cyberbeveiliging (28%)

Gebrek aan interne expertise om compliance-taken uit te voeren

Een ander tekort dat uit de bevindingen van het onderzoek naar voren komt, is dat van het personeel in de organisatie. Gevraagd naar problemen die het vermogen van hun organisatie om aan de richtlijn te voldoen in de weg staan, noemden de ondervraagden “menselijke factoren, zoals een gebrek aan voldoende technisch personeel” als een top drie uitdaging. Uit de resultaten blijkt verder dat:

• 57% aangeeft dat hun interne teams overweldigd worden door de werklast op het gebied van naleving
• 52% toegeeft dat ze niet over de interne vaardigheden beschikken om volledig compliant te worden.

Het onvermogen van veel organisaties om te voldoen aan de technische personeelsbehoeften rond NIS2-compliance wordt verder geïllustreerd door het feit dat 54% verwacht binnen de komende twee jaar de hulp in te roepen van een managed security services provider.

“Ondanks dat de deadline voor NIS2-compliance is verstreken, onthult deze Infobrief een kritiek tekort in de inspanningen van veel organisaties om aan de standaarden te voldoen,” aldus Rob O'Connor, CISO en Security Technology Lead bij Insight. “De resultaten van het onderzoek wijzen op een alarmerend gebrek aan prioriteitstelling en bewustzijn onder C-suite executives met betrekking tot cyberbeveiligingsnaleving, zoals waargenomen door IT-management. Daarnaast onderstrepen de bevindingen het gebrek aan interne expertise die nodig is om compliance te bereiken, waardoor men steeds meer vertrouwt op externe ondersteuning.”

O'Connor voegt hieraan toe: “Als toonaangevende Solutions Integrator zien we een toename in verzoeken om cyberbeveiligingsadviezen om te voldoen aan de hoge eisen van NIS2-compliance. Hoewel de wetgeving misschien nog niet in alle landen wettelijk is vastgelegd, moeten deze resultaten organisaties wakker schudden en hen eraan herinneren dat ze onmiddellijk hun eigen deadlines voor NIS2-compliance moeten vaststellen.”

Hoewel de NIS2-richtlijn op 17 oktober in heel Europa van kracht werd als gemeenschappelijke aanpak voor beveiligingsnaleving binnen de Europese Unie, hebben tot nu toe slechts zes*** EU-landen NIS2 in hun wetgeving opgenomen.

*Bron: IDC InfoBrief, gesponsord door Insight, NIS2: What Is Your Deadline?, doc #EUR252648424, oktober 2024.

** exclusief Duitsland

*** België, Litouwen, Letland, Kroatië, Hongarije, Italië