Een recent IDC InfoBrief, gespon­sord door Insight Enter­prises, brengt de stevige uitda­gingen in kaart waarmee Europese organi­sa­ties worden gecon­fron­teerd bij het voldoen aan de cyber­be­vei­li­gings­re­gels van de NIS2-richt­lijn. De bevin­dingen tonen aan dat er onder IT-beslis­sings­ne­mers veel onzeker­heid bestaat over de compli­an­ce­ve­r­eisten, mede veroor­zaakt door interne obsta­kels die de voort­gang belem­meren. Deze uitda­gingen benadrukken de noodzaak van meer duide­lijk­heid en voorbe­rei­ding om effec­tief door het steeds veran­de­rende regel­ge­vings­land­schap te navigeren.

Gebrek aan bewustzijn of kennis van de eisen van de richtlijn

Organi­sa­ties worden gecon­fron­teerd met strenge finan­ciële sancties en persoon­lijke aanspra­ke­lijk­heid voor leiding­ge­venden bij het niet voldoen aan de NIS2-richt­lijn. Deze sancties omvatten boetes tot 10 miljoen euro of 2 procent van de wereld­wijde omzet, en kunnen leiden tot het intrekken van het recht voor leiding­ge­venden om nog leiding­ge­vende functies te bekleden.

---

---

Uit het onder­zoek, dat kort voor de deadline van 17 oktober werd gehouden onder IT-managers en besluit­vor­mers in heel Europa, blijkt dat men zich over het algemeen niet bewust is van alle impli­ca­ties van de richt­lijn en hoe deze van invloed is op de dagelijkse activi­teiten van bedrijven in Europese organi­sa­ties. De belang­rijkste bevin­dingen tonen aan dat:

• drie van de vier onder­vraagde Europese organi­sa­ties niet volledig op de hoogte zijn en geen gedetail­leerde kennis hebben van de NIS2-richtlijn.

Hoewel niet elke organi­sa­tie­laag gedetail­leerde kennis van de imple­men­tatie van NIS2 vereist, bestaat de onder­vraagde groep voorna­me­lijk uit IT-managers en direc­teuren in bedrijven met 59 – 999 werkne­mers. Van deze profes­si­o­nals wordt verwacht dat ze de NIS2-naleving binnen hun organi­satie aansturen of overzien.

Gebrekkige afstemming tussen C‑Suite en IT-management

Het onder­zoek wijst op een duide­lijke kloof in commu­ni­catie en afstem­ming tussen het uitvoe­rend niveau en IT-managers binnen bedrijven. De resul­taten tonen een discre­pantie tussen de perceptie van de CEO’s over de gereed­heid van hun organi­satie en de opvat­tingen mening van hun eigen IT-teams. Terwijl de C‑Suite compli­ance als een hoge priori­teit beschouwt, wordt deze overtui­ging niet gedeeld door IT-managers. Velen geven aan dat de organi­satie volgens hen compli­ance nog onvol­doende serieus neemt. Uit het onder­zoek blijkt dat:

• 46% van de Europese CEO’s het verbe­teren van de risico­ma­na­ge­ment­hou­ding ziet als de eerste priori­teit … maar 42% van de IT- en bevei­li­gings­ma­na­gers geeft aan dat hun directie (C‑Suite) zich niet bezig­houdt met NIS2-compliance.

Gevraagd naar de redenen waarom de C‑Suite zich niet bezig­houdt met NIS2-compli­ance blijkt dat:

• de raad van bestuur zich alleen op de zaken en groei richt; compli­ance is een lage priori­teit (43%) 
• de raad van bestuur weinig inzicht heeft in cyberbeveiligingsrisico’s en hoe deze verband houden met het bedrijf (33%)
• de raad van bestuur niet in staat is om techni­sche overwe­gingen te begrijpen (30%)
• het bestuur zich weinig bewust is van het risico op cyber­be­vei­li­ging (28%)

Gebrek aan interne expertise om compliance-taken uit te voeren

Een ander tekort dat uit de bevin­dingen van het onder­zoek naar voren komt, is dat van het perso­neel in de organi­satie. Gevraagd naar problemen die het vermogen van hun organi­satie om aan de richt­lijn te voldoen in de weg staan, noemden de onder­vraagden “mense­lijke factoren, zoals een gebrek aan voldoende technisch perso­neel” als een top drie uitda­ging. Uit de resul­taten blijkt verder dat:

• 57% aangeeft dat hun interne teams overwel­digd worden door de workload op het gebied van naleving
• 52% toegeeft dat ze niet over de interne vaardig­heden beschikken om volledig compliant te worden.

Het onver­mogen van veel organi­sa­ties om te voldoen aan de techni­sche perso­neels­be­hoeften rond NIS2-compli­ance wordt verder geïllu­streerd door het feit dat 54% verwacht binnen de komende twee jaar de hulp in te roepen van een managed security services provider.

“Ondanks dat de deadline voor NIS2-compli­ance is verstreken, onthult deze Infobrief een kritiek tekort in de inspan­ningen van veel organi­sa­ties om aan de standaarden te voldoen,” aldus Rob O’Connor, CISO en Security Techno­logy Lead bij Insight. “De resul­taten van het onder­zoek wijzen op een alarme­rend gebrek aan priori­teit­stel­ling en bewust­zijn onder C‑suite execu­tives met betrek­king tot cyber­be­vei­li­gings­na­le­ving, zoals waarge­nomen door IT-manage­ment. Daarnaast onder­strepen de bevin­dingen het gebrek aan interne exper­tise die nodig is om compli­ance te bereiken, waardoor men steeds meer vertrouwt op externe ondersteuning.”

O’Connor voegt hieraan toe: “Als toonaan­ge­vende Solutions Integrator zien we een toename in verzoeken om cyber­be­vei­li­gings­ad­viezen om te voldoen aan de hoge eisen van NIS2-compli­ance. Hoewel de wetge­ving misschien nog niet in alle landen wette­lijk is vastge­legd, moeten deze resul­taten organi­sa­ties wakker schudden en hen eraan herin­neren dat ze onmid­del­lijk hun eigen deadlines voor NIS2-compli­ance moeten vaststellen.”

Hoewel de NIS2-richt­lijn op 17 oktober in heel Europa van kracht werd als gemeen­schap­pe­lijke aanpak voor bevei­li­gings­na­le­ving binnen de Europese Unie, hebben tot nu toe slechts zes EU-landen NIS2 in hun wetge­ving opgenomen.