NIS2 versterkt de bestaande uitdagingen van beperkte middelen en tekorten aan talent.

IT-managers zijn er weliswaar in geslaagd voldoende budget te vinden om aan de NIS2-richtlijn te voldoen, maar de gevolgen voor andere gebieden kunnen aanzienlijk zijn, vreest Veeam. NIS2 wordt gezien als een ‘crisis’. En dat is een vergissing!

Maar terwijl 68% van de bedrijven beweert dat ze de budgettaire steun hebben gekregen die ze nodig hebben om aan de Europese richtlijn te voldoen, beschouwt 20% van hen het budget als een groot obstakel voor naleving.

Sinds het politieke akkoord in januari 2023 van kracht werd, heeft 40% van de bedrijven hun IT-budget zien dalen, terwijl 20% hun budget gelijk heeft zien blijven. Daarnaast heeft 95% van de bedrijven budgetten van andere gebieden herschikt om de kosten van NIS2-naleving te dekken. Specifiek heeft 34% van de bedrijven hun risicomanagementbudget gebruikt, 30% hun wervingsbudget, 29% hun crisismanagementbudget en 25% hun noodreserves. Deze herschikking van middelen benadrukt de extra druk op de toch al krappe financiële middelen van deze bedrijven.

Uit angst…

Volgens Edwin Weijdema, Field CTO EMEA, Veeam, krimpen of stagneren de meeste IT-budgetten – met andere woorden, ze krimpen in het licht van stijgende kosten en inflatie – dus de NIS2-richtlijn tast een toch al beperkte reserve aan. “We hebben wat budget vrijgemaakt uit angst voor hoge boetes“, merkt hij snel op. Hetzelfde geldt voor de nadruk op bedrijfsaansprakelijkheid onder de NIS2-richtlijn. “Dit heeft geholpen om het proces flexibeler te maken.

Nu de meeste IT-budgetten verlaagd zijn of stagneren – met andere woorden, dalen in lijn met de stijgende kosten en inflatie – put de NIS2-richtlijn uit een toch al beperkte reserve. “Het is vooral zorgwekkend dat er geld wordt geleend uit wervings- en noodreserves. NIS2 wordt behandeld als een crisis. Dit lijkt de mening te zijn van één op de vier bedrijven.

Veeam merkt op dat voor NIS2 het IT-budget van het bedrijf of andere bronnen zijn omgeleid. Deze beperking verklaart mede waarom 80% van het IT-budget van bedrijven in de EMEA-regio dat moet voldoen aan de nieuwe richtlijn nu wordt toegewezen aan cyberbeveiliging en compliance. Edwin Weijdema betreurt dat “deze herverdeling IT-managers weinig ruimte laat om andere uitdagingen aan te pakken, zoals de vaardigheidskloof, winstgevendheid of digitale transformatie…”.

Bedrijven die slecht voorbereid zijn en over onvoldoende middelen beschikken

Beveiliging en compliance zijn van vitaal belang voor alle bedrijven”, zegt Andre Troskie, Field CISO EMEA, Veeam. Maar het feit dat ze momenteel het leeuwendeel van het IT-budget opslokken, laat zien hoe slecht bedrijven zijn voorbereid en over te weinig middelen beschikken. “Ondanks de beperkte budgetten moeten IT-managers manieren vinden om snel te reageren op de vereisten van de NIS2-richtlijn. Degenen die een holistische benadering van beveiliging hanteren en best practices toepassen voordat de wetgeving dit oplegt, zullen natuurlijk minder onder druk staan, waardoor ze andere prioriteiten en grote uitdagingen onder betere omstandigheden kunnen aanpakken.