Twee onderzoeken laten een discrepantie zien tussen het vertrouwen van managers dat de richtlijn op tijd zal worden nageleefd en hun werkelijke begrip van de inhoud ervan.
Terwijl 80% van de organisaties zegt vertrouwen te hebben in hun vermogen om te voldoen aan NIS2, zegt slechts 14% dat ze compliant zijn. “Hoewel er een zekere mate van vertrouwen is in het vermogen van bedrijven om te voldoen aan NIS 2 vóór de snel naderende deadline, lijkt het erop dat dit vertrouwen mogelijk is gebaseerd op relatief fragiele fundamenten,” merkt Olivier Godin, SRVP Sales, Zscaler Frankrijk op.
Het onderzoek van Zscaler, getiteld NIS 2 & Beyond: Risk, Reward & Regulation Readiness, verzamelt feedback van meer dan 875 IT-managers in zes Europese markten. Het onderzoek laat ook een kloof zien tussen de lidstaten. Sommige hebben de richtlijn al omgezet in nationale wetgeving en bereiden zich voor op het toepassen van compliance maatregelen vanaf oktober 2024. Andere lidstaten, zoals Frankrijk, Denemarken en Nederland, hebben aangekondigd dat ze de richtlijn pas begin 2025 zullen toepassen. Duitsland zal de deadline niet kunnen halen vanwege hangende nationale wetgeving. We kunnen tussen de regels door lezen dat velen wachten op nationale wetgeving, in de veronderstelling dat de vertragingen in de toepassing hen genoeg tijd zullen geven om de vereiste maatregelen in te voeren.
Vandaag actie ondernemen
Gevaar! “Als ze niet waakzaam zijn, zouden veel bedrijven wel eens overhaast te werk kunnen gaan en andere cyberbeveiligingsprocessen kunnen verwaarlozen“, waarschuwt Olivier Godin. Dit is een mogelijkheid die 60% van de IT-managers toegeeft. “Leidinggevenden moeten nu handelen en hun IT-teams de ondersteuning bieden die ze nodig hebben om te voorkomen dat ze belangrijke stappen missen in hun compliance traject, wat ernstige financiële gevolgen kan hebben.
Hoewel de NIS 2-richtlijn is gebaseerd op het huidige NIS-kader, is 62% van de ondervraagden van mening dat de richtlijn aanzienlijk verschilt van wat zij momenteel toepassen. Om aan de richtlijn te voldoen, moeten IT-managers aanzienlijke wijzigingen aanbrengen in hun technologiestack en cyberbeveiligingsoplossingen (34%) en het bewustzijn onder medewerkers (20%) en managers (17%) vergroten.
NIS2 zou niet ver genoeg gaan…
Uit een onderzoek van Eversheds Sutherland, dat samen met ESET Nederland is gepubliceerd, komt een vergelijkbare situatie naar voren: een derde van de organisaties heeft de richtlijn geïmplementeerd, terwijl 15% van mening is dat de richtlijn niet op hen van toepassing is en 14% onzeker is over de nalevingseisen. Zo’n 38% is nog niet begonnen, maar is wel van plan dit binnenkort te doen. Ondanks de grote aandacht voor het onderwerp is de daadwerkelijke implementatie vaak onvoldoende, wat leidt tot een van de belangrijkste punten van kritiek op de richtlijn: de weg naar naleving is niet altijd duidelijk.
Uit het onderzoek van Zscaler blijkt ook dat compliance niet allesbepalend is. 53% van de respondenten is van mening dat NIS 2 niet ver genoeg gaat, gezien de uitdagingen waar bedrijven voor staan. Regelgeving moet niet worden gezien als een probleem dat moet worden opgelost, maar eerder als een kans om de beveiliging te verbeteren,” benadrukt James Tucker, Head of CISO, Zscaler. Ze moeten worden geïntegreerd in de beoordelingsprocessen van bedrijven in plaats van een aparte activiteit voor IT-teams te zijn. Bedrijven moeten deze gelegenheid aangrijpen om hun technologiestacks opnieuw te beoordelen en manieren te vinden om hun hardware en software te vereenvoudigen en te volgen op één platform om de complexiteit van hun organisatieomgeving te verminderen.” Inderdaad.