Nederlands management onderschat de implementatie van NIS2 ernstig
Slechts een kwart (27%) geeft aan voorbereidingen op de planning te hebben staan
Nederlands management onderschat de implementatie van NIS2 ernstig
Utrecht, 5 december 2023 – Slechts een derde (35%) van de bedrijven die onder de nieuwe NIS2-wetgeving gaan vallen, is al concreet begonnen met de voorbereidingen hiervoor. Dit staat tegenover maar liefst 38 procent die nog niet begonnen is. Dit blijkt uit onderzoek van Telindus onder meer dan 150 CXO’s en managers met kennis van IT binnen bedrijven met 250 of meer medewerkers. De NIS2-wetgeving verplicht organisaties in Nederland om een risicobeoordeling uit te voeren en passende maatregelen te nemen om hun netwerk- en informatiesystemen te beveiligen tegen cyberaanvallen. Deze maatregelen moeten ervoor zorgen dat de continuïteit van de organisatie gewaarborgd blijft, zelfs in geval van een cyberaanval. Een kwart (27%) van de organisaties geeft aan de voorbereidingen op de NIS2-wetgeving al wel op de planning te hebben staan, maar nog niet te zijn begonnen.32 procent van bedrijven vindt NIS2 onzin
Uit het onderzoek blijkt verder dat slechts 58 procent van de respondenten denkt dat de beveiliging van de kritieke infrastructuur als gevolg van de NIS2-richtlijn zal verbeteren. Dit staat tegenover 35 procent die aangeeft dat niet zeker te weten en zeven procent die niet denkt dat NIS2 verbeteringen op zal leveren. Dit komt deels doordat een derde (32%) van de bedrijven NIS2 overbodig vindt, omdat zij denken dat hun beveiliging al op orde is.
Voorbereidingen op NIS2
Van de essentiële organisaties, zoals energie- en telecombedrijven, die al wel zijn begonnen met de voorbereidingen op de NIS2-richtlijn, heeft 52 procent een risicoanalyse uitgevoerd en heeft 47 procent de nieuwe wet goed bestudeerd. Slechts 29 procent heeft kritieke diensten geïdentificeerd. Dat betekent dat 71 procent dus geen helder beeld heeft welke diensten omvallen als zich op een bepaalde plek in de infrastructuur een securityincident voordoet. Desondanks heeft wel al 39 procent van de ondervraagde organisaties extra beveiligingsmaatregelen geïmplementeerd. Ruim een derde (35%) is al begonnen met het trainen van medewerkers en een vijfde (20%) heeft het incident response plan opnieuw onder de loep genomen.
De reden dat veel organisaties nog niet zijn begonnen met de voorbereidingen op de NIS2, is het implementatieproces. Zestig procent vindt dit een complex proces, tegenover slechts twaalf procent die dit niet zo complex zegt te vinden.
Voorbereiding is noodzakelijk
Jeroen Hentschke, Proposition Lead Security bij Telindus: “Het is zorgwekkend dat zo veel essentiële organisaties nog niet zijn begonnen met de voorbereidingen op de NIS2-wetgeving. NIS2 is een belangrijk instrument om de beveiliging van kritieke infrastructuur te verbeteren. En wanneer organisaties niet tijdig beginnen, zullen zij in de toekomst voor problemen komen te staan. Dit zagen we al eerder bij de komst van de AVG. De implementatie van NIS2 is voor veel organisaties een complex project, maar het is cruciaal om de zaken goed op orde te hebben voordat de wetgeving in werking treedt. Daarbij helpt het om deze wet niet als een noodzakelijk kwaad te zien, maar meer als een leidraad om security naar een hoger plan te tillen en zo bijvoorbeeld data van klanten beter te beschermen.”