Nederlands management onderschat de implementatie van NIS2 ernstig

Nederlands management onderschat de implementatie van NIS2 ernstig

Slechts een derde (35%) van de bedrijven die onder de nieuwe NIS2-wetgeving gaan vallen, is al concreet begonnen met de voorbereidingen hiervoor. Dit staat tegenover maar liefst 38 procent die nog niet begonnen is. Dit blijkt uit onderzoek van Telindus onder meer dan 150 CXO’s en managers met kennis van IT binnen bedrijven met 250 of meer medewerkers. De NIS2-wetgeving verplicht organisaties in Nederland om een risicobeoordeling uit te voeren en passende maatregelen te nemen om hun netwerk- en informatiesystemen te beveiligen tegen cyberaanvallen. Deze maatregelen moeten ervoor zorgen dat de continuïteit van de organisatie gewaarborgd blijft, zelfs in geval van een cyberaanval. Een kwart (27%) van de organisaties geeft aan de voorbereidingen op de NIS2-wetgeving al wel op de planning te hebben staan, maar nog niet te zijn begonnen.

32% vindt NIS2 onzin

Uit het onderzoek blijkt verder dat slechts 58 procent van de respondenten denkt dat de beveiliging van de kritieke infrastructuur als gevolg van de NIS2-richtlijn zal verbeteren. Dit staat tegenover 35 procent die aangeeft dat niet zeker te weten en zeven procent die niet denkt dat NIS2 verbeteringen op zal leveren. Dit komt deels doordat een derde (32%) van de bedrijven NIS2 overbodig vindt, omdat zij denken dat hun beveiliging al op orde is.

Voorbereidingen op NIS2

Van de essentiële organisaties, zoals energie- en telecombedrijven, die al wel zijn begonnen met de voorbereidingen op de NIS2-richtlijn, heeft 52 procent een risicoanalyse uitgevoerd en heeft 47 procent de nieuwe wet goed bestudeerd. Slechts 29 procent heeft kritieke diensten geïdentificeerd. Dat betekent dat 71 procent dus geen helder beeld heeft welke diensten omvallen als zich op een bepaalde plek in de infrastructuur een securityincident voordoet. Desondanks heeft al 39 procent van de ondervraagde organisaties wel extra beveiligingsmaatregelen geïmplementeerd. Ruim een derde (35%) is al begonnen met het trainen van medewerkers en een vijfde (20%) heeft het incident response plan opnieuw onder de loep genomen.

De reden dat veel organisaties nog niet zijn begonnen met de voorbereidingen op de NIS2, is het implementatieproces. Zestig procent vindt dit een complex proces, tegenover slechts twaalf procent die dit niet zo complex zegt te vinden.