Het nieuwste NIS Investments-rapport van ENISA laat een duidelijke verschuiving zien in de manier waarop organisaties binnen de Europese Unie hun cybersecuritybudgetten inzetten. Waar eerdere jaren vooral werd ingezet op het uitbreiden van interne teams, verschuift de focus nu richting technologie en uitbestede beveiligingsdiensten. Deze bevindingen komen voort uit de zesde editie van ENISA’s jaarlijkse survey, waarin wordt onderzocht hoe Europese cybersecurityregelgeving — met name de NIS2-richtlijn — in de praktijk wordt toegepast én hoe deze keuzes beïnvloeden op de lange termijn.
ENISA-directeur Juhan Lepassaar benadrukt het belang van de studie: “De bevindingen helpen ons om uitdagingen beter te begrijpen, onze ondersteuning te richten en aanbevelingen voor de toekomst te verbeteren.”
Steekproef
Voor dit onderzoeksjaar werden 1.080 publieke en private organisaties ondervraagd in alle EU-lidstaten. De steekproef richtte zich op sectoren die onder NIS2 als essentieel of belangrijk worden beschouwd. Van de respondenten bestond 83 procent uit grote ondernemingen en zeventien procent uit mkb-bedrijven, waardoor vergelijkingen konden worden gemaakt tussen organisaties met verschillende middelen en volwassenheidsniveaus.
Investeringen stabiel, maar focus verandert
Hoewel het aandeel cybersecuritybudget binnen IT gemiddeld stabiel blijft op negen procent, verandert de besteding. De mediane investering bedraagt 1,5 miljoen euro, maar het zwaartepunt verschuift weg van interne personeelsuitbreiding. De oorzaak is helder: het tekort aan cybersecuritytalent blijft nijpend. Maar liefst 76 procent van de organisaties heeft moeite om experts te werven en 71 procent worstelt met het behouden ervan. Hierdoor groeit het aantal bedrijven dat zich vanwege schaarste wendt tot externe beveiligingspartners of geavanceerde tools.
Toenemende rol van cyberprofessionals
Het rapport benadrukt dat cyberprofessionals een cruciale rol spelen in het versterken van digitale weerbaarheid, maar dat het tekort aan gekwalificeerd personeel een structureel risico vormt. Door de hoge vraag, stijgende salarissen en schaarste aan gespecialiseerde kennis, worden organisaties gedwongen om cybersecurityprocessen verder te automatiseren en uit te besteden. Tegelijkertijd groeit de behoefte aan functies zoals security-analisten, threat hunters, compliance-experts en specialisten op het gebied van OT-beveiliging. Het tekort remt innovatie, vertraagt digitaliseringstrajecten en leidt tot een steeds sterkere afhankelijkheid van externe dienstenleveranciers.
Regelgeving
Regelgeving blijft de belangrijkste drijfveer voor cybersecurityuitgaven: 70 procent noemt compliance met NIS2 als primaire reden. Toch levert deze investering meer op dan alleen naleving. Respondenten melden zichtbare verbeteringen in risicobeheer (41 procent), detectievermogen (35 procent) en incidentrespons (26 procent).
Implementatie NIS2 blijft uitdagend
Ondanks dat de richtlijn organisaties aanspoort tot hogere beveiligingsstandaarden, blijft implementatie complex. De grootste knelpunten liggen bij patchbeheer (50 procent), business continuity (49 procent) en supply-chainrisico’s (37 procent). Kleine organisaties kampen vooral met beperkte expertise, onvoldoende middelen en hoge kosten voor tooling.
Bijna een derde van de organisaties heeft het afgelopen jaar geen cybersecurity-assessment uitgevoerd. Daarnaast blijkt 28 procent langer dan drie maanden nodig te hebben om kritieke kwetsbaarheden te patchen. Juist dit is zorgelijk, aangezien misbruik van kwetsbaarheden een veelvoorkomende aanvalsmethode blijft.
Supply-chain steeds kwetsbaarder
De afhankelijkheid van ICT-leveranciers en externe securitydiensten neemt toe en daarmee ook de risico’s. Supply-chain-aanvallen worden gezien als een van de grootste toekomstige bedreigingen (47 procent), gevolgd door ransomware (55 procent) en phishing (35 procent). Aanvallers richten zich steeds vaker op zwakke schakels in complexe digitale ketens, zoals kleinere leveranciers met beperkte beveiliging.
Basis voor toekomstig beleid
De resultaten van het NIS Investments-rapport ondersteunen meerdere strategische initiatieven van ENISA, waaronder de NIS360-beoordeling, de EU Cybersecurity Index en de jaarlijkse analyse van de cyberweerbaarheid binnen de EU. Het rapport onderstreept één duidelijke conclusie: de noodzaak voor structurele versterking van Europese cyberweerbaarheid groeit. Die toekomst wordt gebouwd met technologie, samenwerking en strategische investering én met voldoende cyberprofessionals.