De Europese NIS2 wetgeving gaat in oktober 2024 van kracht. Dit om kritieke sectoren te versterken tegen toenemende cyberdreigingen. Ondanks de ernst en de naderende implementatiedatum blijkt uit onderzoek van Telindus onder 153 IT-managers en directieleden dat er een aanzienlijk gebrek aan voorbereiding en bewustzijn bestaat. Slechts 5% (!) van de ondervraagden is volledig ingelicht over het securitybeleid van hun ketenpartners. Kortom; er is een duidelijk onderschatting van NIS2’s impact.
De kern van NIS2
NIS2 richt zich op een breder scala van vitale sectoren en introduceert strengere eisen voor cybersecurity, met een significante uitbreiding van ketenaansprakelijkheid en toezicht. Met verstrekkende veranderingen zoals thuiswerken en de verschuiving naar de cloud, vereist NIS2 een heroverweging van netwerk- en informatiebeveiliging binnen organisaties.
Voorbereiding op NIS2: groot deel nog niet eens begonnen!
Voorbereiding op NIS2: groot deel nog niet eens begonnen!
Ondanks de onderschatting van de impact van NIS2, biedt het onderzoek van Telindus nuttige inzichten in hoe voorbereidingen getroffen kunnen worden. Denk hierbij aan het identificeren van kritieke diensten, uitvoeren van risicoanalyses, implementeren van beveiligingsmaatregelen, en het vergroten van kennis over de NIS2 richtlijnen onder het personeel. Desalniettemin zijn er belangrijke zaken die missen in de voorbereiding: een groot deel van de respondenten – 38% maar liefst – zijn nog niet eens begonnen met de noodzakelijke stappen.
Ketenaansprakelijkheid en toegankelijke normen
Het rapport benadrukt de complexiteit van NIS2 implementatie. Sommige organisaties zien NIS2 als een stimulans voor verbetering van cybersecurity en digitale transformatie, terwijl anderen het als een belemmering voor innovatie beschouwen. Een opvallend aspect van NIS2 is de uitgebreide ketenaansprakelijkheid, die bedrijven ertoe aanzet om de cybersecuritypraktijken van hun partners nauwkeuriger te beoordelen. Dit vereist een cultuurverandering, waarbij cybersecurity wordt gezien als een integraal onderdeel van de bedrijfsstrategie en niet als een kostenpost.
Dat betekent dus ook dat toeleveranciers aan hun grote klanten (essentiële en belangrijke bedrijven) moeten kunnen laten zien dat ze hun cybersecurity op orde hebben. Of op zijn minst kunnen laten zien dat ze bezig zijn om hun digitale veiligheid omhoog te krikken en een veilige partner zijn voor hun klanten. Hierin past het NIS2 Quality Mark dat Samen Digitaal Veilig in licentie heeft. Met dit keurmerk krijgen bedrijven stapsgewijs en laagdrempelig inzicht in hun digitale veiligheid en de maatregelen die ze hebben getroffen en nog moeten doen. Op deze manier zijn de eisen van bedrijven aan hun toeleveranciers makkelijker te vertalen naar acceptabele normen voor mkb-bedrijven.
Conclusie en aanbevelingen: NIS2 is een kans!
Het Telindus-rapport sluit af met de aanbeveling om NIS2 te benaderen als een kans voor organisaties om hun digitale weerbaarheid te verbeteren, in plaats van als een set restrictieve maatregelen. Het pleit voor een proactieve benadering van cybersecurity, met de implementatie van een Plan-Do-Check-Act-cyclus voor continue verbetering. Door samen te werken met strategische partners (zoals Telindus en Samen Digitaal Veilig), kunnen organisaties de transitie naar NIS2-compliance gestroomlijnd en effectief maken, waarbij de focus ligt op het versterken van de algehele digitale veiligheid en het waarborgen van bedrijfscontinuïteit.
Het volledige rapport van Telindus kun je hier downloaden
