Eindhoven – Bijna een kwart van de securityprofessionals (23%) heeft nog nooit van de NIS2-richtlijn gehoord. Dit blijkt uit onderzoek van IT-serviceverlener
Ictivity onder 382 eind- of medeverantwoordelijken voor cybersecurity binnen hun organisatie. De onwetendheid van securityprofessionals is opvallend, omdat de zogeheten cyberbeveiligingswet waarschijnlijk in het derde kwartaal van dit jaar in werking treedt. Hierdoor zijn organisaties (indirect) verplicht om cybersecuritymaatregelen te nemen en hierover te rapporteren. Eindverantwoordelijken lijken beter op de hoogte: slechts zes procent van hen heeft nog nooit van NIS2 gehoord. Toch kent één op de tien (11%) de wet alsnog niet op inhoud en heeft 19 procent geen idee of de richtlijn van toepassing is op zijn of haar organisatie.
Relevantie van securitywetgeving
Ondanks dat een deel van de securityprofessionals nog geen idee heeft van de NIS2-richtlijn, vinden de meesten dit soort securitywet- en regelgeving wel nuttig. Sterker nog, de helft van de securityprofessionals (53%) zien de regulering als een must. Eindverantwoordelijken vinden dit nog belangrijker (63%). Daarnaast is 65 procent voorstander van nog meer wetgeving om netwerken en data veilig te houden.
Tegelijkertijd willen ze hierbij wel aan de hand genomen worden. Zeven op de tien securityeindverantwoordelijken (69%) verwachten vanuit de overheid meer hulp bij de implementatie van NIS2. Een andere groep eindverantwoordelijken ziet de overheid juist als vertragende factor bij dit soort wetgeving, in verhouding tot hoe snel cybercriminaliteit zich ontwikkelt. Zo stelt bijna de helft (47%) dat richtlijnen zoals NIS2 bij de start alweer achterhaald zijn.
Security in de boardroom
Een belangrijke verandering in de NIS2-richtlijn is dat de directie van een organisatie persoonlijk aansprakelijk wordt voor het niet nemen van de juiste securitymaatregelen. Daarmee is security niet langer een IT-onderwerp, maar een onderwerp van de boardroom. Wat dat betreft is er nog veel werk aan de winkel, vinden securityprofessionals. Vier op de tien eindverantwoordelijken (41%) vinden het kennisniveau van hun directie op het gebied van cybersecurity laag. Een even groot aandeel (41%) denkt zelfs dat aangescherpte wet- en regelgeving zoals NIS2 de enige reden is dat de organisatie met IT-security bezig is.
Dominique Frison, security adviseur bij Ictivity: “Het is opvallend om te zien hoeveel onbekendheid er onder securityprofessionals heerst over de NIS2-richtlijn. Niet alleen inhoudelijk, maar überhaupt over het bestaan ervan. Natuurlijk zijn sommige organisaties eerder aan de beurt om aan de vereisten te voldoen, maar dat neemt niet weg dat het belangrijk is om je te verdiepen in deze overheidsrichtlijnen. NIS2 maakt cybersecurity een bestuurlijke verplichting en verbindt IT met de boardroom, waardoor het een organisatiebreed onderwerp wordt. Daarom is het essentieel om met het management om tafel te gaan en security op de strategische agenda te zetten. Voldoende securitykennis is de eerste stap richting cyberweerbaarheid. Pas daarna kun je groeien naar een digitaal weerbare organisatie.”
---
Over het onderzoek
Dit onderzoek is in opdracht van Ictivity uitgezet door Motivaction onder 382 eind- en medeverantwoordelijken op het gebied van IT, inclusief (IT-) managers, FG’s/ security officers, CIO’s en CISO’s bij organisaties met meer dan honderd medewerkers.