Witold Kepinski - 31 mei 2024

Benelux organisaties hebben vertrouwen in bereiken NIS2-compliance

Uit onderzoek van Zscaler, speler in cloudbeveiliging, blijkt een kloof tussen het vertrouwen van organisaties in de Benelux om NIS2-compliance te bereiken voor de (nu nog onduidelijke) implementatiedeadline en het begrip van wat er nodig is om NIS2-compliant te worden.

Benelux organisaties hebben vertrouwen in bereiken NIS2-compliance image

76% van de ondervraagde IT-leiders uit de Benelux heeft er vertrouwen in dat hun organisatie NIS2-compliant zal zijn voor de deadline - 23% claimt dit al behaald te hebben. Iets minder dan de helft (44%) van de IT-leiders gelooft echter dat hun teams de NIS2-vereisten volledig begrijpen en 49% gelooft dat het leiderschap deze vereisten begrijpt. CISO’s staan voor de uitdaging om alle relevante stakeholders dit begrip bij te brengen, van het bestuur tot teamleiders en medewerkers in de hele organisatie, en compliance te bereiken.

Leiders moeten nu in actie komen

Als we verder inzoomen op de kloof tussen vertrouwen en begrip zien we ook verschillen in de manier waarop leiders NIS2 bespreken en hoe zij hierop acteren. Respondenten uit de Benelux geven aan dat leiders het groeiende belang van NIS2 wel zien: 32% zegt dat het een topprioriteit is voor het leiderschap en 56% zegt dat het steeds belangrijker wordt binnen hun organisatie. Maar dit komt niet tot uiting in de ondersteuning die de organisatie het IT-team, dat verantwoordelijk is voor NIS2-compliance, biedt.

Daan Huybregts, CTO EMEA bij Zscaler: “Terwijl er veel vertrouwen lijkt te zijn in de Benelux dat organisaties NIS2-compliance zullen bereiken, suggereert ons onderzoek dat dit vertrouwen soms misplaatst is. Als ze niet voorzichtig zijn kunnen organisaties in een situatie terechtkomen waarin ze zich alsnog moeten haasten om compliance te bereiken, waardoor ze andere cyberbeveiligingsprocessen mogelijk verwaarlozen. Bedrijfsleiders moeten nu in actie komen en hun IT-teams de nodige ondersteuning geven om te voorkomen dat ze belangrijke stappen in het NIS2-compliance-traject missen en het risico lopen op financiële gevolgen of reputatieschade.”

Kleine verbeteringen of compleet nieuwe frameworks?

Om NIS2-compliance te bereiken moeten IT-leiders in de Benelux de meeste veranderingen aanbrengen in hun tech stack/cyberbeveiligingsoplossingen, medewerkers beter opleiden en meer kennis delen met het leiderschap. De top drie meest uitdagende onderdelen van de NIS2-richtlijn zijn volgens respondenten:

  • Beveiliging bij de aankoop, ontwikkeling en het onderhoud van netwerk- en informatiesystemen.
  • Basismaatregelen voor cyberhygiëne en cyberbeveiligingstraining.
  • Beleid en processen rondom het effectief meten van risicobeheer.

Vooral Europese organisaties in kritieke sectoren hebben nog stappen te zetten

Terwijl de NIS2-richtlijn gepositioneerd is als een basisniveau van cyberbeveiligingsvereisten suggereert ons onderzoek dat organisaties in Europa nog niet zo ver zijn met hun cyberbeveiligingsstandaard als ze zouden moeten zijn. Slechts 31% van de Europese respondenten beschouwt het huidige niveau van cyberhygiëne van hun organisatie als ‘uitstekend’. Vanuit een industrieperspectief, hebben de transport- en energiesector de laagste niveaus van cyberhygiëne - slechts 14% in de transportsector en 21% in de energiesector claimt dit behaald te hebben. Dit laat zien dat te weinig organisaties in kritieke sectoren de laatste jaren beveiligingsbeoordelingen hebben bijgehouden. Dit kan een direct probleem zijn voor NIS2-compliance.

James Tucker, Head of CISO bij Zscaler: “Regelgeving op zichzelf is nooit het antwoord op first-class cyberbeveiligingshygiëne - zeker gezien de schaal van de huidige cyberbeveiligingsuitdaging. Toch zegt 53% van de Europese respondenten (en 68% van de respondenten uit de Benelux) dat de NIS2-richtlijn niet ver genoeg gaat. In plaats van NIS2 te zien als een probleem dat opgelost moet worden, zouden bedrijfsleiders het moeten zien als een kans om de basisbeveiliging op te krikken. Regelgeving moet onderdeel worden van continue procesbeoordelingen, in plaats van een aparte activiteit voor IT-teams. Organisaties moeten deze kans grijpen om de schaal van hun technologiestacks te herzien en manieren te vinden om hun hardware en software via één platform te vereenvoudigen en complexiteit in hun organisatorische omgeving te voorkomen.”

Hoe kan Zscaler helpen deze uitdagingen te overkomen?

De NIS2-richtlijn benadrukt de verantwoordelijkheid van de organisatie om de beveiliging van netwerk- en informatiesystemen te garanderen met een cultuur van governance en risicobeheer. Organisaties moeten proactief technische, operationele en organisatorische maatregelen nemen om cyberrisico’s te beheren. Zscaler biedt uitgebreide beveiligingsfunctionaliteiten met het cloud-native AI-powered Zscaler Zero Trust Exchange-platform, ontworpen om organisatie te helpen hun aanvalsoppervlak te minimaliseren en de effectiviteit van beveiligingscontroles over hun governance- en risicobeheerprogramma’s te garanderen:

  • Zscaler Internet Access en Zscaler Private Access leveren beveiliging tegen dreigingen, dataprotectie en beleidshandhaving door verkeersstromen te controleren en tegelijkertijd incident- en transactielogboeken te leveren die worden gebruikt voor beveiligingsmonitoring en -onderzoek.
  • Attack surface mitigation via het Zscaler Zero Trust Exchange-platform zorgt ervoor dat gebruikers nooit op het netwerk zitten en applicaties nooit blootgesteld worden aan het internet. Hierdoor wordt het aanvalsoppervlak flink verkleint. Daarnaast biedt het een volledig toegangsbeleid tot interne applicaties.
  • Zscaler Risk360 zorgt voor continue monitoring en detectie van kwetsbaarheden, waardoor organisaties beveiligingsrisico’s proactief kunnen verhelpen.

De NIS2-richtlijn is een wetgeving die tot doel heeft ervoor te zorgen dat organisaties in de Europese Unie een hoog cyberbeveiligingsniveau hebben. Lidstaten moeten ervoor zorgen dat entiteiten die behoren tot de 15 sectoren die onder NIS2 vallen de juiste maatregelen nemen om risico’s voor de beveiliging van netwerk- en informatiesystemen te beheren en de impact van incidenten op gebruikers te voorkomen of minimaliseren.

Methodologie

Het doel van dit onderzoek was om te onderzoeken hoe organisaties zich voorbereiden op de komst van de NIS2-richtlijn, de uitdagingen waar ze mee te maken hebben en waar ze zich bevinden op hun compliance-reis. Dit onderzoek is uitgevoerd onder 875 IT-leiders afkomstig uit het VK, Frankrijk, Duitsland, Italië, Spanje en de Benelux, die werkzaam zijn in organisaties met meer dan 500 medewerkers.

Outpost24 17/12/2024 t/m 31/12/2024 BN + BW