3min Ondernemen

Terwijl de deadline nadert, struikelen EU-landen over naleving van de NIS2-richtlijn

Een man met kort bruin haar, gekleed in een wit overhemd en een donker colbert, kijkt rechtstreeks in de camera tegen een effen witte achtergrond.
Terwijl de deadline nadert, struikelen EU-landen over naleving van de NIS2-richtlijn

Hoewel de EU-lidstaten verplicht zijn om de Network and Information Security Directive (NIS2-richtlijn) voor oktober 2024 in hun nationale wetgeving op te nemen, lijken niet alle lidstaten deze deadline te halen. De richtlijn legt tien beveiligingsmaatregelen op die bedoeld zijn om de cyberweerbaarheid van kritieke infrastructuur te versterken, waaronder beheer van bedrijfscontinuïteits en cyberrisico’s, beveiliging van de toeleveringsketen en training en opleiding.

Verschillen tussen EU-landen in implementatie NIS2-richtlijn

Sommige lidstaten hebben de richtlijn al omgezet in hun nationale wetgeving en bereiden zich vanaf oktober 2024 voor op de naleving ervan. Andere lidstaten, zoals Frankrijk, Denemarken en Nederland, hebben aangekondigd dat ze de richtlijn vanaf begin 2025 implementeren. Duitsland haalt de deadline niet vanwege de nationale wetgeving.

De verschillen in de implementatie van de richtlijn zijn ook aanzienlijk: Frankrijk bijvoorbeeld betrekt lokale overheden expliciet bij de richtlijn, wat in Duitsland niet het geval is. Door deze verschillen hebben veel pan-Europese organisaties moeite om de richtlijn en de verschillende implementaties ervan in de EU te begrijpen.

Vertrouwen en gereedheid van organisaties

80 procent van de organisaties heeft er vertrouwen in dat ze aan de richtlijn kunnen voldoen. Maar velen van hen wachten op nationale wetgeving, in de veronderstelling dat vertragingen in de implementatie hen genoeg tijd bieden om de vereiste maatregelen te treffen. Op dit moment zegt slechts 14 procent van de organisaties dat ze compliant zijn.

53 procent van de organisaties denkt dat zij niet in staat zijn om de vereisten te begrijpen en 49 procent meldt een opvallend gebrek aan steun van de leidinggevenden. Zonder voldoende steun van de top – die persoonlijk verantwoordelijk en aansprakelijk is voor de implementatie en beveiliging van de organisatie – zijn IT-teams misschien wel voorbereid, maar de organisatie als geheel niet.

Perspectieven van Europese organisaties

Een ander onderzoek toont een vergelijkbare situatie: een derde van de organisaties heeft de richtlijn geïmplementeerd, terwijl 15 procent denkt dat het niet voor hen van toepassing is. 14 procent is onzeker over hun compliance-eisen en ongeveer 38 procent is nog niet begonnen, maar is van plan dit binnenkort te doen. Ondanks de aanzienlijke aandacht voor het onderwerp is de daadwerkelijke implementatie vaak onvoldoende. Dat leidt tot één van de belangrijkste punten van kritiek op de richtlijn: de weg naar naleving is niet altijd duidelijk.

Het gebrek aan steun van het management, begrip onder de belanghebbenden en bewustzijn onder kleine en middelgrote bedrijven is zorgwekkend. Het management kan niet langer de dialoog met cyberbeveiligingsprofessionals uit de weg gaan, aangezien zij uiteindelijk verantwoordelijk én aansprakelijk zijn. Dit betekent dat organisaties zich actief moeten voorbereiden. Het implementeren van standaarden zoals ISO27001 is één benadering. Uitgebreid risicomanagement moet rekening houden met de specifieke dreigingen waarmee een organisatie wordt geconfronteerd. Zoals de richtlijn stelt, is training van werknemers van groot belang voor de opbouw van veerkracht. Deze erkenning is nu wijdverspreid, aangezien het menselijke element een populaire aanvalsvector is; effectieve training en opleiding zijn dus essentieel om de risico’s van de organisatie te begrijpen en te beperken.

Hoewel de wetgeving is uitgesteld en bedrijven nog tijd hebben om zich voor te bereiden, wordt iedereen geadviseerd om die tijd weloverwogen te gebruiken. NIS2 is niet zomaar een nalevingsverplichting, maar een oproep aan alle kritieke infrastructuur en hun leveranciers om van cyberbeveiliging een topprioriteit te maken en landen te helpen beschermen tegen inmenging door natiestaten, hacktivisten of cybercriminelen.

Lees ook: “Negeren Cyberbeveiligingswet kost bedrijven klanten”