Hoewel de deadline voor de Cyberbeveiligingswet in Nederland nadert en de wetgeving in België al sinds eind 2024 van kracht is, worstelen organisaties in de gehele Benelux met de uitvoering. Uit onderzoek van Veeam Software onder ruim 600 beslissers blijkt dat een brede kenniskloof tussen IT- en zakelijke leiders de grootste barrière vormt. Terwijl de druk vanuit toezichthouders toeneemt, is in beide landen slechts een deel van de organisaties daadwerkelijk klaar voor de strenge resilience-eisen.
De cijfers staan in contrast met de naderende invoering van NIS2 in de nationale wetgeving. Het wetsvoorstel voor de Cyberbeveiligingswet is op 4 juni 2025 bij de Tweede Kamer ingediend en treedt naar verwachting deze zomer in werking. Maar 13 procent van de ondervraagde organisaties zegt helemaal niet bezig te zijn met de voorbereiding en 7 procent wacht simpelweg tot deelname verplicht is.
Veeam ondervroeg voor dit onderzoek 310 Nederlandse IT- en zakelijke beslissers over hun kennis, gedrag en houding ten aanzien van wetgeving die gericht is op het verhogen van de veerkracht van organisaties. Daaronder vallen de NIS2-richtlijn en de Cyber Resilience Act.
Grote kenniskloof tussen IT en business
Negen op de tien (91 procent) van de IT-leiders ziet het nut van NIS2 in, tegenover 72 procent van de zakelijke leiders. Dat verschil zet door. Zo zegt 83 procent van de IT-leiders volledig bekend te zijn met de eisen van resilience-wetgeving, terwijl dat bij zakelijke leiders 60 procent is. Iets minder dan een derde (30 procent) van de zakelijke leiders ervaart helemaal geen uitdagingen bij de implementatie van resilience-maatregelen.
IT-leiders noemen wel concrete knelpunten. Gebrek aan tijd voor implementatie en beleidsontwikkeling staat bovenaan met 41 procent, gevolgd door onvoldoende samenwerking tussen teams (33 procent). Volgens Veeam wijst dat erop dat veerkracht binnen veel organisaties nog geen integraal onderdeel is van de bedrijfsstrategie. NIS2 vereist daarvoor een verschuiving van reactieve bescherming naar proactieve weerbaarheid.
Onduidelijkheid over eindverantwoordelijkheid
Over wie uiteindelijk verantwoordelijk is voor compliance bestaat ook geen eensgezindheid. IT-leiders wijzen de CEO het vaakst aan als eindverantwoordelijke (38 procent), terwijl zakelijke leiders die rol bijna gelijk verdelen tussen de CEO (32 procent) en de IT-manager (29 procent). Toch is in NIS2 de verantwoordelijkheid van de CEO expliciet vastgelegd.
“Onder NIS2 is de CEO eindverantwoordelijk voor veerkracht. Zonder samenwerking tussen de business, IT, compliance en legal blijven organisaties kwetsbaar, wat niet alleen de compliance, maar ook innovatie en groei belemmert”, aldus Edwin Weijdema, Field CTO EMEA bij Veeam Software.
Organisaties die na de inwerkingtreding compliant willen zijn, krijgen naar verwachting zes maanden de tijd om hun maatregelen op orde te brengen. Veeam stelt dat een meetbare en aantoonbare aanpak van data resilience daarvoor de basis vormt.
Lees ook: Zorgplicht Cyberbeveiligingswet begint bij risicoanalyse
België als voorloper: wetgeving is daar al een feit
De uitdagingen in Nederland staan niet op zichzelf, maar het contrast met België is opvallend. Waar de Nederlandse Cyberbeveiligingswet nog in de startblokken staat, is de NIS2-richtlijn bij de zuiderburen al sinds eind 2024 van kracht. Uit onderzoek van Veeam onder 315 Belgische beslissers blijkt echter dat wetgeving alleen niet genoeg is voor actie. 30 Procent van de Belgische organisaties is nog niet toe aan de implementatie van concrete maatregelen, ondanks dat de toezichthouder daar al begint te focussen op naleving en controle.
Hoewel België qua wetgeving dus voorloopt, kampen organisaties daar met exact dezelfde barrières als in Nederland. Ook daar is de kloof in kennis tussen IT-leiders (82 procent bekend met de eisen) en zakelijke leiders (68 procent) een groot struikelblok. De verwarring over de eindverantwoordelijkheid is in beide landen nagenoeg identiek. Zowel in Nederland als in België wijst slechts een minderheid (respectievelijk 38 procent en 37 procent) de CEO aan als de eindverantwoordelijke, terwijl de wet daar geen enkel misverstand over laat bestaan.