23 procent van de Nederlandse securityprofessionals heeft nog nooit van de NIS2-richtlijn gehoord. Opvallend, omdat deze cyberbeveiligingswet naar verwachting later dit jaar in werking treedt, waardoor organisaties verplicht worden tot het implementeren en rapporteren van cybersecuritymaatregelen.
Dat blijkt uit onderzoek onder 382 cybersecurity-verantwoordelijken, dat Ictivity liet uitvoeren. Het onderzoek laat zien dat de onbekendheid met NIS2 onder eindverantwoordelijken minder groot is. Slechts zes procent van hen heeft nog nooit van de wet gehoord. Toch blijkt er ook binnen deze groep nog veel onwetendheid te bestaan: 11 procent kent de wet niet inhoudelijk en 19 procent heeft geen idee of de richtlijn op hun organisatie van toepassing is.
Security in de directiekamer
Een belangrijke verandering die de NIS2-richtlijn met zich meebrengt, is dat de directie van organisaties persoonlijk aansprakelijk wordt voor het nalaten van adequate securitymaatregelen. Daarmee verschuift cybersecurity van een IT-onderwerp naar een bestuurlijke verantwoordelijkheid. Volgens het onderzoek is hier nog veel werk aan de winkel. Vier op de tien eindverantwoordelijken beweren dat het kennisniveau van hun directie op het gebied van cybersecurity laag is.
Daarnaast denkt 41 procent van de securityprofessionals zelfs dat regelgeving zoals NIS2 de enige reden is dat hun organisatie zich überhaupt met IT-security bezighoudt.
Overheidsrol bij implementatie
Ondanks de onbekendheid vinden de meeste securityprofessionals securitywetgeving wel nuttig. 53 procent beschouwt regelgeving op dit gebied zelfs als noodzakelijk. Onder eindverantwoordelijken ligt dit percentage op 63 procent. Bijna twee derde (65 procent) is voorstander van nog meer wetgeving om netwerken en data veilig te houden.
Tegelijkertijd verwacht 69 procent van de eindverantwoordelijken meer hulp vanuit de overheid bij het implementeren van NIS2. Een andere groep ziet de overheid juist als vertragende factor: 47 procent stelt dat richtlijnen zoals NIS2 bij invoering alweer achterhaald zijn door de snelheid waarmee cybercriminaliteit zich ontwikkelt.