Virksomheder i EU er meget forskelligt stillet, når Network and Information Security Directive 2022/2555 (NIS2) træder i kraft. NIS2 er et direktiv, der har til formål at styrke cybersikkerheden i hele EU ved blandt andet at øge kravene til sikkerhed. Direktivet træder i kraft den 18. oktober 2024 i EU – og i Danmark fra januar 2025.
Veeam® Software, der er en førende virksomhed inden for databeskyttelse, har bestilt en undersøgelse fra Censuswide, som viser, at kun 43 procent af IT-beslutningstagere i EMEA-regionen mener, at NIS2 vil forbedre EU's cybersikkerhed væsentligt. Det er på trods af, at hele 90 procent af respondenterne rapporterede mindst én sikkerhedshændelse i løbet af de sidste 12 måneder, som NIS2-direktivet kunne have forhindret. Næsten halvdelen (44 procent) af respondenterne har oplevet mere end tre cyberhændelser, hvoraf 65 procent blev kategoriseret som "meget kritiske".
Undersøgelsen, der dækker svar fra over 500 IT-beslutningstagere fra Belgien, Frankrig, Tyskland, Holland og Storbritannien, kaster lys over situationen her nogle måneder inden NIS2 træder i kraft. Selvom næsten 80 procent af virksomhederne er sikre på, at de vil kunne opfylde kravene på sigt, erkender op til to tredjedele, at de ikke når fristen.
Barrierer for overholdelse af NIS2
For at overholde NIS2 skal virksomheder indføre tiltag såsom at definere incident response-planer, sikre forsyningskæder og evaluere sårbarheder og sikkerhedsniveauer på tværs af organisationen og dens partnere De største forhindringer, ifølge IT-beslutningstagere, er teknisk gæld (24 procent), manglende forståelse fra ledelsen (23 procent) og utilstrækkelige budgetter (21 procent). Bemærkelsesværdigt er det, at 4 ud af 10 respondenter meldte om faldende IT-budgetter, siden den politiske aftale om NIS2 blev offentliggjort i januar 2023, på trods af de strenge sanktioner, som er sammenlignelige med EU's flagskibs-lovgivning om databeskyttelse, General Data Protection Regulation (GDPR). 63 procent af de adspurgte mener GDPR lovgivningen er hård, og 62 procent mener det samme om NIS2.
Andre Troskie, EMEA Field CISO hos Veeam, udtaler: "NIS2 bringer ansvaret for cybersikkerhed fra IT-afdelingen ind i bestyrelseslokalet. Mens mange virksomheder anerkender direktivets betydning, afslører undersøgelsen alvorlige systemiske problemer. De mange andre forretningsmæssige prioriteter og IT-udfordringer kan forklare forsinkelserne, men det fjerner ikke presset. Med de stigende cybertrusler kan NIS2's potentiale for at forhindre kritiske hændelser og styrke Data Resilience ikke undervurderes. Ledelsen i virksomhederne må handle hurtigt for at sikre overholdelse og styrke organisationens robusthed og beskytte kritiske data."
Pres fra konkurrenter i skyggen af cybertrusler
Den langsomme implementering af NIS2 skyldes sandsynligvis de mange konkurrerende prioriteter og forretningsmæssige pres, som organisationer står overfor. De adspurgte rangerer NIS2 lavere end ti andre emner, herunder mangel på kvalificerede medarbejdere, rentabilitet og digital transformation. Bekymrende er det, at 42 procent af dem, der ser NIS2 som uvæsentlig for EU's cybersikkerhed, peger på de manglende konsekvenser ved manglende overholdelse, hvilket har ført til udbredt ligegyldighed over for direktivet.
Andre nøglefund fra undersøgelsen viser, at:
74 procent ser NIS2 som gavnligt, men 57 procent tvivler på, at det vil have nogen væsentlig indflydelse på EU's samlede cybersikkerhed.
Skeptikere peger på, at NIS2 ikke er omfattende nok (35 procent), at overholdelse ikke garanterer sikkerhed (34 procent) og overlap med eksisterende regulativer (25 procent).
Andre barrierer inkluderer manglende fokus på NIS2-overholdelse (20 procent), en stram tidsplan (19 procent) og mangel på cybersikkerheds-kompetencer (19 procent).
Trods uenighed ser de fleste positivt på NIS2 i forhold til deres egne forpligtelser, med 33 procent der føler sig optimistiske, 32 procent der er selvsikre og 27 procent, der føler sig opmuntrede.
Censuswide udførte undersøgelsen i august og september 2024. 500 IT-beslutningstagere fra Belgien, Frankrig, Tyskland, Holland og Storbritannien har svaret. 50 respondenter kom fra mellemstore virksomheder (50-249 ansatte) og 50 fra store eller enterprise-virksomheder (250+ ansatte). Respondenterne blev udvalgt fra sektorer, der er opført blandt de væsentlige og vigtige enheder, som er underlagt NIS2-direktivet. Undersøgelsen er nationalt repræsentativ.
