Nieuw onderzoek van CyberSmart onder bedrijfsleiders in het Verenigd Koninkrijk, Polen, Nederland, Ierland, Frankrijk, Duitsland, Denemarken en België – CyberSmart NIS2 Survey – heeft aangetoond dat, ondanks een inmiddels verstreken deadline (oktober 2024) voor naleving, slechts 16% van de bedrijven die moeten voldoen aan de EU-richtlijn EU’s Network and Information Security Directive 2 (NIS2) er zeker van is dat ze volledig voldoen. Zorgwekkend is dat 11% van de respondenten niet wist wat NIS2 inhoudt, ondanks dat hun bedrijf onder de reikwijdte van de richtlijn valt.
De bevindingen komen op een cruciaal moment voor de Europese cybersecurity. In 2025 vonden er aanzienlijke cyberincidenten plaats op het continent, waaronder grote verstoringen bij Britse retailers, een datalek bij Jaguar Land Rover dat de Britse overheid naar schatting £ 2,6 miljard kostte, en ransomware-aanvallen die luchthavens in heel Europa lamlegden. Veel van deze incidenten hadden een aanzienlijke impact op de bredere toeleveringsketen, aldus CyberSmart
Doel
NIS2-richtlijn heeft als doel de beveiliging van netwerk- en informatiesystemen in de EU-lidstaten te verbeteren. Het stelt eisen aan cyberbeveiliging en verplicht organisaties om passende beveiligingsmaatregelen te implementeren en significante incidenten te melden aan de relevante autoriteiten. De deadline voor lidstaten om de richtlijn in nationale wetgeving om te zetten was oktober 2024.
Hoewel de volledige naleving van NIS2 nog steeds laag blijft, maakt het onderzoek van CyberSmart duidelijk dat een gebrek aan motivatie niet de oorzaak is. Drie van de vier (75%) respondenten ziet ten minste enig concurrentievoordeel in naleving, en meer dan een kwart (27%) is van mening dat het voordeel significant is.
De belangrijkste zorgen rondom niet-naleving waren niet juridisch maar operationeel en reputatiegerelateerd: productiviteitsverlies (18%), reputatieschade (18%) en verlies van klanten (18%) scoorden hoger dan boetes (16%) of juridische gevolgen (14%).
Belemmeringen van praktische aard
De voornaamste belemmeringen voor volledige naleving zijn echter van praktische aard. Budgettaire beperkingen werden genoemd als de belangrijkste oorzaak van niet-naleving (20%), gevolgd door een gebrek aan richtlijnen voor de implementatie van de maatregelen (16%), onvoldoende interne expertise (11%) en nog eens 11% die niet zeker wist wat NIS2 inhield, ondanks dat ze onder de reikwijdte ervan vielen.
De druk om te voldoen komt ook vanuit de markt zelf. Als onderdeel van standaard due diligence is aan 42% van de respondenten gevraagd om NIS2-naleving aan te tonen door partners, aan 41% door investeerders en aan 36% door klanten of potentiële klanten. Met name voor Britse en Ierse bedrijven was de controle door investeerders aanzienlijk hoger: 58% gaf aan dat hen was gevraagd om naleving aan te tonen.
Betrokkenheid op bestuursniveau
Het onderzoek toonde bemoedigend genoeg ook aan dat er op bestuursniveau sprake is van betrokkenheid bij cybersecurity. 60% van de organisaties heeft de verantwoordelijkheid voor cybersecuritycompliance bij de raad van bestuur of het managementteam gelegd, waarbij CEO’s het vaakst worden genoemd (34%). Tegelijkertijd is 95% van de respondenten van mening dat hun raad van bestuur de juridische en reputatierisico’s van non-compliance in ieder geval enigszins begrijpt.
Naast de NIS2-specifieke bevindingen schetst het onderzoek een beeld van bredere regelgevingsdruk. De meeste bedrijven in het VK en de EU moeten tegelijkertijd aan meerdere regelgevingen voldoen, van DORA (Digital Operational Resiliency Act) en de EU Cybersecurity Act tot de Britse GDPR (Algemene Verordening Gegevensbescherming) en andere.
De resultaten wijzen duidelijk op vermoeidheid: 42% van de respondenten gaf aan dat er te veel regelgeving is om aan te voldoen, 35% vond dat er te veel overlap was en 27% zei dat er te veel nadruk op regelgeving wordt gelegd.Dit wijst op een aanzienlijke kans voor managed service providers (MSP’s). Nu bedrijven worstelen met een steeds complexer wordend compliance-landschap, is er een grote vraag naar partners die doorlopende ondersteuning kunnen bieden bij de naleving van meerdere regelgevingen, en niet alleen eenmalige certificeringen.
Vastlopen bij implementatie
Jamie Akhtar, CEO en medeoprichter van CyberSmart, zegt: “Ons onderzoek toont aan dat de meeste organisaties NIS2 niet negeren, maar vastlopen bij de implementatie ervan. Slechts 16% voelt zich volledig compliant, ondanks een groeiend draagvlak op bestuursniveau, daadwerkelijke budgettoewijzing en een duidelijk geloof dat compliance belangrijk is. Het probleem is niet de motivatie. Het is de kloof tussen wat de regelgeving vereist en de praktische ondersteuning die bedrijven hebben om daaraan te voldoen – vooral wanneer ze te maken hebben met overlappende standaarden en beperkte interne expertise.”
Tot slot, wat betekent een en ander voor bedrijven en de partners die hen ondersteunen? Akhtar: “NIS2 past in een bredere trend waarbij compliance een continu proces wordt, en geen eenmalige exercitie. MSP’s die compliance kunnen omzetten in een herhaalbare, beheerde dienst, zijn het best gepositioneerd om van deze verschuiving te profiteren. NIS2 verandert ook de manier waarop vertrouwen in de markt werkt. Partners, investeerders en klanten vragen organisaties nu al om compliance aan te tonen, en niet alleen te beloven. De organisaties die succesvol zullen zijn, zijn degenen die compliance tot routine maken en van onzekerheid naar vertrouwen overstappen .”
