Onderzoek van NetApp onder Nederlandse IT-(eind)beslissers laat zien dat het toepassen van sterke authenticatie de grootste prioriteit heeft (gehad) bij de implementatie van de NIS2-richtlijn. Dat terwijl het volgen van hardening-gidsen, een meer gecompliceerde maatregel, door slechts een kleine meerderheid is toegepast.
Nederlandse bedrijven lijken zich bij de NIS2-implementatie zich daarom voornamelijk te richten op de ‘quick wins’ in plaats van het nemen van extra maatregelen die significant bijdragen aan de cybersecurity van het bedrijf.
De Network and Information Security Directive, ook wel de NIS2-richtlijn en opvolger van de eerste NIS-richtlijn, moet zorgen voor een hoger niveau van cybersecurity bij bedrijven en organisaties door de digitale en economische weerbaarheid te versterken. Om de richtlijn te implementeren treffen bedrijven verschillende maatregelen. Daarbij valt op dat bedrijven maatregelen als het centraliseren en analyseren van loginformatie (12,5 procent) en het inrichten van patchmanagement (13 procent) veel minder prioriteit geven dan het toepassen van sterke authenticatie, waar 54 procent van de ondervraagden de focus op legt.
Dat bedrijven een duidelijke prioriteit hebben gegeven aan het toepassen van sterke authenticatie is duidelijk terug te zien in het feit dat 91,5 procent van de bedrijven dit ook daadwerkelijk nu toepassen. Ook geeft meer dan 4 op de 5 respondenten (87,5) aan dat er geïnvesteerd is in herstel van back-ups. Daar tegenover staat dat slechts 54 procent aangeeft dat er hardening-gidsen zijn gevolgd voor alle kritieke bedrijfsmiddelen. En minder dan driekwart (69,5%) heeft penetratietesten voor geavanceerde bedreigingen uitgevoerd.
Joost van Drenth, Field CTO bij NetApp Nederland: “Het is natuurlijk goed om te zien dat zoveel bedrijven al maatregelen hebben getroffen om de digitale en economische weerbaarheid van hun organisatie te versterken. Wel moet opgemerkt worden dat bedrijven zich vooral lijken te richten op de maatregelen die makkelijk en snel geïmplementeerd kunnen worden. Hardening-gidsen, die bestaan uit aanbevelingen en stappen om de beveiliging van een systeem te versterken en kwetsbaarheden te minimaliseren, zijn tegenwoordig cruciaal. Maar dat wordt door maar iets meer dan de helft van de respondenten gezien.”
Kennis blijft achter en wisselend sentiment
Naast dat er stappen gezet kunnen worden op praktische zaken, is er ook nog veel te winnen op het gebied van kennis en opleiding. Meer dan een kwart (27%) geeft aan zij niet een verplichte cybersecurity awareness training hebben gevolgd of binnen een half jaar gaan volgen. 42 procent zegt zich niet aangesloten te hebben bij een cybersecurity incidentresponseteam (CSIRT) of dat binnen nu en een half jaar te doen.
Alhoewel de meerderheid van de respondenten van mening is dat NIS2 de discussie op gang heeft gebracht over cybersecurity (52%) en dat de organisatie veiliger wordt of is geworden (50%), zijn de meningen sterk verdeeld over het daadwerkelijke nut. Zo denken meer respondenten dat de NIS2-richtlijn eerder een extra investering is dan dat het daadwerkelijk wat toevoegt. 34 procent is het hier mee eens, 33 procent staat hier neutraal tegenover en 27 procent is het niet eens met deze stelling. Diezelfde verdeeldheid komt terug bij de stelling of de richtlijn niet eerder een formaliteit is (28% mee eens, 33% neutraal, 33% mee oneens).
Van Drenth: “Dit zijn wat mij betreft geen gekke resultaten, want ook bij klanten horen wij vaak een wisselend geluid over de NIS2-richtlijn. Een vraag die veel wordt gesteld is of het daadwerkelijk iets toevoegt of dat het niet meer een formaliteit is. En Nederlandse bedrijven zijn dan ook lauwtjes enthousiast. Maar belangrijker is dat dit onderzoek nu een goede indicatie geeft dat er nog wel werk aan de winkel is, zowel voor het implementeren van maatregelen als het opdoen van kennis. Dat meer dan een kwart van de respondenten geen verplichte cybersecurity awareness training heeft gevolgd is toch enigszins alarmerend. Als de kennis achterblijft en je bijvoorbeeld niet de signalen van een ransomware aanval herkent, dan gaan genoeg maatregelen je aan het einde van de dag niet redden.”
Over het onderzoek
PanelWizard ondervroeg in opdracht van NetApp 306 Nederlandse IT-(eind)beslissers aan de hand van een online vragenlijst. De dataverzameling vond plaats in maart 2024.