Verksamheter navigerar i ett landskap av blandade inställningar när verkställighetsdatumet för nätverks- och informationssäkerhetsdirektivet 2022/2555 (NIS2) närmar sig.
NIS2, en förordning som syftar till att stärka cybersäkerheten i hela EU genom att utvidga omfattningen och öka säkerhetskraven, börjar gälla den 18 oktober 2024.
Veeam Software, lät Censuswide genomföra en ny undersökning som avslöjar att endast 43 procent av de tillfrågade IT-beslutsfattarna tror att NIS2 kommer att förbättra EU:s cybersäkerhet avsevärt. Detta trots att överväldigande 90 procent av respondenterna rapporterar minst en säkerhetsincident som NIS2-direktivet kunde ha förhindrat de senaste 12 månaderna. Alarmerande nog upplevde 44 procent av respondenterna fler än tre cyberincidenter, varav 65 procent av dessa kategoriserades som ”mycket kritiska”.
Undersökningsresultaten, som omfattar synpunkter från över 500 beslutsfattare inom IT från Belgien, Frankrike, Tyskland, Nederländerna och Storbritannien, avslöjar läget mindre en månad innan direktivet träder i kraft den 18 oktober. Även om nästan 80 procent av företagen är övertygade om att de kommer att kunna följa NIS2-riktlinjerna, uppger upp till två tredjedelar att de kommer att missa tidsfristen.
Hinder för regelefterlevnad enligt NIS2
För att uppnå regelefterlevnad enligt NIS2 krävs att företagen genomför viktiga åtgärder. Dessa åtgärder inkluderar bland annat att definiera planer för incidenthantering, säkra leveranskedjor, bedöma sårbarheter och utvärdera övergripande säkerhetsnivåer. Detta innefattar alla anslutna organisationer, partner och leveranskedjor. Det kvarstår dock flera hinder för efterlevnad. De viktigaste utmaningarna som beslutsfattare inom IT nämner är bland annat teknisk skuld (24 procent), bristande förståelse hos ledningen (23 procent) och otillräcklig budget/investeringar (21 procent). Värt att notera är att 40 procent av respondenterna rapporterar minskade IT-budgetar sedan den politiska överenskommelsen för NIS2 proklamerades i januari 2023, trots NIS2s stränga påföljder som är jämförbara med dem i EU:s dataskyddsförordning, GDPR. 63 procent av respondenterna anser att GDPR är strikt och 62 procent uttrycker samma åsikt om NIS2.
Konkurrensen ökar i och med cyberhot
Att NIS2 införs i en så långsam takt beror sannolikt på en mängd konkurrerande prioriteringar och affärsmässiga påtryckningar som dessa verksamheter utsätts för. Respondenterna rankar NIS2 lägre i angelägenhetsgrad än tio andra frågor, till exempel kompetensgapet, lönsamhet och digital transformation. Oroväckande nog anser 42 procent av de svarande som anser att NIS2 är obetydligt för EU:s förbättringar av cybersäkerheten, att detta beror på otillräckliga konsekvenser vid bristande regelefterlevnad, vilket har lett till en utbredd passivitet mot direktivet.
– Undersökningsresultaten stämmer bra överens med den feedback jag får från svenska kunder, och kommer inte som någon överraskning, säger Daniel Qvint, Technical Manager på Veeam Software. Åsikterna om NIS2 är blandade, men cybersäkerhetens kritiska natur är oundviklig. Omfattande vägledning och tydligare grundläggande krav välkomnas av många. Det finns dock en betydande efterfrågan på mer detaljerad vägledning om NIS2 och dess konsekvenser för företag. Dessutom står IT-sektorn inför en betydande kompetensbrist, särskilt inom cybersäkerhet, vilket gör det svårt för företag att fullt ut förstå och följa de nya kraven.
Fler viktiga resultat från undersökningen:
- 74 procent av respondenterna anser att NIS2 är fördelaktigt, men 57 procent tvivlar på att det kommer ha någon betydande inverkan på EU:s övergripande cybersäkerhet.
- Skeptikerna nämner ytterligare problem som att NIS2 inte är heltäckande (35 procent), att regelefterlevnad inte garanterar säkerhet (34 procent) och att det överlappar befintliga regelverk (25 procent).
- Andra hinder är bristande fokus på regelefterlevnad av NIS2 (20 procent), snäva tidsramar (19 procent), brist på kompetens inom cybersäkerhet (19 procent), komplexiteten med direktivet (19 procent) och organisatoriska silos (19 procent).
- Trots motstridiga uppfattningar ser de flesta av respondenterna positivt på NIS2 i samband med deras organisations lagstadgade skyldigheter, och känner sig optimistiska (33 procent), självsäkra (32 procent) och uppmuntrade (27 procent).
– NIS2 innebär att ansvaret för cybersäkerhet flyttas från IT-avdelningarna till styrelserummen, säger Andre Troskie, EMEA Field CISO på Veeam. Många företag inser vikten av direktivet, men kampen för att efterleva det, vilket framkommer i undersökningen, belyser betydande systematiska problem. Det kombinerade trycket från andra affärsprioriteringar och IT-utmaningar kan förklara förseningarna, men det gör inte saken mindre brådskande. Med tanke på cyberhotens ökande frekvens och allvar, kan de potentiella fördelarna med NIS2 för att förebygga kritiska incidenter och stärka motståndskraften inte överskattas. Ledningsgrupperna måste agera snabbt för att överbrygga dessa luckor och säkerställa regelefterlevnad, inte bara för lagstiftningens skull utan för att verkligen förbättra verksamhetens robusthet och skydda kritiska data.
För mer information om Veeam, besök https://www.veeam.com
Om Veeams förtroendeundersökning om NIS2
Censuswide genomförde denna undersökning på uppdrag av Veeam mellan den 29 augusti och den 2 september 2024. Undersökningen omfattar över 500 beslutsfattare inom IT och IT-säkerhet från Belgien, Frankrike, Tyskland, Nederländerna och Storbritannien. Även om Storbritannien är ett icke-EU-medlemsland, inkluderades det på grund av dess betydande affärsförbindelser med EU-länder. Ett ytterligare kriterium säkerställde att de brittiska svarande antingen för närvarande gör affärer inom EU eller har planer på att göra det. För att uppnå en balanserad representation fastställdes kvoter för varje marknad: 50 svarande per varje marknad var från medelstora företag (50–249 anställda), och 50 från stora eller företagsstora företag (250+ anställda). Respondenterna valdes från de branscher vars verksamheter har listats som de mest väsentliga och viktiga som omfattas av NIS2-direktivet. Undersökningen är nationellt representativ.
Om Veeam Software
Veeam är den främsta globala marknadsledaren inom dataresiliens och vill att alla företag ska kunna återhämta sig efter en störning, med förtroende och kontroll över all sin data när och var de behöver den. Veeam kallar detta heltäckande resiliens, och vi gör allt för att skapa innovativa sätt att hjälpa våra kunder att uppnå det.
Veeams lösningar är specialbyggda för att ge datasäkerhet genom att tillhandahålla säkerhetskopiering av data, dataåterställning, datafrihet, datasäkerhet och dataintelligens. Med Veeam är IT- och säkerhetschefer trygga med att veta att deras appar och data är skyddade och alltid tillgängliga i deras moln, virtuella, fysiska, SaaS- och Kubernetes-miljöer.
Veeam har sitt huvudkontor i Seattle, kontor i mer än 30 länder och skyddar över 550 000 kunder över hela världen, inklusive 74 procent av Global 2000, litar på att Veeam håller deras företag i gång. Heltäckande resiliens börjar med Veeam. Läs mer på www.veeam.com eller följ Veeam på LinkedIn @veeam-software och X @veeam.