Nederlandse organisaties onvoldoende voorbereid op securitywetgeving

Het onderzoek peilt naar kennis, gedrag en houding ten aanzien van wetgeving die de veerkracht van organisaties en IT-diensten moet vergroten, zoals de Cyber Resilience Act en NIS2. De resultaten wijzen erop dat veel organisaties, ondanks jarenlange aandacht voor digitale weerbaarheid, hun eigen volwassenheid mogelijk overschatten. Dit leidt tot onvoldoende investeringen in de basis van veerkracht, terwijl dit niet alleen een compliancevraagstuk is, maar ook essentieel voor operationele continuïteit, vertrouwen, veilige innovatie en groei.

Kloof tussen IT- en zakelijk leiderschap

Een mogelijke oorzaak van het achterblijvende compliance-niveau is het verschil in kennis en perceptie tussen IT- en zakelijke leiders. Zo ziet 91% van de IT-leiders het nut van resilience-wetgeving zoals NIS2 in, tegenover 72% van de zakelijke leiders. Ook op kennisniveau is een verschil zichtbaar: 83% van de IT-leiders claimt volledig bekend te zijn met de eisen, tegenover 60% van de zakelijke leiders. IT-leiders hebben bovendien meer inzicht in de uitdagingen rond de uitvoering van resilience-maatregelen, terwijl 30% van de zakelijke leiders aangeeft geen enkele uitdaging te zien.

IT-leiders noemen als grootste uitdagingen een gebrek aan tijd voor implementatie en beleidsontwikkeling (41%) en onvoldoende samenwerking tussen teams (33%). Dit wijst erop dat veerkracht binnen veel organisaties nog geen integraal onderdeel is van de bedrijfsstrategie. Een gebrek aan samenwerking tussen teams vormt juist een van de grootste risico’s voor effectieve implementatie. Zonder duidelijke afstemming tussen IT, business en ondersteunende functies zoals legal- en compliance-teams, worden bestaande kwetsbaarheden eerder vergroot dan opgelost.

Verantwoordelijkheid voor compliance onduidelijk

Hoewel 65% van de organisaties de verantwoordelijkheid voor compliance verdeelt over meerdere afdelingen met één eindverantwoordelijke, ligt bij 28% van de organisaties de volledige verantwoordelijkheid bij één persoon. IT-leiders zien vaker een rol voor compliance- en legal-teams, terwijl zakelijke leiders het belang van deze functies aanzienlijk lager inschatten. Dit suggereert dat veel organisaties de juridische, operationele en strategische impact van veerkracht onderschatten, terwijl dit juist bepalend is voor duurzame compliance en continuïteit.

Er is ook verschil van inzicht over wie uiteindelijk eindverantwoordelijk is voor compliance met resilience-wetgeving. IT-leiders wijzen het vaakst de CEO aan (38%), gevolgd door de IT-manager (20%) en de CTO (14%). Zakelijke leiders schrijven de eindverantwoordelijkheid vrijwel gelijk toe aan de CEO (32%) en de IT-manager (29%). Beide groepen noemen in 11% van de gevallen de compliance-manager.

“Wat mij opvalt is dat de CEO-functie nog steeds niet overwegend wordt aangewezen als eindverantwoordelijke, terwijl dat onder NIS2 heel duidelijk wel wordt beschreven. Het is aan hen om van veerkracht een topprioriteit te maken en echt te begrijpen hoe dit bijdraagt aan niet alleen de continuïteit, maar ook de uiteindelijke bedrijfsdoelen. De zakelijke C-level functies moeten het IT-leiderschap hierbij dan ook tegemoetkomen. Zonder wederzijdse kennis en samenwerking tussen verschillende afdelingen, waaronder ook compliance en legal, blijven organisaties kwetsbaar en komen niet alleen compliance, maar ook innovatie en groei onder druk te staan”, aldus Edwin Weijdema, Field CTO EMEA bij Veeam Software.

Organisatiebrede aanpak noodzakelijk

Met de verwachte opname van NIS2 in de Nederlandse wetgeving deze zomer is het essentieel dat organisaties veerkracht zien als een fundamenteel onderdeel van de bedrijfsvoering. Organisaties die deze basis niet op orde hebben, lopen niet alleen compliance-risico’s, maar beperken ook hun vermogen om veilig te groeien en te innoveren.