De vernieuwde NIS2-richtlijn had als doel om de cyberveiligheid van kritieke infrastructuren in de hele EU te versterken. Lidstaten moesten de richtlijn voor oktober 2024 in hun nationale wetgeving opnemen, maar veel landen haalden die deadline niet. Dit resulteerde in een versnipperde aanpak, waar organisaties hun eigen weg in moeten vinden.

Verschillen tussen EU-landen: ambitie versus realiteit

Toen de deadline van oktober 2024 verstreek, werd duidelijk in hoeverre de lidstaten de NIS2-richtlijn in hun nationale wetten hadden verwerkt. Enkele landen, zoals België, Kroatië, Hongarije, Italië, Letland en Litouwen, voerden de richtlijn met succes in en stonden in de startblokken om naleving ervan te controleren. Maar andere landen zoals Frankrijk, Denemarken en Nederland stelden de invoering uit tot begin 2025. In januari 2025 zaten zestien lidstaten nog midden in hun wetgevingsproces en twee lidstaten hadden nog niet eens een wetsvoorstel gepubliceerd. In Duitsland, waar het wetsvoorstel in juli 2024 werd goedgekeurd, liep de parlementaire goedkeuring vertraging op en wordt handhaving pas in maart 2025 verwacht.

Niet alleen de timing van implementatie, maar ook de interpretatie van de NIS2-richtlijn verschilt. In Frankrijk vallen lokale overheden bijvoorbeeld onder NIS2, terwijl dat in Duitsland niet het geval is. In sommige landen zijn aanvullende sectoren aan de richtlijn toegevoegd, terwijl andere landen zich beperken tot de strikt noodzakelijke sectoren. Deze verschillen maken het voor pan-Europese organisaties lastig om te voldoen aan de regels. In plaats van een uniform kader, moeten ze omgaan met een lappendeken aan regelgeving.

Niet achteroverleunen

De versnipperde aanpak van de NIS2-adoptie heeft ook zijn weerslag op het bedrijfsleven. In juni 2024 verwachtte 80% van de bedrijven dat ze aan de NIS2-richtlijn zouden voldoen, maar slechts 14% van de organisaties had hun zaken op orde. 53% van de organisaties had moeite om de richtlijn goed te begrijpen en 49% gaf aan onvoldoende steun van het management te krijgen. IT-teams waren technisch misschien wel klaar, maar zonder leiderschap en betrokkenheid van de bedrijfsleiding bleef de organisatie als geheel achter. Zonder steun van het management lopen initiatieven om aan NIS2 te voldoen het risico om onvoldoende prioriteit en financiering te krijgen. Maar cybersecurity is niet langer alleen een IT-kwestie: leidinggevenden zijn persoonlijk verantwoordelijk voor compliance.

Ondanks de vertragingen kunnen organisaties niet achteroverleunen. Ze moeten hun cybersecurity nu al op orde brengen en niet wachten tot de wetgeving hen daartoe dwingt. Actief stappen zetten is van groot belang. Organisaties kunnen bijvoorbeeld internationaal erkende normen zoals ISO 27001 implementeren om hun beveiliging op peil te brengen. Ook is het verstandig om risicoanalyses uit te voeren en de grootste kwetsbaarheden aan te pakken. Daarnaast blijft training van medewerkers onmisbaar. Omdat menselijke fouten vaak de zwakste schakel vormen, is voortdurende educatie essentieel.

NIS2 is meer dan een checklist die moet worden afgevinkt: het is een wake-up call. Organisaties, vooral die in kritieke infrastructuursectoren, moeten deze tijd benutten om hun digitale weerbaarheid te vergroten. Cyberdreigingen nemen toe – van staten tot hacktivisten en cybercriminelen. Cybersecurity gaat niet alleen over het vermijden van boetes, maar ook over het beschermen van je bedrijfsvoering, je klanten en je toekomst.

Dit is een ingezonden bijdrage van KnowBe4. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.