NetApp: Nederlandse bedrijven richten zich op ‘quick wins’ bij implementatie NIS2

NetApp-280210.jpg

Nieuw onderzoek van NetApp onder Nederlandse IT-(eind)beslissers laat zien dat het toepassen van sterke authenticatie de grootste prioriteit heeft (gehad) bij de implementatie van de NIS2-richtlijn. Dat terwijl het volgen van hardening-gidsen, een meer gecompliceerde maatregel, door slechts een kleine meerderheid is toegepast. Nederlandse bedrijven lijken zich bij de NIS2-implementatie zich daarom voornamelijk te richten op de ‘quick wins’ in plaats van het nemen van extra maatregelen die significant bijdragen aan de cybersecurity van het bedrijf.

De Network and Information Security Directive, ook wel de NIS2-richtlijn en opvolger van de eerste NIS-richtlijn, moet zorgen voor een hoger niveau van cybersecurity bij bedrijven en organisaties door de digitale en economische weerbaarheid te versterken. Om de richtlijn te implementeren treffen bedrijven verschillende maatregelen. Daarbij valt op dat bedrijven maatregelen als het centraliseren en analyseren van loginformatie (12,5 procent) en het inrichten van patchmanagement (13 procent) veel minder prioriteit geven dan het toepassen van sterke authenticatie, waar 54 procent van de ondervraagden de focus op legt.

Dat bedrijven een duidelijke prioriteit hebben gegeven aan het toepassen van sterke authenticatie is duidelijk terug te zien in het feit dat 91,5 procent van de bedrijven dit ook daadwerkelijk nu toepassen. Ook geeft meer dan 4 op de 5 respondenten (87,5) aan dat er geïnvesteerd is in herstel van back-ups. Daar tegenover staat dat slechts 54 procent aangeeft dat er hardening-gidsen zijn gevolgd voor alle kritieke bedrijfsmiddelen. En minder dan driekwart (69,5%) heeft penetratietesten voor geavanceerde bedreigingen uitgevoerd.

Joost van Drenth, Field CTO bij NetApp Nederland: “Het is natuurlijk goed om te zien dat zoveel bedrijven al maatregelen hebben getroffen om de digitale en economische weerbaarheid van hun organisatie te versterken. Wel moet opgemerkt worden dat bedrijven zich vooral lijken te richten op de maatregelen die makkelijk en snel geïmplementeerd kunnen worden. Hardening-gidsen, die bestaan uit aanbevelingen en stappen om de beveiliging van een systeem te versterken en kwetsbaarheden te minimaliseren, zijn tegenwoordig cruciaal. Maar dat wordt door maar iets meer dan de helft van de respondenten gezien.”

 

 

Kennis blijft achter en wisselend sentiment

Naast dat er stappen gezet kunnen worden op praktische zaken, is er ook nog veel te winnen op het gebied van kennis en opleiding. Meer dan een kwart (27%) geeft aan zij niet een verplichte cybersecurity awareness training hebben gevolgd of binnen een half jaar gaan volgen. 42 procent zegt zich niet aangesloten te hebben bij een cybersecurity incidentresponseteam (CSIRT) of dat binnen nu en een half jaar te doen.

Alhoewel de meerderheid van de respondenten van mening is dat NIS2 de discussie op gang heeft gebracht over cybersecurity (52%) en dat de organisatie veiliger wordt of is geworden (50%), zijn de meningen sterk verdeeld over het daadwerkelijke nut. Zo denken meer respondenten dat de NIS2-richtlijn eerder een extra investering is dan dat het daadwerkelijk wat toevoegt. 34 procent is het hier mee eens, 33 procent staat hier neutraal tegenover en 27 procent is het niet eens met deze stelling. Diezelfde verdeeldheid komt terug bij de stelling of de richtlijn niet eerder een formaliteit is (28% mee eens, 33% neutraal, 33% mee oneens).

 

 

Van Drenth: “Dit zijn wat mij betreft geen gekke resultaten, want ook bij klanten horen wij vaak een wisselend geluid over de NIS2-richtlijn. Een vraag die veel wordt gesteld is of het daadwerkelijk iets

toevoegt of dat het niet meer een formaliteit is. En Nederlandse bedrijven zijn dan ook lauwtjes enthousiast. Maar belangrijker is dat dit onderzoek nu een goede indicatie geeft dat er nog wel werk aan de winkel is, zowel voor het implementeren van maatregelen als het opdoen van kennis. Dat meer dan een kwart van de respondenten geen verplichte cybersecurity awareness training heeft gevolgd is toch enigszins alarmerend. Als de kennis achterblijft en je bijvoorbeeld niet de signalen van een ransomware aanval herkent, dan gaan genoeg maatregelen je aan het einde van de dag niet redden.”

 

Over het onderzoek 

PanelWizard ondervroeg in opdracht van NetApp 306 Nederlandse IT-(eind)beslissers aan de hand van een online vragenlijst. De dataverzameling vond plaats in maart 2024.  

Dossiers
Meer over
Lees ook
Hoe de NIS2 de Impact van de mislukte CrowdStrike-update had kunnen verminderen… of vergroten

Hoe de NIS2 de Impact van de mislukte CrowdStrike-update had kunnen verminderen… of vergroten

Afgelopen maand leidde een mislukte update van de CrowdStrike-software tot aanzienlijke problemen wereldwijd. Het incident, dat werd bestempeld als de grootste IT-storing ooit en maakte miljoenen Windows-apparaten onbruikbaar. Op basis van de 4 miljoen crash rapportages die Microsoft ontving op 19 juli, schatte Microsoft dat in totaal ongeveer 8,51

SecuMailer eerste aanbieder qREMS-gecertificeerde Dienst voor Aangetekend E-mailen

SecuMailer eerste aanbieder qREMS-gecertificeerde Dienst voor Aangetekend E-mailen

Logischer is de qREMS-gecertificeerde Dienst voor aangetekend E-mailen van SecuMailer. Secumailer garandeert om te beginnen dat een bericht wordt bezorgd en onderweg niet kan worden gemanipuleerd. Daarnaast is er voor elke mail een ontvangstrapport.

Slechts vijf procent Nederlandse bedrijven op de hoogte van securitybeleid (keten)partners

Slechts vijf procent Nederlandse bedrijven op de hoogte van securitybeleid (keten)partners

De meeste bedrijven die onder de NIS2-wetgeving gaan vallen, zijn niet bekend met het securitybeleid van (keten)partners. Slechts vijf procent beschikt over deze kennis. Dit blijkt uit onderzoek van Telindus onder meer dan 150 CXO’s en managers met kennis van IT binnen bedrijven met 250 of meer medewerkers.