De meeste bedrijven die onder de NIS2-wetgeving gaan vallen, zijn niet bekend met het securitybeleid van (keten)partners. Slechts vijf procent beschikt over deze kennis.
Dit blijkt uit onderzoek van Telindus onder meer dan 150 CXO’s en managers met kennis van IT binnen bedrijven met 250 of meer medewerkers. NIS2 zal strengere eisen stellen aan bedrijven met betrekking tot ketenaansprakelijkheid en hen verplichten actief beleid te voeren om ketenrisico’s tot een minimum te beperken. Opvallend genoeg staat dit onderwerp bij veel bedrijven (nog) niet op de agenda.
Ketenaansprakelijkheid nog niet hoog op prioriteitenlijst
Met alsmaar groeiende digitale ketens is het logisch dat de NIS2-richtlijn een sterke focus heeft op de kwetsbaarheden hierbinnen. De ketenbepalingen die zijn opgenomen in NIS2 moeten voorkomen dat veiligheidsrisico’s bij één partij impact hebben op alle andere schakels in die keten. Dit betekent dat organisaties op de hoogte moeten zijn van het beveiligingsbeleid van hun (keten)partners. Uit het onderzoek blijkt dat slechts een derde (32%) van de respondenten gelooft op de hoogte te zijn van het securitybeleid bij (keten)partners, terwijl bijna de helft (47%) aangeeft ‘een beetje’ op de hoogte te zijn. Zestien procent zegt hier helemaal niet van op de hoogte te zijn. Ditzelfde percentage zegt ook niet van plan te zijn om de securityrisico’s van (keten)partners inzichtelijk te maken. Dit staat tegenover 55 procent die zegt dit wel van plan te zijn en 29 procent die aangeeft dit nog niet te weten.
Vergroten van bewustwording
De regels rondom ketenaansprakelijkheid worden onder de NIS2 fors uitgebreid en organisaties worden verplicht om actief beleid te voeren om ketenrisico’s tot een minimum te beperken. Jeroen Hentschke, Proposition Lead Security bij Telindus: “Onze samenleving ondergaat een onverminderd snelle digitalisering. In het bedrijfsleven raken IT-omgevingen steeds meer verweven met die van onze ketenpartners. Hierdoor neemt de complexiteit van het digitale ecosysteem toe, en daarmee ook de blootstelling aan digitale dreigingen. Het is dus verontrustend dat zo weinig organisaties de noodzaak inzien om het securitybeleid van (keten)partners kritisch te bekijken. Men denkt vaak nog genoeg tijd te hebben om dit te doen, maar het duurt feitelijk niet lang meer voordat de NIS2 zijn intrede doet. Begin daarom met het inventariseren en analyseren van risico’s en ga met partners om tafel om goede afspraken te maken. Creëer ook bewustwording binnen de organisatie en zorg voor goede bedrijfscontinuïteitsplannen. Dan zijn de eerste stappen om NIS2 compliant te worden al gezet.”