De aankomende NIS2-wetgeving zet het cybersecuritybeleid van bedrijven op scherp. Geld vrijmaken lijkt geen probleem, mensen vinden om problemen of plichten aan te pakken dan weer wel, blijkt uit onderzoek van Proximus NXT.
NXT, de ICT-tak van Proximus, deed een onderzoek bij 150 bedrijven in België en Luxemburg. De helft grote organisaties, de helft kmo’s. Daaruit leren we dat maar liefst 30 procent de afgelopen 12 maanden een cybersecurity incident heeft meegemaakt. Bij grote bedrijven (+2.000 werknemers) ligt dat met 45 procent iets hoger. Bij organisaties met minder dan tien werknemers ligt dat met 16 procent lager dan het gemiddelde.
Zo’n cyberaanval heeft ook gevolgen. ‘48 procent spreekt van verminderde productiviteit en kosten of middelen die naar het rapporteren van de incidenten gaan. Maar ook reputationele schade werd in 15 procent van de gevallen genoemd,’ legt Wouter Vandenbussche, product owner cybersecurity bij Proximus NXT, uit aan Data News.
Vandenbussche keek bij zijn bevraging ook naar welke zaken impact ondervonden. ‘De helft geeft aan dat de toestellen van de eindgebruiker, laptops, smartphones enz… werden getroffen. 28 procent noemt daarbij de cloudomgeving en servers.’
Digitaal geeft 22 procent aan dat klanteninformatie werd getroffen, gevolgd door operationele data (19 procent), intellectuele eigendom en werknemersinformatie (beiden 11 procent).
Bewuster bezig met cyberveiligheid
De bevraging komt er net voor de NIS2 richtlijn dit najaar, vanaf 18 oktober, van kracht is. Daarom vroeg Proximus NXT ook in welke mate bedrijven zich klaar voelen. Daar duiken enkele opmerkelijke trends op.
‘Twee derde schat zichzelf voldoende matuur in rond detectie en preventie,’ zegt Vandenbussche. ‘Kijken we naar zaken als ‘response’ en ‘recover’, dan zakt dat naar één op twee bedrijven. Voor ‘predict’ zakt dat naar veertig procent.’
Om al die delen goed af te dekken zijn er mensen en middelen nodig. Dat laatste lijkt niet het grootste probleem. ‘Financieel gezien is cybersecurity een domein waar niet wordt bespaard. Een vijfde van de respondenten spreekt zelfs van een stijging van het budget tot twintig procent. Bijna niemand zegt dat het budget in hun organisatie daalt.’
Volgens Vandenbussche heeft dat rechtstreeks te maken met NIS2. ‘Zeker nu het een formele verantwoordelijkheid wordt, gaan bestuurders er niet op besparen.’
Maar geld lost niet alles op: ‘We merken wel dat er een tekort is aan gespecialiseerde profielen binnen cybersecurity. Vorig jaar sprak één op drie bedrijven van een tekort (36 procent, nvdr), nu is dat één op twee (54 procent, nvdr).’ In grote bedrijven loopt dat op tot twee derde.
Dat zet dan weer een andere trend in gang: meer outsourcing. ‘Dat bestaat natuurlijk al langer. Maar nu zien we dat ook kleinere bedrijven sneller kijken naar uitbesteding, waar dat vroeger vooral bij de grote bedrijven gebeurde. Het gaat dan niet zozeer om het inhuren van experten/consultants, maar wel om het uitbesteden van bepaalde processen dat nu veel vaker gebeurt.’
Prioriteiten
Tot slot werd er ook gevraagd naar de prioriteiten voor volgend jaar. In willekeurige volgorde komen daar vier punten naar boven: Operational readiness, zoals inventariseren, vulnerability management, het opzetten van gepaste processen. Een tweede is user awareness & training, bijvoorbeeld rond phishing.
Een derde focuspunt is risk & compliance. ‘Ook dat wordt gepusht door NIS2. Enkele duizenden bedrijven gaan verplicht zijn om hun maturiteit rond cyberveiligheid op te bouwen, het CCB raadt eigenlijk alle organisaties aan.’ Het vierde focuspunt zit bij specifieke veiligheidsmaatregelen zoals het beschermen van privacy, endpoint detectie en meer maturiteit daarrond.
Fout opgemerkt of meer nieuws? Meld het hier