Hoe kleiner het bedrijf, hoe groter de onzekerheid over mogelijke blootstelling aan een cyberincident
Veel KMO’s-bedrijven weten niet of ze onder NIS2 vallen. En dat blijkt uit het aantal geregistreerde cyberincidenten. Proximus NXT en Proximus NXT Luxembourg trekken aan de alarmbel.
NIS2 en kmo’s, de grote vraag. België was een van de eerste EU-lidstaten die de NIS2-richtlijn heeft omgezet in nationale wetgeving, en Luxemburg zal binnenkort volgen. Ondanks deze urgentie weet 43% van de KMO’s nog steeds niet of ze aan de richtlijn moeten voldoen. En 58% weet het niet zeker!
Kloof tussen richtlijn en realiteit. De resultaten van het zesde jaarlijkse cyberbeveiligingsrapport van Proximus NXT en zijn dochteronderneming Proximus NXT Luxembourg NIS2 (panel: 193 bedrijven) tonen veel twijfel. Deze wordt duidelijk vastgesteld bij kmo’s, maar ook bij grote bedrijven. In feite weet 6% van de grote bedrijven nog steeds niet of ze aan NIS2 moeten voldoen!
Op de vraag “Voldoet uw bedrijf aan de NIS2-richtlijn?” zegt 15% van de KMO-bedrijven en 14% van de grote organisaties dat ze volledig voldoen aan de richtlijn. Dat zijn er niet veel. Ook zegt 10% van de mkb-bedrijven dat ze het niet weten, terwijl een verrassende 5% van de grote bedrijven ook zegt dat ze het niet weten…
NIS2-naleving, een voortdurende uitdaging
Niettemin. De bedrijven die zeggen onzeker te zijn over de kloof tussen de huidige maatregelen en de vereiste maatregelen zijn vooral kmo’s”, zegt Raf Peeters, VP Security & Networking, Proximus NXT. Hetzelfde geldt voor degenen die zeggen geen idee te hebben waar ze aan toe zijn.
De resultaten van de enquête laten zien dat het nog steeds een uitdaging is om te voldoen aan de NIS2-regelgeving. Dit geldt met name voor grotere organisaties met complexere vereisten. Kleinere bedrijven, die in dit opzicht in een betere positie lijken te verkeren, moeten ervoor zorgen dat ze over de nodige middelen beschikken en zich voldoende bewust blijven van de nalevingseisen.”
Scheefstand
Uiteindelijk bevestigt de analyse van Proximus NXT de indicatoren van IDC van eind 2024, waaruit blijkt dat 75% van de Europese IT-managers moeite heeft om de compliance vereisten van de Europese richtlijn te begrijpen. Deze bevinding wijst eens te meer op de interne uitdagingen en strategische misalignment die de voorbereiding van bedrijven op de nieuwe cyberbeveiligingsnormen in de weg staan.
Deze twijfels over NIS2 worden elders in het Proximus NXT-rapport bevestigd. Van de KMO’s zegt 5% niet te weten of ze de voorbije twaalf maanden getroffen werden door een cyberincident. Bij bedrijven met minder dan 10 werknemers stijgt dit percentage tot 9%. Kortom, “hoe kleiner het bedrijf, hoe groter de onzekerheid over de mogelijke blootstelling aan een cyberincident in 2024”, analyseert Raf Peeters. Volgens de meest recente gegevens van Statbel zijn 95,9% van de Belgische bedrijven echter micro-ondernemingen. De potentiële impact mag dus niet over het hoofd worden gezien.
Uit het Proximus-rapport blijkt ook dat kmo’s die het slachtoffer zijn van een cyberincident niet altijd precies weten wat de oorzaak was. Ongeveer één op acht kmo’s (13%) weet niet of het cyberincident waaraan ze werden blootgesteld opzettelijk of per ongeluk was. Dit staat in contrast met de situatie in grote bedrijven, waar de oorzaak van cyberincidenten over het algemeen wel bekend is.
