Lang niet alle Europese bedrijven zijn tijdig klaar voor NIB- en AVG-richtlijn

58% van de Europese bedrijven verwacht zich tijdig voorbereid te hebben op de invoering van de Netwerk en Informatiebeveiligingsrichtlijn (NIB). 40% verwacht klaar te zijn voor de Algemene Verordening Gegevensbescherming (AVG). Beide worden in 2018 van kracht.

Dit blijkt uit onderzoek van IDC onder Europese bedrijven naar de voorwaarden die zijn opgenomen in de NIB en AVG. Het onderzoek is uitgevoerd in opdracht van Palo Alto Networks. De NIB-richtlijn heeft als doel om de cybersecurity capaciteit op hetzelfde niveau te krijgen in de EU en informatieoverdracht en coöperatie te bevorderen. De AVG tracht de databeveiligingswet te vernieuwen en, gezien de verschillen per staat, voor elke EU-staat relevant te laten zijn.

State of the art
Deze twee beleidsstukken behandelen onder anderen het concept van “state of the art”. Dit concept geeft weer waar organisaties rekening mee moeten houden als het gaat om de laatste technologieën en handelingen in de beveiligingswereld. De resultaten van het onderzoek staan in het IDC whitepaper “The State of the Art Paradox” uit augustus 2016. Het paradox gaat over de vraag: Hoe weten organisaties dat zij klaar zijn voor de NIB-richtlijn en/of AVG-wetgeving wanneer zij het proces van definiëren, meten en beoordelen van het concept state of the art niet kunnen beschrijven?

Uit het onderzoek blijkt dat veel IT-beslissers vaak niet volledig begrijpen wat het concept state of the art inhoudt, dat zij geen processen of maten hanteren om dit te meten en niet vaak genoeg meten waar ze staan ten opzichten van het state of the art concept. Andere resultaten zijn:

• Meting: De meeste respondenten zeggen te vertrouwen op gebruikelijke audits of externe expertise om de state of the art te evalueren, in plaats van zelf een meetproces te hanteren.
• Beoordelen: 52% van de respondenten heeft nog flinke stappen te maken en gaf aan slechts jaarlijks het proces rondom de state of the art te evalueren. 26% evalueert dit elk kwartaal of halfjaar en slechts 2% doet dit continu of maandelijks.
• Belangrijkste zorgen omtrent AVG: Het risico dat het merk of reputatie wordt geschaad door verplichte inbreuknotificaties is voor 51% van de respondenten de grootste reden voor kopzorgen bij Europese organisaties. 48% gaf aan dat het risico om afgeleid te worden door belangrijkere beveiligingsonderwerpen en kosten voor hen de grootste zorg was.