Spring naar content

ENISA NIS Investments-rapport 2025: Investeringen, uitdagingen en risico’s in de keten

Recent heeft het European Union Agency for Cybersecurity (ENISA) de NIS Investments-studie 2025 gepubliceerd, de zesde editie van de jaarlijkse analyse van hoe organisaties in de EU hun cybersecuritybudgetten inzetten en welke risico’s en prioriteiten zij zien. Het rapport biedt belangrijke inzichten voor bedrijven die zich voorbereiden op of voldoen aan de NIS2-richtlijn.

1. Waar richt men de investeringen op

De ENISA-analyse toont een duidelijke verschuiving in investeringsprioriteiten:

  • Organisaties besteden steeds meer budget aan technologische oplossingen en uitbestede beveiligingsdiensten, en minder aan het uitbreiden van interne teams. Dit wordt deels gedreven door het groeiende tekort aan gekwalificeerd personeel.
  • Compliance met NIS2 blijft de grootste directe investeringstrekker. 70 % van de ondervraagde organisaties geeft aan dat de nieuwe regelgeving hun investeringsbeslissingen significant beïnvloedt.
  • Naast naleving worden investeringen ingezet om risicobeheer, detectie- en responscapaciteiten te versterken.
  • Deze verschuiving betekent dat veel organisaties kiezen voor moderne tooling, automatisering en managed services om hun cyberweerbaarheid te verbeteren.

2. Supply chain-risico’s prominent aanwezig

Een van de kernuitdagingen die in het rapport naar voren komt is de toenemende aandacht voor risico’s in de leveranciersketen:

  • Supply chain-risico’s worden door 47 % van de respondenten genoemd als een van de grootste zorgen voor de toekomst. Daarmee staan ze op de tweede plaats achter ransomware-dreigingen.
  • Hoewel ketenrisicobeheer langzaam verbetert, creëert de toenemende afhankelijkheid van externe ICT- en beveiligingsdiensten zelf nieuwe kwetsbaarheden, vooral wanneer externe leveranciers beperkte middelen en mankracht hebben.
  • Het rapport constateert dat organisaties met name moeite hebben met het tijdig patchen van kwetsbaarheden, met 28 % die meer dan drie maanden nodig heeft om kritieke fouten te verhelpen, wat de blootstelling van de keten vergroot.
  • Deze bevindingen sluiten aan op wat ENISA elders signaleert: cybercriminelen richten zich steeds vaker op derde partijen en ketenpartners om grotere doelen te raken, doordat toegang via zwakkere schakels relatief eenvoudiger is.

3. Organisaties worstelen met uitvoering

Hoewel veel organisaties erkennen dat NIS2 investeringen en verbeterde strategieën vereist, blijft implementatie uitdagend:

  • De belangrijkste obstakel voor effectieve uitvoering zijn patching, bedrijfscontinuïteit en ketenrisicobeheer.
  • Minder dan 30 % van de organisaties heeft het afgelopen jaar een volledige cybersecuritybeoordeling uitgevoerd, wat duidt op lacunes in de volwassenheid van controles en monitoring.
  • Dit alles laat zien dat zelfs wanneer budgetten worden vrijgemaakt, de praktische realisatie van robuuste beveiligingsprogramma’s tijd en expertise vereist.

4. Specifieke implicaties voor supply chain-management

Voor bedrijven die actief zijn als leverancier of ketenpartner van grotere entiteiten liggen er meerdere concrete implicaties:

  • Organisaties moeten niet alleen voldoen aan hun eigen NIS2-verplichtingen, maar ook aantoonbaar kunnen beoordelen hoe hun leveranciers omgaan met cybersecurityrisico’s.
  • Het beheer van leveranciersrisico’s moet verder gaan dan contractuele verplichtingen: proactieve due diligence, risico-evaluaties en transparante informatie-uitwisseling zijn essentieel.
  • Leveranciers die niet aantoonbaar investeren in ketenveiligheid lopen niet alleen verhoogd intern risico, maar kunnen door afnemers worden uitgesloten van samenwerking of contracten verliezen.

5. Conclusie: noodzaak van integrale benadering

Het ENISA NIS Investments-rapport 2025 onderstreept twee belangrijke trends:

  • Investeringen groeien en verschuiven richting technologie en uitbesteding, onder invloed van NIS2-compliance en een krappe arbeidsmarkt.
  • Supply chain-risico’s zijn een structureel en groeiend probleem, dat vraagt om samenhangende risico- en investeringsstrategieën over de volledige keten.

Voor bedrijven in de EU, waaronder partners en SDV-klanten en mkb-bedrijven, betekent dit dat cybersecurity niet langer een interne kwestie is maar een ketenbrede verantwoordelijkheid. Bewijs van investeringen, leveranciersbeoordelingen en het vragen om certificering worden steeds meer een standaardvereiste in samenwerkingen en aanbestedingen.

Gerelateerde artikelen

Samen Digitaal Veilig lanceert Estimated Risk Index: automatische risicoscore voor 170.000 Nederlandse leveranciers

Datect en Samen Digitaal Veilig starten samenwerking

Bij welke partijen kunt u een NIS2 Supply Chain audit laten uitvoeren?

Handreiking weerbaarheid: ‘Weet wat je te doen staat’

NIS2 SC-certificering mislukt soms. Dit is waarom
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht