Nur 37% der befragten Unternehmen sind vorbereitet.

Eine aktuelle Studie des Datensicherheitsunternehmens Veeam zur EU-Richtlinie NIS-2 offenbart erhebliche Schwachstellen in der IT-Sicherheitsstrategie deutscher Unternehmen.

Obwohl sich 70 Prozent der 500 befragten Firmen und Organisationen als gut auf die Anforderungen der Richtlinie vorbereitet einschätzen, erklärten lediglich 37 Prozent, tatsächlich vollständig konform zu sein. Diese Diskrepanz verdeutlicht ein erhebliches Delta zwischen Selbstwahrnehmung und realen Gegebenheiten und legt tief verwurzelte Defizite in der Cyber-Sicherheitskultur offen – insbesondere im Bereich der kritischen Infrastrukturen (KRITIS).

Daten-Resilienz als Kernstrategie für die Zukunft

87 Prozent der befragten Unternehmen hatten in den letzten 12 Monaten mindestens einen Vorfall, der durch die Einhaltung der NIS-2-Richtlinie hätte verhindert werden können. Noch gravierender ist, dass 38 Prozent von drei bis vier solcher Vorfälle berichteten, wobei 57 Prozent der Ereignisse als „höchst kritisch“ eingestuft wurden. Dies zeigt, wie groß die Bedrohungslage für deutsche Unternehmen ist.

Budgetkürzungen trotz steigender Risiken.

Erstaunlich ist die Reaktion vieler Unternehmen auf die zunehmenden Sicherheitsanforderungen: 44 Prozent der IT-Sicherheitsverantwortlichen berichteten von Budgetkürzungen seit der Ankündigung der NIS-2-Richtlinie im Januar 2023, während 22 Prozent keine Veränderung ihrer Budgets verzeichneten. Diese Zahlen verdeutlichen eine grundlegende Fehlinterpretation auf Führungsebene. Daten-Resilienz und Cyber-Sicherheit werden häufig noch immer als optionale Kostenpositionen wahrgenommen, anstatt als essenzielle Investitionen zur langfristigen Sicherung der Geschäftskontinuität und Wettbewerbsfähigkeit.

Veraltete Technologien und organisatorische Silos als Hauptprobleme

Die technischen und organisatorischen Herausforderungen auf dem Weg zur NIS-2-Konformität sind vielfältig. 26 Prozent der Befragten sehen in veralteten Technologien das größte Hindernis. Fehlende finanzielle Mittel (24 Prozent) und organisatorische Silos (23 Prozent) folgen dicht dahinter. Abteilungen oder Teams arbeiten häufig isoliert, anstatt effektiv miteinander zu kommunizieren und zu kooperieren. Diese strukturellen Schwächen hemmen eine effiziente Umsetzung moderner und nachhaltiger IT-Sicherheitsstrategien und erschweren die Einhaltung regulatorischer Anforderungen.

NIS-2 rückt Cyber-Sicherheit ins Zentrum des C-Levels

Die EU-Richtlinie NIS-2 verschärft die Verantwortlichkeit auf höchster Unternehmensebene. Geschäftsführer und Vorstände können bei Datenschutzverletzungen persönlich haftbar gemacht werden.

Dennoch zeigen die Ergebnisse der Studie eine verhaltene Einstellung gegenüber den Erwartungen an die Richtlinie: Nur 51 Prozent der deutschen Unternehmen glauben, dass NIS-2 ihre Widerstandsfähigkeit gegen Ransomware-Angriffe stärken wird – der niedrigste Wert im internationalen Vergleich. 14 Prozent der Befragten fürchten sogar eine Verschlechterung ihrer Sicherheitslage. Diese Skepsis darf jedoch nicht dazu führen, notwendige Investitionen zu verschieben. Die Konsequenzen von Sicherheitsvorfällen reichen von hohen Geldstrafen über Reputationsverluste bis hin zu schwerwiegenden Betriebsausfällen.

Dringender Handlungsbedarf: Strategien zur Daten-Resilienz anpassen

Unternehmen sollten jetzt die NIS-2-Richtlinie aus mehreren wichtigen Gründen umsetzen:

1.Erfüllung gesetzlicher Anforderungen: Die NIS-2-Richtlinie ist für betroffene Unternehmen verbindlich. Nichtkonformität kann zu erheblichen Geldstrafen und juristischer Haftung führen, einschließlich persönlicher Verantwortung von Führungskräften.

2.Verbesserung der Cybersicherheit: Die Richtlinie zielt darauf ab, die Widerstandsfähigkeit gegen Cyber-Bedrohungen wie Ransomware und Malware zu erhöhen. Sie hilft Unternehmen, kritische Infrastrukturen zu schützen und die Wahrscheinlichkeit von Betriebsstörungen zu minimieren.

3.Reduzierung wirtschaftlicher Risiken: Sicherheitsvorfälle können zu erheblichen finanziellen Verlusten führen, sei es durch direkte Kosten für Wiederherstellung oder indirekte Auswirkungen wie Reputationsschäden und Kundenverlust. NIS-2 fördert präventive Maßnahmen, die diese Risiken verringern.

4.Stärkung der Wettbewerbsfähigkeit: Unternehmen, die ihre Daten-Resilienz stärken und Cyber-Bedrohungen erfolgreich abwehren, genießen einen Wettbewerbsvorteil. Kunden und Geschäftspartner bevorzugen sichere und vertrauenswürdige Geschäftsbeziehungen.

5.Erhöhung der Krisen-Resilienz: NIS-2 fördert moderne Backup- und Recovery-Lösungen sowie organisatorische Maßnahmen, um schnell auf Vorfälle zu reagieren. Dies ist entscheidend, um geschäftskritische Prozesse aufrechtzuerhalten.

6.Schutz der persönlichen Haftung von Führungskräften: Da Geschäftsführer und Vorstände bei Verstößen gegen die Richtlinie haftbar gemacht werden können, schützt die Einhaltung der Vorgaben auch das Management vor rechtlichen und finanziellen Konsequenzen.

7.Erfüllung internationaler Standards: NIS-2 harmonisiert die Sicherheitsstandards innerhalb der EU, was insbesondere für global agierende Unternehmen die Zusammenarbeit und Compliance vereinfacht.

Die rechtzeitige Umsetzung der NIS-2-Richtlinie ist nicht nur eine rechtliche Verpflichtung, sondern auch eine strategische Notwendigkeit, um die langfristige Sicherheit und Wettbewerbsfähigkeit im digitalen Zeitalter sicherzustellen.

Timeline der NIS2-Umsetzung

Dezember 2022: Verabschiedung der NIS2-Richtlinie durch das EU-Parlament. Die Richtlinie legt neue Cybersicherheitsanforderungen für eine Vielzahl von Sektoren fest.

Frühjahr 2023: Beginn der Abstimmungsphase in den Mitgliedsstaaten, in der nationale Umsetzungsgesetze erarbeitet werden. In Deutschland erfolgte die Konsultation von Interessengruppen und Experten, um spezifische Anpassungen vorzunehmen.

März 2024: Einbringung des NIS2-Umsetzungsgesetzes im Bundestag. Der Entwurf wird von den zuständigen Bundesministerien finalisiert und an die Erfordernisse der NIS2 angepasst.

Oktober 2024: Frist zur vollständigen Umsetzung der NIS2-Richtlinie in deutsches Recht. Alle Mitgliedsstaaten müssen sicherstellen, dass ihre nationalen Gesetze den Anforderungen der NIS2 entsprechen.

März 2025: Voraussichtliches Inkrafttreten des NIS2-Umsetzungsgesetzes in Deutschland, einschließlich verbindlicher Maßnahmen und Sanktionen bei Nichteinhaltung.

Aktuell befindet sich Deutschland in der finalen Phase der Anpassung der nationalen Gesetzgebung an die Anforderungen der NIS2-Richtlinie. Das NIS2-Umsetzungsgesetz wird voraussichtlich im März 2025 in Kraft treten, was Unternehmen kaum Zeit gibt, sich auf die neuen Anforderungen vorzubereiten.

Was müssen von NIS2-betroffene Unternehmen tun?

Unternehmen, die unter die NIS2-Richtlinie fallen, müssen spezifische Anforderungen erfüllen, um die Cybersicherheit zu gewährleisten. Zuerst ist zu klären, wo die eigene Unternehmung zur Rechtsnorm steht:



-Gap-Analyse durchführen: Eine Gap-Analyse hilft dabei, bestehende Sicherheitslücken zu identifizieren und Maßnahmen zur Umsetzung der NIS2-Anforderungen gezielt zu planen.

-Risikomanagement etablieren: Einführung eines Cybersicherheits-Risikomanagements, das Risiken identifiziert, bewertet und mitigiert.

-Sicherheitsmaßnahmen umsetzen: Technische und organisatorische Maßnahmen ergreifen, z. B. Netzwerksicherheit, Zugriffskontrollen und Notfallpläne.

-Meldepflichten beachten: Sicherheitsvorfälle müssen unverzüglich an die zuständige Behörde gemeldet werden, um eine schnelle Reaktion zu ermöglichen.

-Überwachung und Berichterstattung: Regelmäßige Überprüfungen der Cybersicherheitsmaßnahmen und Berichterstattung an die zuständigen Behörden.

Die Studie zeigt, dass die Risiken real sind, doch ebenso sind es die Lösungen. Mutige Entscheidungen und konsequentes Handeln sind gefragt. Die Verbesserung der eigenen Ausfallsicherheit muss jetzt oberste Priorität haben, denn nur so kann langfristige Wettbewerbsfähigkeit gewährleistet werden.

Quellenachweis: VEEAM Group, Studie/Umfrageergebnis

