print logo

Cybersicherheit: Nur wenige deutsche Unternehmen sind auf NIS2 vorbereitet

Umfrage zeigt: Ein Drittel der befragten IT-Entscheider haben noch keine Maßnahmen getroffen, um erhöhte Sicherheitsanforderungen zu erfüllen.
© eco & Civey
 

Viele Unternehmen in Deutschland haben sich noch nicht auf die künftigen Anforderungen der NIS2-Richtlinie vorbereitet. Die europäische Cybersicherheitsrichtlinie legt Kriterien fest, um Betreiber kritischer Anlagen und andere regulierte Einrichtungen zu identifizieren und nennt Mindeststandards für deren Informationssicherheit. Bis zum 17. Oktober 2024 soll sie, nach aktuellem Stand, in deutsches Recht umgesetzt werden. Der Umfang betroffener Unternehmen erweitert sich deutlich, von 2.000 auf über 30.000, zeigt ein aktueller Entwurf des NIS2-Umsetzungsgesetzes (NIS2UmsuCG).

Die Richtlinie verlangt explizit die Einhaltung von zehn Risikomanagementmaßnahmen im Bereich der Cybersicherheit. Doch erst 13,2 Prozent der Unternehmen in Deutschland haben ihr Risikomanagement entsprechend verbessert. Das zeigt eine Befragung von 250 IT-Entscheiderinnen und -Entscheidern durch das Marktforschungsinstitut Civey im Auftrag des eco Verbands. Nur 14,6 Prozent haben bereits Mitarbeitende sensibilisiert. 14,5 Prozent sagen, sie halten Sicherheitsanforderungen ein. 12,1 Prozent haben ein Notfall- und Krisenmanagement implementiert. Die Industriestandards ISO 27001 bzw. BSI IT-Grundschutz haben erst 7,1 Prozent eingeführt. Ein Drittel der IT-Entscheider in Deutschland gibt an, noch keine der genannten Maßnahmen umgesetzt zu haben. Als nicht auskunftsfähig bezeichnen sich 40,6 Prozent der Befragten und antworten mit weiß nicht.

Zehntausende Unternehmen in Deutschland fallen erstmals unter die EU-Regulierung
„Es ist beunruhigend, wie viele der IT-Verantwortlichen die kommenden gesetzlichen Anforderungen an ihre IT-Sicherheit offenbar noch nicht auf dem Schirm haben“, sagt Ulrich Plate, Leiter der eco Kompetenzgruppe KRITIS. „Dabei werden durch die NIS2 zehntausende Unternehmen allein in Deutschland erstmals unter die europaweite Regulierung der Cybersicherheit fallen.“ Angesichts doppelt so vieler betroffener Sektoren wie bisher, erheblich verschärften Bußgeldern und einer persönlichen Haftung der Leitungsorgane bei Verstößen, könne man erwarten, dass sich viel mehr Entscheidungsträger ihrer Verantwortung bewusst seien. „Die NIS2 kommt auf jeden Fall, und Compliance mit gesetzlichen Vorgaben ist kein Opt-in-Verfahren“, sagt Plate. „Bei der Einführung der Datenschutzgrundverordnung vor sechs Jahren war die Kenntnis weiterverbreitet, dass es sich hier nicht um freiwillige Mehrleistung handelt.“

Ulrich Plate rät IT-Verantwortlichen dringend, sich jetzt schon auf die voraussichtlich ab Herbst geltenden, strengeren Anforderungen vorzubereiten. Dafür gibt er fünf Tipps:

  • Implementieren Sie, falls noch nicht geschehen, ein Business Continuity Management (BCM): Investieren Sie jetzt in technische und organisatorische Werkzeuge, mit denen Sie den Betrieb vor Krisen und bedrohlichen Ausfällen schützen – und wenn doch etwas passiert, schnell und kontrolliert wiederherstellen.
  • Managen Sie Ihre Cybersecurity-Risiken professionell und transparent: Analysieren Sie Ihre IT-Struktur – intern und bei Dienstleistern – und leiten Sie Schutzmaßnahmen ab, die dem Stand der Technik entsprechen. Das reicht von Systemen zur Angriffserkennung bis zur Cyberhygiene, die beispielsweise ausreichende Längen der Passwörter meint und sicher getrennte Netzwerksegmente.
  • Prüfen Sie Ihre Lieferkettensicherheit: Wenn Sie Betreiber kritischer Anlagen sind, ist es Ihre Pflicht, die Compliance Ihrer Zulieferer, inklusive Softwarehersteller und Infrastruktur-Provider sicherzustellen. Und das nicht nur bei Cloud- und Service-Anbietern, sondern schon bei der Beschaffung, Entwicklung und Wartung Ihrer informationstechnischen Systeme.
  • Installieren Sie einen ganzheitlichen IT-Grundschutz: Neben technischen Aspekten werden auch infrastrukturelle, organisatorische und personelle Themen betrachtet. Dazu zählen Verfahren für den Einsatz von Kryptographie und alle Maßnahmen, die IT-Sicherheitsrisiken durch den Faktor Mensch reduzieren. Nutzen Sie Multifaktor-Authentisierung und gesicherte Kommunikationssysteme, auch für den Notfall: ausgedruckte Notfallhandbücher und klassische Funkgeräte sind ein Segen, wenn Ihre IT komplett ausfällt.
  • Training, Schulung und Sensibilisierung: Befähigen Sie Ihre Belegschaft und die Leitungsorgane, stärken Sie das Bewusstsein für Sicherheitsrisiken. Besonders gefährdete Zielgruppen sollten mit Social Engineering und anderen, nicht immer IT-bezogenen Gemeinheiten vertraut gemacht werden, bevor sich zum Beispiel eine KI-verfremdete Stimme am Telefon erfolgreich als CEO ausgeben kann.