NIS-2-Umsetzung hätte viele Vorfälle verhindert

Laut einer aktuellen Untersuchung hätten 90 Prozent der Cybersecurity-Vorfälle, die Unternehmen in den letzten 12 Monaten beschäftigten, mit den umgesetzten Maßnahmen der NIS2-Richtlinie verhindert werden können.

Veeam Software beauftragte eine umfassende Studie zur Umsetzung der NIS-2-Richtlinie

Angesichts des bevorstehenden Inkrafttretens der NIS-2-Richtlinie (Network and Information Security Directive 2022/2555) am 18. Oktober 2024 stehen noch vergleichsweise viele Unternehmen mit leeren Händen da. Rund 80 Prozent der befragten Unternehmen sind zwar zuversichtlich, die NIS2-Richtlinie umsetzen zu können, dennoch werden 66 Prozent die Compliance-Frist am 18. Oktober 2024 verpassen. Das ist ein zentrales Ergebnis einer Censuswide-Umfrage, die der Datenresilienz-Spezialist Veeam Software beauftragt hat.

Die Untersuchung offenbart auch eine klaffende Lücke zwischen der persönlichen Einschätzung von IT-Verantwortlichen und der Realität: Die Befragung ergab, dass nur 43 Prozent der IT-Entscheider in EMEA glauben, dass NIS-2 die Cybersicherheit in der EU signifikant verbessern wird. Tatsächlich aber hätten 90 Prozent der genannten Cybersecurity-Vorfälle aus den vergangenen 12 Monaten mit den umgesetzten Maßnahmen der NIS2-Richtlinie verhindert werden können. 44 Prozent der Befragten gaben an, dass ihr Unternehmen innerhalb eines Jahres mehr als drei Cybervorfälle erlebt hat. 65 Prozent dieser Vorfälle wurden als "höchst kritisch" eingestuft.

Die Umfrageergebnisse umfassen die Meinungen von über 500 IT-Experten und -Verantwortlichen aus Deutschland, Belgien, Frankreich, den Niederlanden sowie Großbritannien. Obwohl das Vereinigte Königreich kein EU-Mitgliedsstaat ist, wurde es aufgrund seiner bedeutenden Geschäftsbeziehungen zu EU-Ländern miteinbezogen. Censuswide führte diese Untersuchung im Auftrag von Veeam zwischen dem 29. August und dem 2. September 2024 durch.  Pro Land stammten 50 Befragte aus mittelgroßen Unternehmen (50-249 Mitarbeiter) und 50 aus großen sowie sehr großen Unternehmen (250+ Mitarbeiter). Die Teilnehmer wurden aus Branchen ausgewählt, die zu den wesentlichen und wichtigen Einrichtungen gehören, die der NIS-2-Richtlinie unterliegen. Die Studie war national repräsentativ.

Was die NIS2-Umsetzung ausbremst

Um die Einhaltung von NIS-2 zu erreichen, müssen Unternehmen grundlegende Maßnahmen der IT-Sicherheit umsetzen, wie beispielsweise die Definition von Reaktionsplänen für Vorfälle, die Sicherung von Lieferketten, die Bewertung von Schwachstellen und des gesamten Sicherheitsniveaus – einschließlich aller verbundenen Organisationen, Partner und Lieferketten. Es bestehen jedoch weiterhin diverse Hindernisse für die Einhaltung der Richtlinie. Zu den Herausforderungen, die von den Umfrageteilnehmern genannt wurden, gehören mangelndes Verständnis auf Führungsebene (23 %) und unzureichende Budgets/Investitionen (21 %). Auffallend ist, dass 40 Prozent der Befragten über verringerte IT-Budgets seit dem politischen Beschluss zur Umsetzung von NIS2 im Januar 2023 berichten. 63 Prozent der Befragten betrachten die DSGVO als streng, und 62 Prozent äußern dasselbe über NIS-2.

Unternehmen kämpfen an vielen Fronten

Die langsame Umsetzung der NIS-2-Richtlinie ist der Befragung zufolge auf die Vielzahl geschäftlicher Belastungen in vielen Betrieben zurückzuführen. Die Befragten stuften NIS-2 in Bezug auf Dringlichkeit niedriger ein als zehn andere Themen, darunter der Fachkräftemangel, die Rentabilität und die digitale Transformation. 19 Prozent der Befragten kritisierten enge Zeitvorgaben und ebenfalls 19 Prozent kritisierten die Komplexität der Richtlinie.