Schutz durch NIS2: 90 Prozent der Cybersecurity-Vorfällen hätte NIS2 verhindert
Angesichts des bevorstehenden Inkrafttretens der NIS2-Richtlinie (Network and Information Security Directive 2022/2555) am 18. Oktober 2024 zur Stärkung der Cybersicherheit in der EU durch Erweiterung des Anwendungsbereichs und Verschärfung der Sicherheitsanforderungen durchlaufen Organisationen ein Wechselbad der Gefühle.
Eine neue Censuswide-Umfrage, in Auftrag gegeben von Veeam ergab, dass nur 43 Prozent der IT-Entscheider in EMEA glauben, dass NIS2 die Cybersicherheit in der EU signifikant verbessern wird. Dem gegenüber stehen überwältigende 90 Prozent der Befragten, die in den letzten 12 Monaten mindestens einen Sicherheitsvorfall meldeten, der mit den vorgeschriebenen Maßnahmen der NIS2-Richtlinie hätte verhindert werden können. Alarmierend ist obendrein, dass 44 Prozent der Befragten mehr als drei solcher Cybervorfälle in ihren Unternehmen erlebten und 65 Prozent dieser Vorfälle als „höchst kritisch“ eingestuft wurden.
Die Umfrageergebnisse umfassen die Meinungen von über 500 IT-Experten und -Verantwortlichen aus Deutschland, Belgien, Frankreich, den Niederlanden sowie dem Vereinigten Königreich und verdeutlichen die aktuelle Lage weniger als einen Monat vor Inkrafttreten der Richtlinie am 18. Oktober. Obwohl fast 80 Prozent der Unternehmen zuversichtlich sind, die vorgeschriebenen Maßnahmen der NIS2-Richtlinie letztlich umsetzen zu können, geben bis zu zwei Drittel an, die bevorstehende Frist zu verpassen.
Hürden zur Einhaltung von NIS2
Um die Einhaltung von NIS2 zu erreichen, müssen Unternehmen grundlegende Maßnahmen der IT-Sicherheit umsetzen, wie beispielsweise die Definition von Reaktionsplänen für Vorfälle, die Sicherung von Lieferketten, die Bewertung von Schwachstellen und des gesamten Sicherheitsniveaus – einschließlich aller verbundenen Organisationen, Partner und Lieferketten. Es bestehen jedoch weiterhin diverse Hindernisse für die Einhaltung der Richtlinie. Zu den wichtigsten Herausforderungen, die von den Umfrageteilnehmern genannt wurden, gehören technische Schulden (24 Prozent), mangelndes Verständnis auf Führungsebene (23 Prozent) und unzureichende Budgets/Investitionen (21 Prozent). Auffallend ist, dass 40 Prozent der Befragten über verringerte IT-Budgets seit dem politischen Beschluss zur Umsetzung von NIS2 im Januar 2023 berichten, obwohl das Strafmaß ähnlich strikt ist, wie das der Datenschutz-Grundverordnung (DSGVO) der EU. 63 Prozent der Befragten betrachten die DSGVO als streng, und 62 Prozent äußern dasselbe über NIS2.
Konkurrenzdruck angesichts von Cyberbedrohungen
Die langsame Umsetzung von NIS2 ist wahrscheinlich auf die Vielzahl konkurrierender Prioritäten und geschäftlicher Belastungen zurückzuführen. Die Befragten stuften NIS2 in Bezug auf Dringlichkeit niedriger ein als zehn andere Themen, darunter der Fachkräftemangel, die Rentabilität und die digitale Transformation. Besorgniserregend ist, dass 42 Prozent der Befragten, die NIS2 für unbedeutend in Bezug auf die Verbesserung der EU-Cybersicherheit halten, dies auf unzureichende Konsequenzen bei Nichteinhaltung zurückführen, was zu einer weitverbreiteten Apathie gegenüber der Richtlinie geführt hat.
Weitere wichtige Erkenntnisse der Umfrage
- 74 Prozent der Befragten sehen NIS2 als vorteilhaft an, aber 57 Prozent bezweifeln dessen wesentliche Auswirkungen auf die gesamte Cybersicherheit der EU.
- Skeptiker äußern zusätzliche Bedenken, wie die mangelnde Vollständigkeit von NIS2 (35 Prozent), die Überzeugung, dass Compliance keine Sicherheit garantiert (34 Prozent) und Überschneidungen mit bestehenden Vorschriften (25 Prozent).
- Weitere Hürden sind der mangelnde Fokus auf NIS2-Compliance (20 Prozent), enge Zeitvorgaben (19 Prozent), fehlende Expertise in Sachen Cybersicherheit (19Prozent), die Komplexität der Richtlinie (19 Prozent) und organisatorische Silos (19 Prozent).
- Trotz widersprüchlicher Ansichten nehmen die meisten Befragten NIS2 im Zusammenhang mit den regulatorischen Verpflichtungen ihrer Organisation positiv wahr und fühlen sich optimistisch (33 Prozent), zuversichtlich (32 Prozent) und ermutigt (27 Prozent).
Über die Umfrage: Censuswide führte diese Untersuchung im Auftrag von Veeam zwischen dem 29. August und dem 02. September 2024 durch. An der Umfrage nahmen über 500 IT-Experten und -Verantwortliche aus Deutschland, Belgien, Frankreich, den Niederlanden und dem Vereinigten Königreich teil. Obwohl das Vereinigte Königreich kein EU-Mitgliedsstaat ist, wurde es aufgrund seiner bedeutenden Geschäftsbeziehungen zu EU-Ländern miteinbezogen. Ein zusätzliches Kriterium stellte sicher, dass die britischen Befragten entweder derzeit Geschäfte in der EU tätigen oder dies in Zukunft planen. Um eine ausgewogene Repräsentation zu erreichen, wurden Quoten für jeden Markt festgelegt: 50 Befragte stammten aus mittelgroßen Unternehmen (50-249 Mitarbeiter) und 50 aus großen sowie sehr großen Unternehmen (250+). Die Teilnehmer wurden aus Branchen ausgewählt, die zu den wesentlichen und wichtigen Einrichtungen gehören, die der NIS2-Richtlinie unterliegen. Die Studie war national repräsentativ.