Eine aktuelle Studie zur NIS2-Richtlinie zeichnet ein ernüchterndes und widersprüchliches Bild der IT-Sicherheitslage in deutschen Unternehmen. Während sich 70 Prozent der befragten Firmen gut auf die neue EU-Richtlinie vorbereitet fühlen, sind nur 37 Prozent von ihnen nach eigener Angabe tatsächlich konform zur NIS2. Diese eklatante Diskrepanz zwischen Selbstwahrnehmung und Realität ist laut der Autoren bezeichnend für den oftmals leider noch zu laxen Umgang vieler Organisationen mit Cyber-Sicherheit und sei vor allem im Kritis-Bereich bedenklich, hieß es.

Nach Sicherheitsvorfällen gefragt, räumten 87 Prozent der Teilnehmer ein, dass sie in den vergangenen zwölf Monaten mindestens einen Vorfall erlebt haben, der durch NIS2-Maßnahmen vermeidbar gewesen wäre. Mehr als ein Drittel – konkret 38 Prozent – berichtet sogar von drei bis vier solcher Vorfälle. Wenn zudem 57 Prozent dieser Vorfälle als ‚hochgradig Kritisch‘ eingestuft werden, verdeutlicht das die von den Autoren als ‚dramatisch‘ eingeschätzte Bedrohungslage für deutsche Unternehmen. Geradezu fahrlässig erscheine vor diesem Hintergrund die aktuelle Budget-Entwicklung: 44 Prozent der IT-Sicherheitsverantwortlichen berichten von Kürzungen, weitere 22 Prozent von stagnierenden Budgets seit der NIS2-Ankündigung im Januar 2023. Diese Zahlen würden ein gefährliches Missverständnis auf Führungsebene offenbaren: Datenresilienz und damit Cyber-Sicherheit würden noch immer als optionaler Kostenfaktor statt als geschäftskritische Investition in die Wettbewerbsfähigkeit des Unternehmens gewertet, so die Studienautoren.

Die technischen Herausforderungen sind dabei zahlreich: 26 Prozent der Befragten nennen veraltete Technologien als Haupthindernis auf dem Weg zur NIS2-Compliance, gefolgt von fehlendem Budget (24 Prozent) und organisatorischen Silos (23 Prozent). Am meisten beunruhigen sollte es Führungskräfte jedoch, wenn das eigene Unternehmen nicht über die sogenannte „letzte Verteidigungslinie“ verfügt: nur 23 Prozent der befragten Sicherheitsexperten haben fortgeschrittene Backup-Verfahren implementiert, die multiple, unveränderliche und offline gespeicherte Sicherungen anlegen und im Notfall so das Tagesgeschäft aufrechterhalten können. In Zeiten zunehmender Ransomware-Attacken und Betriebsausfälle durch Malware-Infektionen sei es schlicht existenzgefährdend, wenn Backup- und Recovery-Maßnahmen fehlen, so die Autoren.

Die verhaltenen Erwartungen an NIS2 spiegeln außerdem eine besorgniserregende Grundhaltung wider: Nur 51 Prozent der deutschen Befragten glauben, dass die Richtlinie Unternehmen in ihrer Widerstandsfähigkeit gegen Ransomware stärken wird – der niedrigste Wert im internationalen Vergleich. 14 Prozent befürchten sogar eine Verschlechterung ihrer Cyber-Sicherheit. Diese Skepsis ist jedoch keine Legitimation, notwendige Investitionen aufzuschieben. Mit der NIS2-Richtlinie wird Cyber-Sicherheit zwangsläufig zum heißen Thema auf C-Level, denn sie macht Geschäftsführer und Vorstände bei Datenschutzverletzungen persönlich haftbar. Die Konsequenzen mangelnder Sicherheit sind weitreichend: Neben empfindlichen Geldstrafen drohen massive Reputationsschäden, Vertrauensverlust bei Kunden und verheerende Geschäftsausfälle. Die Tatsache, dass 88 Prozent der IT-Verantwortlichen bereits externe Hilfe in Form von Audits, Beratern oder IT-Dienstleistern in Anspruch genommen haben, unterstreicht die enorme Komplexität der Anforderungen.

Unternehmen stehen dabei vor multiplen Herausforderungen: Neben NIS2 nennen sie Profitabilität (29 Prozent), Fachkräftemangel (22 Prozent) und weitere Compliance-Anforderungen wie DSGVO, den Cyber Resilience Act (CRA) oder den Digital Operational Resilience Act (Dora, 22 Prozent) als wesentliche Druckfaktoren. Dies verdeutliche die zwingende Notwendigkeit eines umfassenden Ansatzes für Datenresilienz, der sowohl technische als auch organisatorische und regulatorische Anforderungen vereine, betonten die Autoren.

Ihre Einschätzung: die verbleibende Zeit bis zur NIS2-Deadline müsse zwingend für eine grundlegende Überprüfung und Neuausrichtung der Datenresilienz-Strategie genutzt werden. Die Implementierung moderner Backup- und Recovery-Lösungen, die Schulung von Mitarbeitern, die Auflösung organisatorischer Silos und eine Infrastruktur, die flexible Datenportabilität ermöglicht, seien dabei nicht verhandelbar. Die Investitionen in präventive Maßnahmen würden gegenüber den potenziellen Schäden eines erfolgreichen Cyber-Angriffs verblassen. Datenresilienz sei nun ein Grundpfeiler unternehmerischer Existenzsicherung im digitalen Zeitalter.

Die Umfrage wurde von Censuswide im Auftrag des Unternehmens Veeam zwischen dem 29. August und dem 02. September 2024 durchgeführt. Die Umfrage umfasste über 500 IT-Experten und -Verantwortliche aus Deutschland, Belgien, Frankreich, den Niederlanden und dem Vereinigten Königreich – einem Nicht-EU-Mitgliedstaat, der aufgrund seiner Geschäftskontakte mit EU-Ländern erheblich von NIS2 beeinflusst wird. Im Rahmen der Umfrage wurde auf die demografischen Verhältnisse Acht gegeben, um sicherzustellen, dass für jeden Markt 50 Befragte aus mittelgroßen Unternehmen (50-249) und 50 Befragte aus großen Unternehmen (250+) stammen. Die Befragten stammten aus Branchen, die zu den wesentlichen und wichtigen Unternehmen gehören, die der NIS2-Richtlinie unterliegen. Die Studie war landesweit repräsentativ.

Diese Meldung finden Sie auch in unserem März-Newsletter