90 % der EMEA-Unternehmen waren von Cybersecurity-Vorfällen betroffen, die NIS2 hätte verhindern können

Illustration Absmeier Foto Quelle Veeam

Rund 80 % der Unternehmen sind zwar zuversichtlich, die NIS2-Richtlinie umsetzen zu können, dennoch werden 66 % die Compliance-Frist am 18. Oktober 2024 verpassen.

 

Angesichts des bevorstehenden Inkrafttretens der NIS2-Richtlinie (Network and Information Security Directive 2022/2555) am 18. Oktober 2024 zur Stärkung der Cybersicherheit in der EU durch Erweiterung des Anwendungsbereichs und Verschärfung der Sicherheitsanforderungen durchlaufen Organisationen ein Wechselbad der Gefühle. Eine neue Censuswide-Umfrage, in Auftrag gegeben von Veeam Software, dem Anbieter von Datenresilienz, ergab, dass nur 43 % der IT-Entscheider in EMEA glauben, dass NIS2 die Cybersicherheit in der EU signifikant verbessern wird [1]. Dem gegenüber stehen überwältigende 90 % der Befragten, die in den letzten 12 Monaten mindestens einen Sicherheitsvorfall meldeten, der mit den vorgeschriebenen Maßnahmen der NIS2-Richtlinie hätte verhindert werden können. Alarmierend ist obendrein, dass 44 % der Befragten mehr als drei solcher Cybervorfälle in ihren Unternehmen erlebten und 65 % dieser Vorfälle als »höchst kritisch« eingestuft wurden.

Die Umfrageergebnisse umfassen die Meinungen von über 500 IT-Experten und -Verantwortlichen aus Deutschland, Belgien, Frankreich, den Niederlanden sowie dem Vereinigten Königreich und verdeutlichen die aktuelle Lage weniger als einen Monat vor Inkrafttreten der Richtlinie am 18. Oktober. Obwohl fast 80 % der Unternehmen zuversichtlich sind, die vorgeschriebenen Maßnahmen der NIS2-Richtlinie letztlich umsetzen zu können, geben bis zu zwei Drittel an, die bevorstehende Frist zu verpassen.

 

Hürden zur Einhaltung von NIS2

Um die Einhaltung von NIS2 zu erreichen, müssen Unternehmen grundlegende Maßnahmen der IT-Sicherheit umsetzen, wie beispielsweise die Definition von Reaktionsplänen für Vorfälle, die Sicherung von Lieferketten, die Bewertung von Schwachstellen und des gesamten Sicherheitsniveaus – einschließlich aller verbundenen Organisationen, Partner und Lieferketten. Es bestehen jedoch weiterhin diverse Hindernisse für die Einhaltung der Richtlinie. Zu den wichtigsten Herausforderungen, die von den Umfrageteilnehmern genannt wurden, gehören technische Schulden (24 %), mangelndes Verständnis auf Führungsebene (23 %) und unzureichende Budgets/Investitionen (21 %). Auffallend ist, dass 40 % der Befragten über verringerte IT-Budgets seit dem politischen Beschluss zur Umsetzung von NIS2 im Januar 2023 berichten, obwohl das Strafmaß ähnlich strikt ist, wie das der Datenschutzgrundverordnung (DSGVO) der EU [2]. 63 % der Befragten betrachten die DSGVO als streng, und 62 % äußern dasselbe über NIS2.

 

Konkurrenzdruck angesichts von Cyberbedrohungen

Die langsame Umsetzung von NIS2 ist wahrscheinlich auf die Vielzahl konkurrierender Prioritäten und geschäftlicher Belastungen zurückzuführen. Die Befragten stuften NIS2 in Bezug auf Dringlichkeit niedriger ein als zehn andere Themen, darunter der Fachkräftemangel, die Rentabilität und die digitale Transformation. Besorgniserregend ist, dass 42 % der Befragten, die NIS2 für unbedeutend in Bezug auf die Verbesserung der EU-Cybersicherheit halten, dies auf unzureichende Konsequenzen bei Nichteinhaltung zurückführen, was zu einer weitverbreiteten Apathie gegenüber der Richtlinie geführt hat.

 

Weitere wichtige Erkenntnisse der Umfrage umfassen:

  • 74 % der Befragten sehen NIS2 als vorteilhaft an, aber 57 % bezweifeln dessen wesentliche Auswirkungen auf die gesamte Cybersicherheit der EU.
  • Skeptiker äußern zusätzliche Bedenken, wie die mangelnde Vollständigkeit von NIS2 (35 %), die Überzeugung, dass Compliance keine Sicherheit garantiert (34 %) und Überschneidungen mit bestehenden Vorschriften (25 %).
  • Weitere Hürden sind der mangelnde Fokus auf NIS2-Compliance (20 %), enge Zeitvorgaben (19 %), fehlende Expertise in Sachen Cybersicherheit (19 %), die Komplexität der Richtlinie (19 %) und organisatorische Silos (19 %).
  • Trotz widersprüchlicher Ansichten nehmen die meisten Befragten NIS2 im Zusammenhang mit den regulatorischen Verpflichtungen ihrer Organisation positiv wahr und fühlen sich optimistisch (33 %), zuversichtlich (32 %) und ermutigt (27 %).

 

Andre Troskie, EMEA Field CISO bei Veeam, erklärt:

»NIS2 bringt die Verantwortung für Cybersicherheit über die IT-Teams hinaus in die Vorstandsetagen. Obwohl viele Unternehmen die Bedeutung dieser Richtlinie erkennen, hebt der in der Umfrage aufgezeigte Kampf um die Einhaltung bedeutende systemische Probleme hervor. Der kombinierte Druck anderer geschäftlicher Prioritäten und IT-Herausforderungen erklärt die Verzögerungen, mindert jedoch nicht die Dringlichkeit. Angesichts der zunehmenden Häufigkeit und Schwere von Cyberbedrohungen können die potenziellen Vorteile von NIS2 zur Verhinderung kritischer Vorfälle und zur Stärkung der Datenresilienz nicht hoch genug eingeschätzt werden. Führungsteams müssen schnell handeln, um diese Lücken zu schließen und die Compliance zu gewährleisten, nicht nur aus regulatorischen Gründen, sondern um die Widerstandsfähigkeit ihrer Organisation merklich zu verbessern und kritische Daten zu schützen.”

 

[1] Censuswide führte diese Untersuchung im Auftrag von Veeam zwischen dem 29. August und dem 02. September 2024 durch. An der Umfrage nahmen über 500 IT-Experten und -Verantwortliche aus Deutschland, Belgien, Frankreich, den Niederlanden und dem Vereinigten Königreich teil.  Obwohl das Vereinigte Königreich kein EU-Mitgliedsstaat ist, wurde es aufgrund seiner bedeutenden Geschäftsbeziehungen zu EU-Ländern miteinbezogen. Ein zusätzliches Kriterium stellte sicher, dass die britischen Befragten entweder derzeit Geschäfte in der EU tätigen oder dies in Zukunft planen. Um eine ausgewogene Repräsentation zu erreichen, wurden Quoten für jeden Markt festgelegt: 50 Befragte stammten aus mittelgroßen Unternehmen (50-249 Mitarbeiter) und 50 aus großen sowie sehr großen Unternehmen (250+). Die Teilnehmer wurden aus Branchen ausgewählt, die zu den wesentlichen und wichtigen Einrichtungen gehören, die der NIS2-Richtlinie unterliegen. Die Studie war national repräsentativ. https://www.veeam.com/blog/nis2-directive-explained.html
[2] https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333

 

 

 

 

167 Artikel zu „NIS2 „

Business Continuity Management mit modernen Tools – NIS2: Excel wird zum Risiko für Unternehmen und Geschäftsführer

Mit der Einführung der NIS2-Richtlinie stehen Unternehmen in der EU vor verschärften Anforderungen in der Cybersicherheit. Eine elementare Änderung: Durch NIS2 werden Geschäftsführer persönlich haftbar, falls die erforderlichen Maßnahmen nicht umgesetzt werden. Business Continuity Management (BCM) spielt nun eine entscheidende Rolle, denn es trägt maßgeblich zur Resilienz und Sicherheit von Unternehmen bei. Doch viele Unternehmen setzen noch auf veraltete Technologien wie Excel, was erhebliche Risiken birgt.

Mehr als ein Viertel der Unternehmen ist nicht auf NIS2 vorbereitet

Die NIS2-Richtlinie ist ab dem 18. Oktober 2024 auf nationaler Ebene rechtsverbindlich. Insbesondere für Betreiber kritischer Infrastrukturen und wesentlicher Dienste gehen die Anforderung weit über die bisherigen Compliance-Vorgaben hinaus. Zudem können Geschäftsführer bei Verstößen persönlich haftbar gemacht werden. Eine Studie von Threema mit Fokus auf Instant-Messaging zeigt, dass mehr als ein Viertel der betroffenen Unternehmen…

NIS2 als Chance begreifen – trotz zögerlicher Umsetzung

Die Europäische Union hat als Antwort auf den deutlichen Anstieg von Cyberangriffen die NIS2-Richtlinie verabschiedet. Diese überarbeitete Richtlinie verfolgt das Ziel, ein einheitlich hohes Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu gewährleisten. Zudem fallen deutlich mehr Unternehmen und Organisationen unter die Regulierung, die für das gesellschaftliche System wichtig sind. Die Mehrheit der…

NIS2 und E-Mail-Verschlüsselung

In einer zunehmend vernetzten Welt, in der digitale Kommunikation eine zentrale Rolle spielt, ist der Schutz sensibler Informationen von höchster Bedeutung. Die NIS2-Richtlinie (EU-Richtlinie zur Netzwerk- und Informationssicherheit) ist am 27.12.2022 im Amtsblatt der Europäischen Union veröffentlicht worden und muss von Mitgliedsstaaten bis zum 17.10.2024 in nationales Recht umgesetzt werden [1].   Kommentar von Stephan…

KMU: Diese Fehleinschätzungen kursieren rund um NIS2

Mit der neuen EU-Richtlinie für Cybersicherheit erweitert sich der Kreis der betroffenen Firmen von rund 2.000 Unternehmen auf geschätzte 30.000. Während sich Großbetriebe von ihren Rechtsabteilungen beraten lassen, sind viele Mittelständler auf sich gestellt – und verunsichert.   Das Risiko, Opfer einer Cyberattacke zu werden, ist derzeit höher denn je – und Unternehmen sind dafür…

NIS2 Compliance vereinfachen – mit SASE

Die Frist für die neue Richtlinie 2022/0383 über Netz- und Informationssysteme, besser bekannt als »NIS2«, rückt unaufhaltsam näher. Unternehmen stehen nun vor der Herausforderung, die geeignete Technologie zu implementieren, um den Anforderungen gerecht zu werden. Das wachsende Interesse der Branche an Sicherheitsplattformen wird eine entscheidende Rolle dabei spielen, die Einhaltung der NIS2-Vorgaben zu erleichtern. Organisationen…

Die Qualität der Sicherheitsmaßnahmen verbessern – »NIS2 wird zur neuen Norm in der Sicherheits­landschaft werden«

In Zeiten zunehmender Cybersicherheitsbedrohungen sind Unternehmen gefordert, ihre Schutzmaßnahmen kontinuierlich zu verbessern. Dr. Matthias Rosche, Managing Director bei Orange Cyberdefense, erklärt, dass nicht nur die klassischen Bedrohungen, sondern auch neue Compliance-Anforderungen und -Regularien wie NIS2 die Unternehmen vor Probleme stellen.

Die Hausordnung für IT-Systeme: NIS2

NIS2 sorgt in vielen Köpfen für Unsicherheit. Dabei lässt sie sich gut mit der Hausordnung, wie sie in Mehrfamilienhäusern oder Firmengebäuden existiert, vergleichen: Die europaweite Direktive ist das Regelwerk (Hausordnung), deren Einhaltung Dienstleister (analog zum Hausmeister) für Unternehmen (quasi die Bewohner) sicherstellen. Doch was ist neu an NIS2? Welche Maßnahmen müssen Firmen implementieren? Die nachfolgende…

NIS2: In 5 Schritten zu mehr OT-Cybersicherheit

Die Digitalisierung der Industrie hat kritische Infrastrukturen zu einem beliebten Ziel von Cyberangriffen gemacht. Die potenziell verheerenden Schäden für Unternehmen als auch für die Gesellschaft machen das Thema Cybersicherheit für Gesetzgeber immer relevanter. Die NIS2-Richtlinie greift dieses Problem auf, indem sie rechtliche Maßnahmen zur Verbesserung der allgemeinen Cybersicherheit in der EU vorsieht, wobei der Schwerpunkt…

NIS2 und KRITIS-Dach: Neun Bausteine für sichere industrielle Steuerungs- und Automatisierungssysteme

Zahl der durch NIS2 und KRITIS-Dach regulierten Organisationen erweitert sich auf über 30.000: eco Verband gibt 9 Tipps zur Steigerung der Cyberresilienz industrieller Steuerungsanlagen.   Mit der zunehmenden Vernetzung von Maschinen werden Industrieanlagen verwundbarer gegenüber Cyberangriffen. Zudem ändert sich die Regulierung dieses Jahr deutlich mit dem KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz: Die Anzahl künftig regulierter Unternehmen erweitert…

EU-Direktive NIS2: So stellen Sie Ihre Task Force zusammen

Mit der neuen EU-Direktive NIS2 stehen Unternehmen vor der Herausforderung, ihre Cybersecurity-Strategie zu überarbeiten. Um den Anforderungen der Richtlinie gerecht zu werden, ist es entscheidend, ein Kernteam für Sicherheitsbelange zusammenzustellen. Wie Unternehmen dabei vorgehen sollten, erklärt Dirk Wocke, IT Compliance Manager und Datenschutzbeauftragter bei indevis.   Die neue NIS2-Direktive stellt konkrete Anforderungen an die technischen…

NIS2: Das kommt im 2. Halbjahr 2024 auf Unternehmen zu

Umsetzung der EU-Richtlinie zum Schutz vor Cyberbedrohungen.   Auf viele Unternehmen kommen in puncto Cybersicherheit ab 2024 neue Herausforderungen zu. Die sogenannte Network and Information Security Directive 2, kurz NIS2, ist eine EU-Richtlinie zur Stärkung der Cybersicherheit, die bis spätestens Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt sein muss. Damit soll der Gesetzgeber…

NIS2: Jedes dritte Unternehmen setzt die Richtlinie bereits um

Bei einem weiteren Drittel der Befragten ist die Umsetzung noch in Planung.   38 Prozent der deutschen Unternehmen haben noch nicht mit der Umsetzung der NIS2-Richtlinie begonnen. Dabei ist es höchste Zeit: Mit dem Gesetzentwurf (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) hat das Bundesministerium des Innern und für Heimat die Weichen gestellt. Bis zum 17. Oktober 2024 soll…

Welche Erkenntnisse sich aus der DSGVO für DORA und NIS2 einsetzen lassen

Was mit der DSGVO begann, setzt die EU mit NIS2 und DORA konsequent fort. Sie reglementiert die Datenindustrie und die digitalen Prozesse vieler Firmen, um Daten und Netze robuster zu machen gegen Angriffe. Gleichzeitig lassen sich aus der Einführung der DSGVO einige wichtige Schlüsse zum Umgang mit den neuen Regeln für Unternehmen ziehen. Welche das…

Countdown zur NIS2-Richtlinie: So können IT-Teams Blind Spots im eigenen Netzwerk fristgerecht eliminieren

NIS2 soll die Cyber- und Informationssicherheit EU-weit maßgeblich stärken. Zum Stichtag am 17. Oktober 2024 muss die Direktive in nationales Recht umgewandelt werden. Angesichts der sich zuspitzenden Cyber-Security-Lage ist das auch absolut notwendig, weiß Ali Moniri, Senior Sales Engineer bei Gigamon. Für Unternehmen bedeutet das: ranklotzen! Denn es bleibt nur noch wenig Zeit für die…

Sich effektiv auf die NIS2-Richtlinie vorbereiten

Wie Prozessmonitoring Organisationen und Unternehmen unterstützt bei dynamischen Risikomanagement und zeitnahem Geschäftsprozess-Reporting.   Um ein höheres Maß an Cybersicherheit für Netz- und Informationssysteme in Organisationen zu erreichen, erließ das Europäische Parlament im Juli 2016 die Richtlinie über Netz- und Informationssysteme (NIS). Sie schuf einen Rahmen für Cybersicherheitskapazitäten in allen Mitgliedstaaten und baute wichtige Sicherheitsvorkehrungen in…

IT-Compliance: NIS2 – Vorbereitung ist alles!

Mit der Richtlinie über Netz- und Informationssicherheit (NIS2) tritt in diesem Jahr eine neue Richtlinie in Kraft, die sich erheblich auf Organisationen auswirkt. NIS2 legt detaillierte Cybersicherheitsvorschriften fest, deren Nichteinhaltung die EU mit hohen Geldstrafen sanktionieren wird. Im Herbst läuft die Vorbereitungsfrist ab — auf folgende Punkte müssen IT-Verantwortliche besonders achten.   Gesetzliche Regularien sind…

Die Auswirkungen der NIS2-Richtlinie auf die Container-Sicherheit verstehen

Die digitale Landschaft in Europa steht mit der Veröffentlichung der NIS2-Richtlinie vor einem bedeutenden Wandel. Die Umsetzung dieser digitalen Transformation ist eng mit der Entwicklung der Cyber Security verbunden. Regierungen auf der ganzen Welt ergreifen jetzt Maßnahmen, um kritische Infrastrukturen intensiver vor Cyberbedrohungen zu schützen. Diese Richtlinie, die darauf abzielt, die Sicherheit und Widerstandsfähigkeit im…