Fehlende Umsetzung bedroht Unternehmen!: NIS-2: Gefahr durch unterschätzte Anforderungen
Die Gelassenheit vieler deutscher Unternehmen im Umgang mit der neuen NIS-2-Direktive könnte zum Stolperstein werden: Drei von fünf Beschäftigten in betroffenen Firmen glauben laut einer aktuellen Studie, dass ihr Unternehmen die Vorgaben bis Jahresende umsetzen wird. Experten warnen jedoch: Der Aufwand für die notwendigen Maßnahmen wird oft unterschätzt – und die Zeit läuft.
Mit der in Kraft getretenen NIS-2-Direktive stehen viele Unternehmen in Deutschland vor einer umfassenden Neuausrichtung ihrer IT-Sicherheitsstrategie. Die Richtlinie bringt nicht nur erweiterte Meldepflichten für Sicherheitsvorfälle, sondern auch strengere Anforderungen an das Risikomanagement sowie detaillierte Vorgaben für technische Sicherheitsmaßnahmen mit sich. Doch die Umsetzung gestaltet sich schwierig: Unklare nationale Auslegungen und fehlende Ressourcen lassen viele Unternehmen im Ungewissen darüber, welche konkreten Schritte erforderlich sind.
Trotz dieser Unsicherheiten zeigt die repräsentative Studie „Cybersicherheit in Zahlen“, durchgeführt von G DATA CyberDefense AG, Statista und brand eins, einen überraschenden Optimismus: Zwei Drittel der befragten Mitarbeitenden sind zuversichtlich, dass ihr Unternehmen die NIS-2-Anforderungen bis Ende des Jahres umsetzen kann. Dieser Optimismus steht jedoch in starkem Kontrast zur Realität: Personal- und Ressourcenmangel sowie unklare Anforderungen erschweren den Fortschritt erheblich.
Die Herausforderung der NIS-2-Umsetzung
„Für Unternehmen, die unter NIS-2 fallen, bedeutet die Richtlinie eine grundlegende Neuausrichtung ihrer IT-Sicherheitsstrategie“, erklärt Andreas Lüning, Gründer und Vorstand der G DATA CyberDefense. „Viele Verantwortliche haben den Bedarf an zusätzlichen Ressourcen und Expertise zwar erkannt, unterschätzen jedoch, wie komplex die Umsetzung der Kriterien tatsächlich ist. Diese Maßnahmen lassen sich nicht über Nacht umsetzen.“ Lüning empfiehlt daher, auf bewährte Standards wie die ISO-27001-Zertifizierung hinzuarbeiten, um den Anforderungen von NIS-2 gerecht zu werden.
Die Studie zeigt auch, wo die größten Hindernisse liegen:
- Mangel an Ressourcen: 35 Prozent der Befragten sehen die Bereitstellung zusätzlicher finanzieller und personeller Mittel als größte Herausforderung.
- Fehlende Expertise: 33 Prozent der Mitarbeitenden geben an, dass es an spezialisierter Fachkenntnis für die Umsetzung fehlt.
- Unklare Vorgaben: 17 Prozent der Befragten nennen die unpräzisen Anforderungen als Hürde.
- Überarbeitung von Sicherheitsprozessen: 17 Prozent sehen die vollständige Anpassung der internen IT-Sicherheitsprozesse als besonders schwierig an.
Optimismus trotz Hindernissen
Überraschend ist, dass 40 Prozent der Befragten kaum oder keine Hindernisse in der Umsetzung der NIS-2-Vorgaben sehen. Diese optimistische Einschätzung könnte jedoch gefährlich sein: Die Erfahrung zeigt, dass die Komplexität solcher regulatorischen Anforderungen häufig unterschätzt wird. Ein blindes Vertrauen auf bestehende Systeme und Prozesse könnte dazu führen, dass Unternehmen wichtige Fristen versäumen oder Risiken nicht ausreichend absichern.
Die Uhr tickt: Warum schnelles Handeln entscheidend ist
Unternehmen, die die Vorgaben nicht fristgerecht umsetzen, riskieren nicht nur hohe Strafen, sondern auch einen Verlust des Vertrauens bei Kunden und Partnern. NIS-2 erfordert gezielte Investitionen in Technologie, Schulung und Prozesse – eine Aufgabe, die Monate dauern kann. Der Aufbau interner Strukturen, die Anwerbung von Fachkräften und die Abstimmung mit externen Beratern sollten daher sofort Priorität haben.
Andreas Lüning betont: „Unternehmen müssen sich bewusst sein, dass die Umsetzung von NIS-2 eine gesamtunternehmerische Anstrengung erfordert. Es reicht nicht aus, nur auf die IT-Abteilung zu setzen. Cybersicherheit ist eine strategische Aufgabe, die Führungsebene und Mitarbeitende gleichermaßen betrifft.“
Fazit
Die NIS-2-Direktive stellt Unternehmen vor eine doppelte Herausforderung: Sie müssen in kurzer Zeit komplexe Maßnahmen umsetzen und gleichzeitig die Unsicherheiten der nationalen Auslegung bewältigen. Während viele Mitarbeitende optimistisch in die Zukunft blicken, zeigt die Realität, dass erhebliche Hürden überwunden werden müssen. Unternehmen, die frühzeitig handeln, auf bewährte Standards setzen und gezielt in Ressourcen investieren, haben jedoch eine gute Chance, die Anforderungen rechtzeitig zu erfüllen – und ihre Cybersicherheitsstrategie nachhaltig zu stärken.
Das Magazin „Cybersicherheit in Zahlen“ steht hier zum Download bereit.
Andreas Lüning, Gründer und Vorstand der G DATA CyberDefense AG