Kommendes IT-Sicherheitsgesetz trifft deutsche Unternehmen unvorbereitet
Deutsche Unternehmen haben große Wissenslücken bei IT-Sicherheit, obwohl die Digitalisierung voranschreitet. Über die NIS2-Richtlinie wissen mehr als die Hälfte der Unternehmensentscheider nichts, darunter auch viele Vorstände und Geschäftsführer.
Und das, obwohl die Richtlinie, die ab 17. Oktober 2024 umgesetzt werden muss, sie im Schadensfall persönlich haftbar machen kann.
Maik Wetzel von ESET warnt davor, dass viele deutsche Unternehmen, vor allem der Mittelstand, nicht ausreichend auf die NIS2-Richtlinie vorbereitet sind. Mehr als die Hälfte der Entscheider in Organisationen mit über 50 Mitarbeitern, die von NIS betroffen sein könnten, wissen nichts über die bevorstehenden Anforderungen. Das sei bedenklich und zeige den dringenden Bedarf an Aufklärung.
Wetzel betont, dass Unternehmen jetzt handeln müssen, da die NIS2-Richtlinie auf die steigenden Bedrohungen im Cyberraum reagiert, die täglich in den Nachrichten zu sehen sind. Unabhängig von der Gesetzgebung sollten Unternehmen bereits heute Maßnahmen zum Schutz ihrer IT-Infrastruktur ergreifen.
Die Umfrage von ESET zeigt, dass 36 Prozent der Unternehmensentscheider noch nie von der NIS2-Richtlinie gehört haben und weitere 20 Prozent zwar davon gehört haben, aber ihre Inhalte nicht kennen. Besonders besorgniserregend ist, dass die Hälfte der Befragten keine Kenntnis von diesem wichtigen Gesetzgebungsverfahren hat und daher keine Maßnahmen ergreifen kann.
Dies zeigt sich auch bei Unternehmen mit mehr als 50 Mitarbeitern, von denen 44 Prozent die NIS2-Richtlinie nicht kennen. Selbst bei größeren Unternehmen mit über 250 Mitarbeitern ist die Hälfte nicht über die Richtlinie informiert. Wetzel betont, dass vielen Mittelständlern offenbar nicht bewusst ist, was auf sie zukommt, und dass die Umsetzung der erforderlichen Maßnahmen Zeit und sorgfältige Planung erfordert.
Für die meisten Geschäftsführer ist die NIS2-Richtlinie Neuland. Sie müssen jetzt aufpassen, da sie persönlich haftbar gemacht werden können, wenn ihre Firma gegen die Richtlinie verstößt. Die Aufsichtsbehörden könnten sogar ihre Leitungsfunktionen einschränken. Doch obwohl sie für die Cyber-Sicherheit ihres Unternehmens verantwortlich sind, kennen zwei von drei Geschäftsführern die NIS2-Richtlinie nicht oder verstehen sie nicht richtig.
Man würde denken, dass IT-Entscheider bereits über die NIS2-Richtlinie informiert sind und sich darauf vorbereiten. Doch die Zahlen zeigen etwas anderes: Ein Viertel von ihnen kennt die Richtlinie nicht, und weitere 13 Prozent haben zwar davon gehört, wissen aber nicht, worum es genau geht.
Wenn Entscheidungsträger die NIS2-Richtlinie kennen und verstehen, kommen sie bei der Umsetzung voran. Ein Drittel der Befragten ist bereits dabei, Maßnahmen umzusetzen, und weitere 38 Prozent planen, bald damit zu beginnen. 15 Prozent haben sich bereits mit der Richtlinie befasst und glauben, dass sie nicht betroffen sind.
Die Daten der ESET-Studie beruhen auf einer Online-Umfrage von YouGov Deutschland, an der 521 Unternehmensentscheider aus Deutschland zwischen dem 21. und 26.03.2024 teilnahmen. Die Ergebnisse wurden gewichtet und setzen sich repräsentativ zusammen.