Home » News » Security Management » Kommendes IT-Sicherheitsgesetz trifft deutsche Unternehmen unvorbereitet

Kommendes IT-Sicherheitsgesetz trifft deutsche Unternehmen unvorbereitet

Deutsche Unternehmen haben große Wissenslücken bei IT-Sicherheit, obwohl die Digitalisierung voranschreitet. Über die NIS2-Richtlinie wissen mehr als die Hälfte der Unternehmensentscheider nichts, darunter auch viele Vorstände und Geschäftsführer.

2 Min. Lesezeit
Digitale Darstellung einer Waage
Foto: ©AdobeStock/CtrlN

Und das, obwohl die Richtlinie, die ab 17. Oktober 2024 umgesetzt werden muss, sie im Schadensfall persönlich haftbar machen kann.

Maik Wetzel von ESET warnt davor, dass viele deutsche Unternehmen, vor allem der Mittelstand, nicht ausreichend auf die NIS2-Richtlinie vorbereitet sind. Mehr als die Hälfte der Entscheider in Organisationen mit über 50 Mitarbeitern, die von NIS betroffen sein könnten, wissen nichts über die bevorstehenden Anforderungen. Das sei bedenklich und zeige den dringenden Bedarf an Aufklärung.

Wetzel betont, dass Unternehmen jetzt handeln müssen, da die NIS2-Richtlinie auf die steigenden Bedrohungen im Cyberraum reagiert, die täglich in den Nachrichten zu sehen sind. Unabhängig von der Gesetzgebung sollten Unternehmen bereits heute Maßnahmen zum Schutz ihrer IT-Infrastruktur ergreifen.

Die Umfrage von ESET zeigt, dass 36 Prozent der Unternehmensentscheider noch nie von der NIS2-Richtlinie gehört haben und weitere 20 Prozent zwar davon gehört haben, aber ihre Inhalte nicht kennen. Besonders besorgniserregend ist, dass die Hälfte der Befragten keine Kenntnis von diesem wichtigen Gesetzgebungsverfahren hat und daher keine Maßnahmen ergreifen kann.

Dies zeigt sich auch bei Unternehmen mit mehr als 50 Mitarbeitern, von denen 44 Prozent die NIS2-Richtlinie nicht kennen. Selbst bei größeren Unternehmen mit über 250 Mitarbeitern ist die Hälfte nicht über die Richtlinie informiert. Wetzel betont, dass vielen Mittelständlern offenbar nicht bewusst ist, was auf sie zukommt, und dass die Umsetzung der erforderlichen Maßnahmen Zeit und sorgfältige Planung erfordert.

Für die meisten Geschäftsführer ist die NIS2-Richtlinie Neuland. Sie müssen jetzt aufpassen, da sie persönlich haftbar gemacht werden können, wenn ihre Firma gegen die Richtlinie verstößt. Die Aufsichtsbehörden könnten sogar ihre Leitungsfunktionen einschränken. Doch obwohl sie für die Cyber-Sicherheit ihres Unternehmens verantwortlich sind, kennen zwei von drei Geschäftsführern die NIS2-Richtlinie nicht oder verstehen sie nicht richtig.

Man würde denken, dass IT-Entscheider bereits über die NIS2-Richtlinie informiert sind und sich darauf vorbereiten. Doch die Zahlen zeigen etwas anderes: Ein Viertel von ihnen kennt die Richtlinie nicht, und weitere 13 Prozent haben zwar davon gehört, wissen aber nicht, worum es genau geht.

Wenn Entscheidungsträger die NIS2-Richtlinie kennen und verstehen, kommen sie bei der Umsetzung voran. Ein Drittel der Befragten ist bereits dabei, Maßnahmen umzusetzen, und weitere 38 Prozent planen, bald damit zu beginnen. 15 Prozent haben sich bereits mit der Richtlinie befasst und glauben, dass sie nicht betroffen sind.

Frage Umfrage NIS-2 Richtlinie
Quelle: ESET

Die Daten der ESET-Studie beruhen auf einer Online-Umfrage von YouGov Deutschland, an der 521 Unternehmensentscheider aus Deutschland zwischen dem 21. und 26.03.2024 teilnahmen. Die Ergebnisse wurden gewichtet und setzen sich repräsentativ zusammen.

Andere interessante News

Cyberattacken

Viele Cyberangriffe bleiben lange unentdeckt

Mehr als ein Fünftel (22 Prozent) der Cyberangriffe auf Unternehmen und Organisationen im vergangenen Jahr dauerten mehr als einen Monat an – dies bedeutet einen Anstieg von rund sechs Prozentpunkten gegenüber dem Vorjahr 2022. Eine aktuelle Studie belegt außerdem: Vertrauensvolle Beziehungen werden als Angriffsvektor ausgenutzt.

AI Act

EU-Mitgliedsstaaten beschließen KI-Regulierung für Europa

Die EU-Mitgliedsstaaten haben den AI Act im Ministerrat beschlossen. Nach der Veröffentlichung könnte der AI Act bereits Ende Juni oder Anfang Juli in Kraft treten. Unternehmen müssen dann bereits sechs Monate später erste Regeln befolgen.

DaaS - Desktop as a Service

Wie Device as a Service die IT-Security stärkt

Die Sicherheit am digitalen Arbeitsplatz bleibt ein zentrales Thema für IT-Entscheider. Besonders attraktiv ist dabei Device as a Service (DaaS), also die Auslagerung der Beschaffung, Bereitstellung, Verwaltung und des Austauschs von Geräten. Diese „as a Service“-Modelle tragen mit hohen Sicherheitsstandards zur aktiven und präventiven Sicherheit bei.