Home » News » Security Management » Viele deutsche Unternehmen nicht auf NIS-2 vorbereitet

Viele deutsche Unternehmen nicht auf NIS-2 vorbereitet : Handlungsbedarf vor Inkrafttreten im Herbst!

Bis zum 17. Oktober 2024 muss die NIS-2-Richtlinie in deutsches Recht umgesetzt werden. Sie erweitert die Anzahl der betroffenen Unternehmen von 2.000 auf über 30.000 und legt Mindeststandards für die Informationssicherheit fest. Laut Umfragen von eco und ESET haben mindestens ein Drittel der IT-Entscheider noch keine Maßnahmen zur Erfüllung der NIS-2-Anforderungen ergriffen.

2 Min. Lesezeit
Europa-Karte mit NIS-2-Umsetzung
Foto: @AdobeStock/zahra vk

Die NIS-2-Richtlinie fordert zehn Risikomanagementmaßnahmen zur Cybersicherheit. Nur 13,2 Prozent der deutschen Unternehmen haben ihr Risikomanagement entsprechend verbessert, so eine Civey-Umfrage im Auftrag des eco Verbands. 14,6 Prozent haben Mitarbeitende sensibilisiert, 14,5 Prozent erfüllen Sicherheitsanforderungen, 12,1 Prozent haben ein Notfallmanagement implementiert, und 7,1 Prozent nutzen ISO 27001 oder BSI IT-Grundschutz. Ein Drittel hat keine Maßnahmen umgesetzt, und 40,6 Prozent der Befragten geben an, nicht auskunftsfähig zu sein.

„Viele IT-Verantwortliche sind sich der kommenden gesetzlichen Anforderungen an die IT-Sicherheit nicht bewusst“, warnt Ulrich Plate vom eco Verband. Die NIS-2-Regelung betrifft zehntausende Unternehmen in Deutschland, mit deutlich verschärften Bußgeldern und persönlicher Haftung der Führungskräfte bei Verstößen. „Die NIS-2 ist keine freiwillige Maßnahme, sondern eine gesetzliche Verpflichtung“, betont Plate.

Alarmierende Zahlen

Ähnlich alarmierend die Ergebnisse einer neuen ESET-Umfrage, durchgeführt von YouGov unter Unternehmensentscheidern: Hier sind es sogar 38 Prozent der deutschen Unternehmen, die noch nicht mit der Umsetzung der NIS-2-Richtlinie begonnen haben. Auf der anderen Seite setzt jedes dritte Unternehmen nach dieser Umfrage die NIS-2-Richtlinie bereits um, 15 Prozent sind von der Richtlinie nach eigener Aussage nicht betroffen und weitere 14 Prozent wissen gar nicht, ob sie ihr nachkommen müssen.

Maik Wetzel, Strategic Business Development Director DACH bei ESET, betont die Dringlichkeit der Umsetzung und den großen Beratungsbedarf, da die NIS-2-Richtlinie auf die steigende Cyberbedrohung reagiert. Verzögerungen bei der Gesetzeserarbeitung haben Unsicherheiten verursacht, die aufgeklärt werden müssen.

Die ESET-Umfrage zeigt, je größer das Unternehmen, desto besser die NIS-2-Awareness: So sind rund 40 Prozent der mittleren (50 bis 250 Mitarbeitende) und großen Unternehmen (ab 250 Mitarbeitenden) bereits gut auf die Anforderungen der NIS-2-Richtlinie vorbereitet.

Handlungsempfehlungen für Unternehmen

Ulrich Plate vom eco-Verband rät IT-Verantwortlichen, sich jetzt auf die strengeren Anforderungen ab Herbst vorzubereiten und gibt fünf Tipps:

  • Business Continuity Management (BCM) implementieren: Investieren Sie in technische und organisatorische Werkzeuge zum Schutz und zur schnellen Wiederherstellung des Betriebs bei Krisen.
  • Cybersecurity-Risiken professionell managen: Analysieren Sie Ihre IT-Struktur und leiten Sie Schutzmaßnahmen ab, die dem Stand der Technik entsprechen.
  • Lieferkettensicherheit prüfen: Stellen Sie die Compliance Ihrer Zulieferer sicher, von der Beschaffung bis zur Wartung Ihrer IT-Systeme.
  • Ganzheitlichen IT-Grundschutz installieren: Berücksichtigen Sie technische, infrastrukturelle, organisatorische und personelle Aspekte, nutzen Sie Multifaktor-Authentifizierung und gesicherte Kommunikationssysteme.
  • Training und Sensibilisierung: Schulen Sie Ihre Belegschaft und Führungskräfte, besonders gefährdete Gruppen sollten auf Social Engineering und ähnliche Bedrohungen vorbereitet sein.
Vorbereitung auf NIS-2/KRITIS
Quelle: Civey

Andere interessante News

Backup & Recovery

Backup und Recovery: Fünf Trends für 2025

Strengere Vorschriften und wachsende Cybergefahren erhöhen den Druck auf Unternehmen, ihre Daten bestmöglich zu schützen. Doch traditionelle Ansätze reichen nicht mehr aus. Experte...

Symbol für Hacking nach Login am Laptop

Cyberangriffe: Login statt Einbruch

Eine aktuelle Analyse zeigt, Cyberkriminelle brauchen keine Einbruchswerkzeuge – sie nutzen Zugangsdaten. Kompromittierte Nutzerkonten sind ihr Hauptzugang zu Unternehmenssystemen,...

Digitale Ordner-Struktur mit grünen Haken

Neue Open-Source-Bibliothek validiert Domänenkontrolle

Die neue Domain Control Validation (DCV)-Bibliothek ermöglicht eine verlässliche Verifizierung von Domain-Eigentümern – ein entscheidender Schritt für mehr Transparenz, IT-Complian...