Cybersicherheit: Nur wenige Unternehmen in Deutschland sind auf NIS2 vorbereitet

• 40 Prozent der befragten IT-Verantwortlichen haben gesetzliche Neuregelung nicht auf dem Schirm
• 32,8 Prozent haben noch keine Maßnahmen getroffen, um sich auf die höheren IT-Sicherheitsanforderungen durch NIS2 vorzubereiten
• Erst 13,2 Prozent der Unternehmen haben das IT-Risikomanagement verbessert

Viele Unternehmen in Deutschland haben sich noch nicht auf die künftigen Anforderungen der NIS2-Richtlinie vorbereitet. Die europäische Cybersicherheitsrichtlinie legt Kriterien fest, um Betreiber kritischer Anlagen und andere regulierte Einrichtungen zu identifizieren und nennt Mindeststandards für deren Informationssicherheit. Bis zum 17. Oktober 2024 soll sie, nach aktuellem Stand, in deutsches Recht umgesetzt werden. Der Umfang betroffener Unternehmen erweitert sich deutlich, von 2.000 auf über 30.000, zeigt ein aktueller Entwurf des NIS2-Umsetzungsgesetzes (NIS2UmsuCG).

Die Richtlinie verlangt explizit die Einhaltung von zehn Risikomanagementmaßnahmen im Bereich der Cybersicherheit. Doch erst 13,2 Prozent der Unternehmen in Deutschland haben ihr Risikomanagement entsprechend verbessert. Das zeigt eine Befragung von 250 IT-Entscheiderinnen und -Entscheidern durch das Marktforschungsinstitut Civey im Auftrag des eco Verbands. Nur 14,6 Prozent haben bereits Mitarbeitende sensibilisiert. 14,5 Prozent sagen, sie halten Sicherheitsanforderungen ein. 12,1 Prozent haben ein Notfall- und Krisenmanagement implementiert. Die Industriestandards ISO 27001 bzw. BSI IT-Grundschutz haben erst 7,1 Prozent eingeführt. Ein Drittel der IT-Entscheider in Deutschland gibt an, noch keine der genannten Maßnahmen umgesetzt zu haben. Als nicht auskunftsfähig bezeichnen sich 40,6 Prozent der Befragten und antworten mit weiß nicht.

Zehntausende Unternehmen in Deutschland fallen erstmals unter die EU-Regulierung

Der eco Verband rät betroffenen IT-Verantwortlichen dringend, sich jetzt schon auf die voraussichtlich ab Herbst geltenden, strengeren Anforderungen vorzubereiten. Dafür gibt er fünf Tipps:

• Implementieren Sie, falls noch nicht geschehen, ein Business Continuity Management (BCM): Investieren Sie jetzt in technische und organisatorische Werkzeuge, mit denen Sie den Betrieb vor Krisen und bedrohlichen Ausfällen schützen – und wenn doch etwas passiert, schnell und kontrolliert wiederherstellen.
• Managen Sie Ihre Cybersecurity-Risiken professionell und transparent: Analysieren Sie Ihre IT-Struktur – intern und bei Dienstleistern – und leiten Sie Schutzmaßnahmen ab, die dem Stand der Technik entsprechen. Das reicht von Systemen zur Angriffserkennung bis zur Cyberhygiene, die beispielsweise ausreichende Längen der Passwörter meint und sicher getrennte Netzwerksegmente.
• Prüfen Sie Ihre Lieferkettensicherheit: Wenn Sie Betreiber kritischer Anlagen sind, ist es Ihre Pflicht, die Compliance Ihrer Zulieferer, inklusive Softwarehersteller und Infrastruktur-Provider sicherzustellen. Und das nicht nur bei Cloud- und Service-Anbietern, sondern schon bei der Beschaffung, Entwicklung und Wartung Ihrer informationstechnischen Systeme.
• Installieren Sie einen ganzheitlichen IT-Grundschutz: Neben technischen Aspekten werden auch infrastrukturelle, organisatorische und personelle Themen betrachtet. Dazu zählen Verfahren für den Einsatz von Kryptographie und alle Maßnahmen, die IT-Sicherheitsrisiken durch den Faktor Mensch reduzieren. Nutzen Sie Multifaktor-Authentisierung und gesicherte Kommunikationssysteme, auch für den Notfall: ausgedruckte Notfallhandbücher und klassische Funkgeräte sind ein Segen, wenn Ihre IT komplett ausfällt.
• Training, Schulung und Sensibilisierung: Befähigen Sie Ihre Belegschaft und die Leitungsorgane, stärken Sie das Bewusstsein für Sicherheitsrisiken. Besonders gefährdete Zielgruppen sollten mit Social Engineering und anderen, nicht immer IT-bezogenen Gemeinheiten vertraut gemacht werden, bevor sich zum Beispiel eine KI-verfremdete Stimme am Telefon erfolgreich als CEO ausgeben kann.