Unternehmen noch nicht ausreichend auf NIS2-Richtlinie vorbereitet

Kassel/Köln, 26.09.2024: Die Europäische Union hat als Antwort auf den deutlichen Anstieg von Cyberangriffen die NIS2-Richtlinie verabschiedet. Diese überarbeitete Richtlinie verfolgt das Ziel, ein einheitlich hohes Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu gewährleisten. Zudem fallen deutlich mehr Unternehmen und Organisationen unter die Regulierung, die für das gesellschaftliche System wichtig sind. Die Mehrheit der Unternehmen, die NIS2 unterliegen, fühlt sich jedoch noch nicht ausreichend für die Umsetzung der neuen EU-Richtlinie für Cybersicherheit gewappnet. Das ist ein zentrales Ergebnis der aktuellen Studie “NIS2 Readiness in deutschen Unternehmen”, die von techconsult im Auftrag von Plusnet durchgeführt wurde.

Die Studienergebnisse belegen, dass die Umsetzung der in NIS2 geforderten Maßnahmen bei vielen Unternehmen noch nicht abgeschlossen ist. Nur 29 Prozent der befragten Unternehmen gaben zum Zeitpunkt der Studie an, Cybersicherheitsmaßnahmen vollständig umgesetzt zu haben, weitere 32 Prozent teilweise. Auch bei den vorgeschriebenen Cybersicherheitsschulungen für Mitarbeitende besteht Nachholbedarf. Erst 30 Prozent der Unternehmen bieten diese bisher verpflichtend an. Besonders im Bereich des Vorfall- und Krisenmanagements weisen Unternehmen und Organisationen Defizite auf. 22 Prozent der Unternehmen müssen noch Mechanismen einführen, um Sicherheitsvorfälle zu erkennen, zu melden und angemessen darauf zu reagieren. Nur 46 Prozent der Unternehmen gehen davon aus, bis Mitte Oktober die Anforderungen noch erfüllen zu können.

In den vergangenen zwölf Monaten waren 75 Prozent der befragten Unternehmen von Cyberangriffen betroffen. 67 Prozent der Unternehmen erwarten eine weitere Zunahme der Cyberbedrohungen in Zukunft. Umso wichtiger ist es, durch die Umsetzung der NIS2-Richtlinie für mehr Cybersicherheit zu sorgen. Sie trägt dazu bei, das Bewusstsein für IT-Sicherheit in den Unternehmen zu schärfen. Durch umfassende Sicherheitsvorkehrungen und regelmäßige Risikoanalysen soll das Thema IT-Sicherheit stärker in den Führungsetagen und bei den Mitarbeitern verankert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt vor, dass die EU-Mitgliedstaaten die NIS2-Richtlinie bis Oktober 2024 in nationales Recht überführen müssen.

Obwohl die Unternehmen bei der Umsetzung der NIS2-Richtlinie bereits Fortschritte erzielt haben, stehen sie weiterhin vor zahlreichen Herausforderungen. Als größte Herausforderung bei der Umsetzung der NIS2-Richtlinie sehen die Unternehmen den Mangel an qualifizierten IT-Fachkräften (41 Prozent). Viele Sicherheitsvorfälle lassen sich auf menschliches Fehlverhalten zurückführen, wie das Öffnen von Phishing-E-Mails, die Nutzung schwacher Passwörter oder das Ignorieren von Sicherheitsprotokollen. 34 Prozent der Unternehmen sehen Schwächen im Sicherheitsbewusstsein ihrer Mitarbeitenden. Weitere Hürden sind der straffe Zeitplan (33 Prozent), eine fehlende Orientierung zu den konkreten Anforderungen (33 Prozent) sowie die Einhaltung der hohen Standards (29 Prozent).

Um die Vorgaben der NIS2-Richtlinie zu erfüllen, wollen 84 Prozent der Unternehmen ihr Security-Budget erhöhen, im Durchschnitt um zehn Prozent. Künftige Investitionsschwerpunkte sind Schulungen zur Sensibilisierung der Mitarbeitenden, die Durchführung von Security Awareness Trainings sowie der Einsatz von Sicherheitstechnologien wie KI-basierte Bedrohungserkennung.
Auch wenn die Umsetzung der NIS2-Richtlinie vielen Unternehmen Schwierigkeiten bereitet, dürfen die erforderlichen Investitionen nicht ausschließlich als Kostenfaktor gesehen werden. Vielmehr eröffnet NIS2 die Möglichkeit, die Cyber-Resilienz zu verbessern, Geschäftsprozesse zu optimieren und das Vertrauen von Kunden und Partnern zu stärken.

Die vollständigen Ergebnisse der Studie “NIS2 Readiness in deutschen Unternehmen” stehen unter https://www.plusnet.de/studie-umsetzung-nis2-in-deutschland zum Download bereit.

Die Studie „NIS2 Readiness in deutschen Unternehmen“ wurde von der techconsult GmbH im Auftrag von Plusnet konzipiert und durchgeführt. 200 Unternehmen und Organisationen ab 50 Mitarbeitenden aus Sektoren, die der NIS2-Richtlinie unterliegen, wurden zu Auswirkungen von NIS2 befragt. Die Befragung erfolgte über einen Online-Fragebogen. Ansprechpartner*innen waren IT-Leiter, IT-Security-Verantwortliche, Informationssicherheits-/IT-Sicherheitsbeauftragte sowie Geschäftsführer.

Die Plusnet GmbH, eine Tochtergesellschaft der EnBW, ist ein deutsches Telekommunikationsunternehmen mit Fokus auf Geschäftskunden. Plusnet betreibt eine eigene, bundesweite Netzinfrastruktur und verfügt über jahrzehntelange Erfahrung im Betrieb unterschiedlicher Breitband-Technologien. Auf Basis ihres umfassenden Know-hows stellt die Plusnet Gruppe mehr als 40.000 Geschäftskunden jeder Größenordnung zuverlässige und hochsichere Sprach- und Datendienste zur Verfügung. Seit 2021 treibt das Unternehmen den Umstieg auf die Zukunftstechnologie Glasfaser voran – durch eigenwirtschaftlichen Ausbau sowie bundesweite Netz-Kooperationen. Darüber hinaus agiert Plusnet als Vermittler zukunftssicherer Glasfasernetze: Über die Glasfaser-Plattform Netbridge können Partner eigene Netze besser auslasten oder zusätzliche Reichweite für eigene Services gewinnen. Das Unternehmen mit Sitz in Köln beschäftigt rund 500 Mitarbeiterinnen und Mitarbeiter an insgesamt zehn deutschen Standorten.

Verena Bunk
Senior Analyst
techconsult GmbH
The IT Market Analysts
Baunsbergstr. 37
34131 Kassel
Tel.: +49-561-8109-141
E-Mail: verena.bunk@techconsult.de

Nancy Weddig
Public Relations
techconsult GmbH
The IT Market Analysts
Baunsbergstr. 37
34131 Kassel
Tel.: +49-561-8109-140
E-Mail: nancy.weddig@techconsult.de

Dennis Knake
Senior Manager Unternehmenskommunikation
Plusnet GmbH | Ein Unternehmen der EnBW
Rudi-Conin-Str. 5a
50829 Köln
Tel.: +49-0221-77197-545
E-Mail: dennis.knake@plusnet.de