NIS2 für mehr IT-Sicherheit: Viele Unternehmen sind noch nicht gut vorbereitet

Zwei Drittel der von der NIS2-Richtlinie der EU betroffenen Unternehmen hinken mit der Umsetzung hinterher, hat eine aktuelle Studie des Marktforschers TechConsult und des Telekommunikationsanbieters Plusnet gefunden. Befragt wurden im Juni 2024 IT-Leiter, Sicherheitsverantwortliche und Geschäftsführer von 200 Unternehmen und Organisationen ab 50 Mitarbeitenden aus den Sektoren, die der NIS2-Richtlinie unterliegen.

NIS2 verpflichtet rund 30.000 Unternehmen in Deutschland, darunter auch viele Mittelständler, zu verstärkten Bemühungen bei der IT-Sicherheit. Dabei ist eine Menge zu tun: NIS2 verlangt unter anderem die Einführung eines Informationssicherheitsmanagementsystems (ISMS), technische Maßnahmen zur Erhöhung der Cybersicherheit, Sicherheit in der Lieferkette, die Implementierung von Notfallplänen und Risikomanagement, Business Continuity Management, Schulungen der Mitarbeiter und umfassende Dokumentation.

Was schon gemacht ist – und was nicht

Lediglich 29 Prozent der Unternehmen gaben an, bereits alle erforderlichen technischen Sicherheitsmaßnahmen umgesetzt zu haben, weitere 32 Prozent teilweise. Während bereits die Hälfte oder mehr der Befragten Datenverschlüsselung, Backup-Software, ein Security Information and Event Management (SIEM) und ein Update- und Patchmanagement über eine zentrale Softwareverwaltung nutzen, setzen bislang weniger als ein Drittel die von NIS2 geforderten Angriffssimulationen ein. Verpflichtende Sicherheitsschulungen gibt es nur bei 42 Prozent der Unternehmen. 22 Prozent verfügen noch nicht über Mechanismen, um Sicherheitsvorfälle zu erkennen, zu melden und angemessen darauf zu reagieren.

Dabei sind sich die Unternehmen der Gefahren durch Cyberangriffe durchaus bewusst: Drei Viertel der Befragten erlebten in den 12 Monaten vor der Befragung bereits mindestens einen Angriff auf ihre IT-Infrastruktur. Zwei Drittel gehen davon aus, dass die Zahl der Angriffe in Zukunft zunimmt. So halten denn auch immerhin 38 Prozent der befragten Unternehmen die NIS2-Richtlinie für lange überfällig. Die Studie steht gegen Angabe der persönlichen Daten zum Download zur Verfügung.

Bis zum 17. Oktober 2024 müsste Deutschland die NIS-Richtlinie der EU zur Stärkung der Cyberresilienz in nationales Recht umgesetzt haben. Der aktuelle Entwurf des "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes" ist bereits vom Kabinett verabschiedet. In Kraft treten wird es wohl erst im Frühjahr 2025, nachdem der Bundesrat gehört wurde und der Bundestag zugestimmt hat.

Online-Konferenz: NIS2 – was jetzt zu tun ist

Am 5. November erklären renommierte IT-Recht- und Sicherheitsfachleute, welche Unternehmen von NIS2 betroffen sind, was genau NIS2 und das deutsche NIS2-Umsetzungsgesetz fordern und welche Maßnahmen mit welchen Fristen umzusetzen sind. Weitere Themen sind das Zusammenspiel von NIS2 mit etablierten Sicherheitskonzepten wie ISO 27001 und IT-Grundschutz, die Auswirkungen der Richtlinie auf die Incident Response sowie die Bedeutung von NIS2 für Zulieferer und Dienstleister. Dabei ist viel Raum für die Fragen der Teilnehmenden.

Weitere Informationen und Anmeldung unter https://nis2.heise.de

(odi)