NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber

Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

[datensicherheit.de, 20.01.2025] Laut einer aktuellen Veeam-Studie zur NIS-2-Richtlinie zeichnet sich „ein ernüchterndes Bild der IT-Sicherheitslage in deutschen Unternehmen“ ab: Während sich 70 Prozent der befragten Firmen gut auf die neue EU-Richtlinie vorbereitet fühlten, seien nur 37 Prozent von ihnen nach eigener Angabe tatsächlich konform zur NIS-2. Diese eklatante Diskrepanz zwischen Selbstwahrnehmung und Realität sei bezeichnend für den oftmals leider noch zu laxen Umgang vieler Organisationen mit Cyber-Sicherheit und vor allem im KRITIS-Bereich bedenklich.

Foto: Veeam

Matthias Frühauf adressiert angesichts NIS-2 die zwingende Notwendigkeit eines umfassenden Ansatzes für Datenresilienz

87 Prozent hatten in den vergangenen zwölf Monaten mindestens einen durch NIS-2-Maßnahmen vermeidbaren Vorfall

Matthias Frühauf, „Regional Vice President EMEA Central“ bei Veeam, kommentiert: „Auch die Zahlen zu Sicherheitsvorfällen sind alarmierend: 87 Prozent der Teilnehmer räumen ein, dass sie in den vergangenen zwölf Monaten mindestens einen Vorfall erlebt haben, der durch NIS-2-Maßnahmen vermeidbar gewesen wäre.“ Mehr als ein Drittel – konkret 38 Prozent – berichte sogar von drei bis vier solcher Vorfälle. Wenn zudem 57 Prozent dieser Vorfälle als „hochgradig kritisch“ eingestuft würden, verdeutliche dies die dramatische Bedrohungslage für deutsche Unternehmen.

Geradezu fahrlässig erscheine vor diesem Hintergrund die aktuelle Budget-Entwicklung: „44 Prozent der IT-Sicherheitsverantwortlichen berichten von Kürzungen, weitere 22 Prozent von stagnierenden Budgets seit der NIS2-Ankündigung im Januar 2023.“ Diese Zahlen offenbarten ein gefährliches Missverständnis auf Führungsebene: „Datenresilienz und damit Cyber-Sicherheit werden noch immer als optionaler Kostenfaktor statt als geschäftskritische Investition in die Wettbewerbsfähigkeit des Unternehmens gewertet.“

Veraltete Technologien als Haupthindernis auf dem Weg zur NIS-2-Compliance

Die technischen Herausforderungen seien dabei zahlreich: „26 Prozent der Befragten nennen veraltete Technologien als Haupthindernis auf dem Weg zur NIS-2-Compliance, gefolgt von fehlendem Budget (24%) und organisatorischen Silos (23%).“

Am meisten beunruhigen sollte es Führungskräfte jedoch, wenn das eigene Unternehmen nicht über die sogenannte „letzte Verteidigungslinie“ verfüge: Nur 23 Prozent der befragten Sicherheitsexperten hätten fortgeschrittene Backup-Verfahren implementiert, die multiple, unveränderliche und offline gespeicherte Sicherungen anlegten und im Notfall so das Tagesgeschäft aufrechterhielten. In Zeiten zunehmender Ransomware-Attacken und Betriebsausfälle durch Malware-Infektionen sei es schlicht existenzgefährdend, „wenn Backup- und Recovery-Maßnahmen fehlen“.

Mit der NIS-2-Richtlinie wird Cyber-Sicherheit zwangsläufig zum heißen Thema auf C-Level

Die verhaltenen Erwartungen an NIS-2 spiegelten außerdem eine besorgniserregende Grundhaltung wider: Nur 51 Prozent der deutschen Befragten glaubten, dass die Richtlinie Unternehmen in ihrer Widerstandsfähigkeit gegen Ransomware stärken werde – der niedrigste Wert im internationalen Vergleich. 14 Prozent befürchteten sogar eine Verschlechterung ihrer Cyber-Sicherheit. Diese Skepsis sei jedoch keine Legitimation, notwendige Investitionen aufzuschieben. Mit der NIS-2-Richtlinie werde Cyber-Sicherheit zwangsläufig zum heißen Thema auf C-Level, denn sie mache Geschäftsführer und Vorstände bei Datenschutzverletzungen persönlich haftbar.

Die Konsequenzen mangelnder Sicherheit seien weitreichend: Neben empfindlichen Geldbußen drohten massive Reputationsschäden, Vertrauensverlust bei Kunden und verheerende Geschäftsausfälle. „Die Tatsache, dass 88 Prozent der IT-Verantwortlichen bereits externe Hilfe in Form von Audits, Beratern oder IT-Dienstleistern in Anspruch genommen haben, unterstreicht die enorme Komplexität der Anforderungen.“

Verbleibende Zeit bis zur NIS-2-Deadline zwingend für grundlegende Überprüfung und Neuausrichtung der Datenresilienz-Strategie nutzen!

„Unternehmen stehen dabei vor multiplen Herausforderungen: Neben NIS-2 nennen sie Profitabilität (29%), Fachkräftemangel (22%) und weitere Compliance-Anforderungen wie DSGVO, den ,Cyber Resilience Act’ (CRA) oder DORA (22%) als wesentliche Druckfaktoren.“ Dies verdeutliche die zwingende Notwendigkeit eines umfassenden Ansatzes für Datenresilienz, der sowohl technische als auch organisatorische und regulatorische Anforderungen vereine.

„Die verbleibende Zeit bis zur NIS-2-Deadline muss zwingend für eine grundlegende Überprüfung und Neuausrichtung der Datenresilienz-Strategie genutzt werden!“, betont Frühauf. Er führt hierzu weiter aus: „Die Implementierung moderner Backup- und Recovery-Lösungen, die Schulung von Mitarbeitern, die Auflösung organisatorischer Silos und eine Infrastruktur, die flexible Datenportabilität ermöglicht, sind dabei nicht verhandelbar!“ Die Investitionen in präventive Maßnahmen verblassten gegenüber den potenziellen Schäden eines erfolgreichen Cyber-Angriffs. Datenresilienz sei nun ein Grundpfeiler unternehmerischer Existenzsicherung im Digitalen Zeitalter. Abschließend gibt Frühauf zu bedenken: „Der Handlungsbedarf ist dringend, die Risiken sind real, doch robuste Lösungen sind verfügbar. Jetzt sind mutige Entscheidungen und konsequentes Handeln auf Führungsebene gefragt. ,Data Intelligence’ sollte das Leitmotiv sein, die eigene Ausfallsicherheit deutlich zu verbessern.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2024
Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an / Ende der „Ampel“-Koalition darf nicht zur weiteren Verzögerung führen

datensicherheit.de, 19.11.2024
Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren / Bisher offenbar nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf NIS-2-Richtlinie vorbereitet

datensicherheit.de, 14.11.2024
NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland / Trotz unklarer Vorgaben erwarten 64 Prozent bis zum Jahresende 2024 NIS-2- Umsetzung ihres Unternehmens