Wenige Unternehmen in Deutschland sind auf NIS2 vorbereitet

Die NIS2-Richtlinie legt Kriterien fest, um Betreiber kritischer Anlagen und andere regulierte Einrichtungen zu identifizieren und nennt Mindeststandards für deren Informationssicherheit. Bis zum 17. Oktober 2024 soll sie, nach aktuellem Stand, in deutsches Recht umgesetzt werden. Der Umfang betroffener Unternehmen erweitert sich deutlich, von 2.000 auf über 30.000, zeigt ein aktueller Entwurf des NIS2-Umsetzungsgesetzes (NIS2UmsuCG).

40 Prozent sind nicht auskunftsfähig

Die Richtlinie verlangt explizit die Einhaltung von zehn Risikomanagementmaßnahmen im Bereich der Cybersicherheit. Doch erst 13,2 Prozent der Unternehmen in Deutschland haben ihr Risikomanagement entsprechend verbessert. Das zeigt eine Befragung von 250 IT-Entscheidern durch das Marktforschungsinstitut Civey im Auftrag des eco Verbands. Nur 14,6 Prozent haben bereits Mitarbeitende sensibilisiert. 14,5 Prozent sagen, sie halten Sicherheitsanforderungen ein. 12,1 Prozent haben ein Notfall- und Krisenmanagement implementiert. Die Industriestandards ISO 27001 bzw. BSI IT-Grundschutz haben erst 7,1 Prozent eingeführt. Ein Drittel der IT-Entscheider in Deutschland gibt an, noch keine der genannten Maßnahmen umgesetzt zu haben. Als nicht auskunftsfähig bezeichnen sich 40,6 Prozent der Befragten und antworten mit weiß nicht.

Persönlichen Haftung der Leitungsorgane

„Es ist beunruhigend, wie viele der IT-Verantwortlichen die kommenden gesetzlichen Anforderungen an ihre IT-Sicherheit offenbar noch nicht auf dem Schirm haben“, sagt Ulrich Plate, Leiter der eco Kompetenzgruppe KRITIS. „Dabei werden durch die NIS2 zehntausende Unternehmen allein in Deutschland erstmals unter die europaweite Regulierung der Cybersicherheit fallen.“

Angesichts doppelt so vieler betroffener Sektoren wie bisher, erheblich verschärften Bußgeldern und einer persönlichen Haftung der Leitungsorgane bei Verstößen, könne man erwarten, dass sich viel mehr Entscheidungsträger ihrer Verantwortung bewusst seien. „Die NIS2 kommt auf jeden Fall, und Compliance mit gesetzlichen Vorgaben ist kein Opt-in-Verfahren“, sagt Plate. „Bei der Einführung der Datenschutzgrundverordnung vor sechs Jahren war die Kenntnis weiterverbreitet, dass es sich hier nicht um freiwillige Mehrleistung handelt.“

Ulrich Plate rät IT-Verantwortlichen dringend, sich jetzt schon auf die voraussichtlich ab Herbst geltenden, strengeren Anforderungen vorzubereiten. Platz rät Unternehmen:

• Business Continuity Management (BCM) implementieren

Mit technischen und organisatorischen Werkzeuge lässt sich der Betrieb vor Krisen und bedrohlichen Ausfällen schützen – und wenn doch etwas passiert, schnell und kontrolliert wiederherstellen.

• Cybersecurity-Risiken professionell und transparent zu managen

Dazu sollten Betrieb ihre IT-Struktur – intern und bei Dienstleistern – analysieren und Schutzmaßnahmen einleiten, die dem Stand der Technik entsprechen. Das reicht von Systemen zur Angriffserkennung bis zur Cyberhygiene, die beispielsweise ausreichende Längen der Passwörter meint und sicher getrennte Netzwerksegmente.

• Lieferkettensicherheit zu überprüfen

Für Betreiber kritischer Anlagen ist es Pflicht, die Compliance der Zulieferer, inklusive Softwarehersteller und Infrastruktur-Provider sicherzustellen. Und das nicht nur bei Cloud- und Service-Anbietern, sondern schon bei der Beschaffung, Entwicklung und Wartung Ihrer informationstechnischen Systeme.

• Ganzheitlichen IT-Grundschutz zu installieren

Neben technischen Aspekten werden auch infrastrukturelle, organisatorische und personelle Themen betrachtet. Dazu zählen Verfahren für den Einsatz von Kryptographie und alle Maßnahmen, die IT-Sicherheitsrisiken durch den Faktor Mensch reduzieren. Nutzen Sie Multifaktor-Authentisierung und gesicherte Kommunikationssysteme, auch für den Notfall: ausgedruckte Notfallhandbücher und klassische Funkgeräte sind ein Segen, wenn die IT komplett ausfällt.

• Training, Schulung und Sensibilisierung

Belegschaft und die Leitungsorgane befähigen, Bewusstsein für Sicherheitsrisiken stärken. Besonders gefährdete Zielgruppen sollten mit Social Engineering und anderen, nicht immer IT-bezogenen Gemeinheiten vertraut gemacht werden, bevor sich zum Beispiel eine KI-verfremdete Stimme am Telefon erfolgreich als CEO ausgeben kann.