NIS2-Richtlinie & wie es um die Vorbereitung steht

NIS2-Umfrage in Deutschland: Die vielen Baustellen der KRITIS-Betreiber
NIS2-Compliance: Wo es bei deutschen KRITIS-Organisationen noch hapert

Von Matthias Frühauf, Regional Vice President EMEA Central bei Veeam Software

Eine aktuelle Veeam-Studie zur NIS2-Richtlinie zeichnet ein ernüchterndes Bild der IT-Sicherheitslage in deutschen Unternehmen. Während sich 70 Prozent der befragten Firmen gut auf die neue EU-Richtlinie vorbereitet fühlen, sind nur 37 Prozent von ihnen nach eigener Angabe tatsächlich konform zur NIS2. Diese eklatante Diskrepanz zwischen Selbstwahrnehmung und Realität ist bezeichnend für den oftmals leider noch zu laxen Umgang vieler Organisationen mit Cyber-Sicherheit und vor allem im KRITIS-Bereich bedenklich.

Auch die Zahlen zu Sicherheitsvorfällen sind alarmierend: 87 Prozent der Teilnehmer räumen ein, dass sie in den vergangenen zwölf Monaten mindestens einen Vorfall erlebt haben, der durch NIS2-Maßnahmen vermeidbar gewesen wäre. Mehr als ein Drittel – konkret 38 Prozent – berichtet sogar von drei bis vier solcher Vorfälle. Wenn zudem 57 Prozent dieser Vorfälle als "hochgradig kritisch" eingestuft werden, verdeutlicht dies die dramatische Bedrohungslage für deutsche Unternehmen. Geradezu fahrlässig erscheint vor diesem Hintergrund die aktuelle Budget-Entwicklung: 44 Prozent der IT-Sicherheitsverantwortlichen berichten von Kürzungen, weitere 22 Prozent von stagnierenden Budgets seit der NIS2-Ankündigung im Januar 2023. Diese Zahlen offenbaren ein gefährliches Missverständnis auf Führungsebene: Datenresilienz und damit Cyber-Sicherheit werden noch immer als optionaler Kostenfaktor statt als geschäftskritische Investition in die Wettbewerbsfähigkeit des Unternehmens gewertet.

Die technischen Herausforderungen sind dabei zahlreich: 26 Prozent der Befragten nennen veraltete Technologien als Haupthindernis auf dem Weg zur NIS2-Compliance, gefolgt von fehlendem Budget (24 Prozent) und organisatorischen Silos (23 Prozent). Am meisten beunruhigen sollte es Führungskräfte jedoch, wenn das eigene Unternehmen nicht über die sogenannte "letzte Verteidigungslinie" verfügt: nur 23 Prozent der befragten Sicherheitsexperten haben fortgeschrittene Backup-Verfahren implementiert, die multiple, unveränderliche und offline gespeicherte Sicherungen anlegen und im Notfall so das Tagesgeschäft aufrechterhalten. In Zeiten zunehmender Ransomware-Attacken und Betriebsausfälle durch Malware-Infektionen ist es schlicht existenzgefährdend, wenn Backup- und Recovery-Maßnahmen fehlen.

Die verhaltenen Erwartungen an NIS2 spiegeln außerdem eine besorgniserregende Grundhaltung wider: Nur 51 Prozent der deutschen Befragten glauben, dass die Richtlinie Unternehmen in ihrer Widerstandsfähigkeit gegen Ransomware stärken wird – der niedrigste Wert im internationalen Vergleich. 14 Prozent befürchten sogar eine Verschlechterung ihrer Cyber-Sicherheit. Diese Skepsis ist jedoch keine Legitimation, notwendige Investitionen aufzuschieben. Mit der NIS2-Richtlinie wird Cyber-Sicherheit zwangsläufig zum heißen Thema auf C-Level, denn sie macht Geschäftsführer und Vorstände bei Datenschutzverletzungen persönlich haftbar. Die Konsequenzen mangelnder Sicherheit sind weitreichend: Neben empfindlichen Geldstrafen drohen massive Reputationsschäden, Vertrauensverlust bei Kunden und verheerende Geschäftsausfälle. Die Tatsache, dass 88 Prozent der IT-Verantwortlichen bereits externe Hilfe in Form von Audits, Beratern oder IT-Dienstleistern in Anspruch genommen haben, unterstreicht die enorme Komplexität der Anforderungen.

Unternehmen stehen dabei vor multiplen Herausforderungen: Neben NIS2 nennen sie Profitabilität (29 Prozent), Fachkräftemangel (22 Prozent) und weitere Compliance-Anforderungen wie DSGVO, den Cyber Resilience Act (CRA) oder DORA (22 Prozent) als wesentliche Druckfaktoren. Dies verdeutlicht die zwingende Notwendigkeit eines umfassenden Ansatzes für Datenresilienz, der sowohl technische als auch organisatorische und regulatorische Anforderungen vereint.

Die verbleibende Zeit bis zur NIS2-Deadline muss zwingend für eine grundlegende Überprüfung und Neuausrichtung der Datenresilienz-Strategie genutzt werden. Die Implementierung moderner Backup- und Recovery-Lösungen, die Schulung von Mitarbeitern, die Auflösung organisatorischer Silos und eine Infrastruktur, die flexible Datenportabilität ermöglicht, sind dabei nicht verhandelbar. Die Investitionen in präventive Maßnahmen verblassen gegenüber den potenziellen Schäden eines erfolgreichen Cyber-Angriffs. Datenresilienz ist nun ein Grundpfeiler unternehmerischer Existenzsicherung im digitalen Zeitalter. Der Handlungsbedarf ist dringend, die Risiken sind real, doch robuste Lösungen sind verfügbar. Jetzt sind mutige Entscheidungen und konsequentes Handeln auf Führungsebene gefragt. Data Intelligence sollte das Leitmotiv sein, die eigene Ausfallsicherheit deutlich zu verbessern.

Über die Veeam NIS2-Umfrage
Censuswide führte diese Untersuchung im Auftrag von Veeam zwischen dem 29. August und dem 02. September 2024 durch. Die Umfrage umfasste über 500 IT-Experten und -Verantwortliche aus Deutschland, Belgien, Frankreich, den Niederlanden und dem Vereinigten Königreich – einem Nicht-EU-Mitgliedstaat, der aufgrund seiner Geschäftskontakte mit EU-Ländern erheblich von NIS2 beeinflusst wird. Im Rahmen der Umfrage wurde auf die demografischen Verhältnisse Acht gegeben, um sicherzustellen, dass für jeden Markt 50 Befragte aus mittelgroßen Unternehmen (50-249) und 50 Befragte aus großen Unternehmen (250+) stammen. Die Befragten stammten aus Branchen, die zu den wesentlichen und wichtigen Unternehmen gehören, die der NIS2-Richtlinie unterliegen. Die Studie war landesweit repräsentativ. (Veeam Software: ra)

eingetragen: 04.02.25
Newsletterlauf: 01.04.25

Veeam: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Studien