Breite Uninformiertheit über NIS-2

Laut der Studie "Cybersicherheit in Zahlen" von G Data Cyber Defense wissen weiterhin mehr als drei von fünf Mitarbeitenden in Unternehmen nicht, ob ihre Firma von der Netzwerk- und Informationssicherheits-Richtlinie der EU (kurz NIS-2-Richtlinie) betroffen ist.

Andreas Lüning ist Mitgründer und Vorstand der G Data Cyber Defense AG

Eigentlich sollte die NIS-2-Richtlinie längst in nationales Recht umgewandelt sein. In Deutschland und auch anderen EU-Ländern verzögert sich das Gesetzgebungsverfahren allerdings deutlich. Damit sinkt offenbar das Interesse in den Unternehmen und Wissen um NIS-2 lässt vielerorts zu wünschen übrig.

Tatsächlich führt die EU-Richtlinie dazu, dass deutlich mehr Unternehmen gesetzlich zu mehr IT-Sicherheit verpflichtet sind. Hinzu kommt: Nicht nur NIS-2 zielt auf ein höheres IT-Sicherheitsniveau in der Wirtschaft. Auch der Cyber Resilience Act oder branchenspezifische Vorgaben sorgen dafür, dass in vielen Firmen IT-Security in den Mittelpunkt rückt. Bei vielen Angestellten sind die Vorgaben aber noch nicht angekommen. Nur jeder fünfte Mitarbeitende beantwortet die Frage, ob das eigene Unternehmen von NIS-2 betroffen ist, mit Ja. Mehr als 60 Prozent der Befragten weiß nicht, ob der eigene Betrieb künftig die Vorgaben erfüllen muss.

"Wer wartet, bis das Gesetzgebungsverfahren für die NIS-2-Umsetzung abgeschlossen ist, handelt fahrlässig und gefährdet die IT-Sicherheit des Unternehmens", warnt G Data CyberDefense-Vorstand Andreas Lüning. "Das Implementieren des geforderten Information Security Management Systems ist ein Prozess, der viele Ressourcen erfordert. Hinzu kommt, dass es keine One-Size-Fits-All-Lösung gibt."

Absicherung der gesamten Lieferkette

Rund 30.000 Unternehmen in Deutschland sind von den Vorgaben der NIS-2-Richtlinie direkt betroffen. Und damit deutlich mehr als durch andere Regularien. Auch hier zeigt die Studie von G Data, dass viele Arbeitnehmende immer noch schlecht informiert sind: Fast 40 Prozent der Befragten geben an, dass ihr Unternehmen zu einer Branche gehört, die von NIS-2 nicht betroffen ist. Jede und jeder Dritte gibt zudem an, dass die eigene Firma die Vorgaben anderer IT-Sicherheitsrichtlinien erfüllt. Mehr als 22 Prozent sehen die geringe Unternehmensgröße als Grund dafür, dass der Betrieb nicht unter NIS-2 fällt. Dabei vergessen viele, dass zahlreiche Firmen auch indirekt von NIS-2 betroffen sein werden, denn die Direktive fordert eine Absicherung der gesamten Lieferkette. So sind auch Unternehmen aus anderen Branchen oder kleinere Betriebe zur Umsetzung gezwungen.

Von NIS-2 betroffene Unternehmen

Anhand von zwei Kriterien können Unternehmen prüfen, ob sie unmittelbar von der NIS-2-Richtlinie betroffen sind.

1. Kriterium: Die Unternehmensgröße
- mindestens 50 Mitarbeitende
- Jahresumsatz/Jahresbilanz übersteigt 10 Millionen Euro

2. Kriterium: Der Unternehmenssektor
In der NIS-2 gibt es elf "wesentliche" und sieben "wichtige" Sektoren. Erfüllt ein Unternehmen die Kriterien der Unternehmensgröße und ist in einem der Sektoren tätig, so unterliegt es der NIS-2.

Wesentliche Sektoren:

Wichtige Sektoren: