Umfrage: KRITIS-Betreiber übersehen NIS-2

Eine im vergangenen Jahr von Censuswide im Auftrag von Veeam durchgeführte Umfrage bei über 500 europäischen IT-Experten macht deutlich, dass kaum mehr als ein Drittel der Unternehmen voll NIS2-konform aufgestellt ist. Das betrifft auch KRITIS-Betreiber.

Ein Bild, das Menschliches Gesicht, Person, Kleidung, Mann enthält. KI-generierte Inhalte können fehlerhaft sein.

Alarmierende Befragungsergebnisse: Matthias Frühauf ist Regional Vice President EMEA Central bei Veeam

Veeam ließ Verantwortliche in Deutschland, Belgien, Frankreich, den Niederlanden und dem Vereinigten Königreich – einem Nicht-EU-Mitgliedstaat, der aufgrund seiner Geschäftskontakte mit EU-Ländern erheblich von NIS2 beeinflusst wird – befragen. Deutlich wurde ein eklatanter Abstand zwischen Anspruch und Wirklichkeit: 70 Prozent der befragten Firmen gaben an, dass sie sich gut auf die neue EU-Richtlinie vorbereitet fühlen. Doch nur 37 Prozent von ihnen sind nach eigener Angabe tatsächlich konform zur NIS2 aufgestellt. Im Klartext: Bei vielen Betrieben und Organisationen herrscht immer noch ein recht laxer Umgang mit der Cyber-Sicherheit vor. Das ist ganz besonders im KRITIS-Bereich bedenklich.

Die Erhebung förderte auch bedenkliche Zahlen zu Sicherheitsvorfällen zu Tage: 87 Prozent der Befragten räumten ein, dass sie in den vergangenen zwölf Monaten mindestens einen Vorfall erlebt haben, der durch NIS2-Maßnahmen vermeidbar gewesen wäre. Mehr als ein Drittel – konkret 38 Prozent – berichtet sogar von drei bis vier solcher Vorfälle. Wenn zudem 57 Prozent dieser Vorfälle als "hochgradig kritisch" eingestuft werden, verdeutlicht dies die dramatische Bedrohungslage für deutsche Unternehmen.

Wachsende Ansprüche, sinkende Budgets

Die aktuelle Budget-Entwicklung steht der Befragung zufolge konträr zur Bedrohungslage: 44 Prozent der IT-Sicherheitsverantwortlichen berichten von Kürzungen, weitere 22 Prozent von stagnierenden Budgets seit der NIS2-Ankündigung im Januar 2023. Datenresilienz und damit Cyber-Sicherheit werden demnach gerade im führenden Management noch immer als optionaler Kostenfaktor statt als geschäftskritische Investition gewertet.

Die technischen Herausforderungen sind zahlreich: 26 Prozent der Befragten nennen veraltete Technologien als Haupthindernis auf dem Weg zur NIS2-Compliance, gefolgt von fehlendem Budget (24 Prozent) und organisatorischen Silos (23 Prozent). Am meisten beunruhigen sollte es Führungskräfte jedoch, wenn das eigene Unternehmen nicht über die sogenannte "letzte Verteidigungslinie" verfügt: nur 23 Prozent der befragten Sicherheitsexperten haben fortgeschrittene Backup-Verfahren implementiert, die multiple, unveränderliche und offline gespeicherte Sicherungen anlegen und im Notfall so das Tagesgeschäft aufrechterhalten. Veeam warnt: In Zeiten zunehmender Ransomware-Attacken und Betriebsausfälle durch Malware-Infektionen sei es schlicht existenzgefährdend, wenn Backup- und Recovery-Maßnahmen fehlten.

Skeptische deutsche Unternehmen

Ebenfalls bedenklich: Nur 51 Prozent der deutschen Befragten glauben, dass die NIS2-Richtlinie Unternehmen in ihrer Widerstandsfähigkeit gegen Ransomware stärken wird – der niedrigste Wert im internationalen Vergleich. 14 Prozent befürchten sogar eine Verschlechterung ihrer Cyber-Sicherheit.

Persönlich haftbare Manager

Viele Verantwortliche übersehen dabei einen wichtigen Aspekt: Die NIS2-Richtlinie macht Geschäftsführer und Vorstände bei Datenschutzverletzungen persönlich haftbar. Neben empfindlichen Geldstrafen drohen massive Reputationsschäden, Vertrauensverlust bei Kunden und Geschäftsausfälle. Die Tatsache, dass 88 Prozent der IT-Verantwortlichen bereits externe Hilfe in Form von Audits, Beratern oder IT-Dienstleistern in Anspruch genommen haben, unterstreicht die Komplexität der Anforderungen.

Unternehmen stehen dabei vor multiplen Herausforderungen: Neben NIS2 nennen sie Profitabilität (29 Prozent), Fachkräftemangel (22 Prozent) und weitere Compliance-Anforderungen wie DSGVO, den Cyber Resilience Act (CRA) oder DORA (22 Prozent) als wesentliche Druckfaktoren.

Veeam appelliert angesichts der Ergebnisse an die Unternehmen, ihre Zurückhaltung zu hinterfragen. Der Handlungsbedarf sei dringend, die Risiken seien real, robuste Lösungen seien verfügbar. Deshalb seien aktuell mutige Entscheidungen und konsequentes Handeln auf Führungsebene gefragt. Data Intelligence sollte das Leitmotiv sein, die eigene Ausfallsicherheit deutlich zu verbessern.