Unternehmen hinken mit NIS-2-Umsetzung hinterher

Noch ist NIS-2 in Deutschland nicht offiziell in Kraft. Die ursprüngliche EU-Frist vom 17. Oktober 2024 ist allerdings längst verstrichen. Bei der Umsetzung steht einer aktuellen Befragung zufolge jedes vierte Unternehmen erst am Anfang oder es hat noch gar nicht damit angefangen.

Andreas Lüning verantwortet als Vorstand alle technischen Ressorts der G Data CyberDefense AG (Foto: G Data)

Deutschland und mehrere, andere EU-Staaten haben die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) noch immer nicht final in ein bundesdeutsches Gesetzeswerk einfließen lassen. Aktuell ist davon auszugehen, dass NIS-2 in Deutschland Anfang 2026 in Kraft tritt. Unabhängig vom verzögerten, deutschen Gesetzgebungsprozess haben zahlreiche Unternehmen früh damit begonnen, die regulatorischen EU-Vorgaben zu implementieren.

Der von G Data CyberDefense, Statista und Brand Eins in Auftrag gegebenen repräsentativen Studie "Cybersicherheit in Zahlen" zufolge haben aktuell rund 63 Prozent der befragten Unternehmen mit der NIS-2-Umsetzung begonnen oder befinden sich mitten im Prozess. Ein Achtel der Betriebe hat die Richtlinie bereits vollständig implementiert. Bei jedem fünften Befragten befindet sich das Unternehmen in der finalen Umsetzungsphase. Doch es gibt auch eine hohe Anzahl von Verspäteten: Jedes vierte Unternehmen steht erst am Anfang der Umsetzung oder hat noch gar nicht damit begonnen.

Begrenzte Ressourcen bremsen

Für die repräsentative Studie "Cybersicherheit in Zahlen" wurden über 5.000 Arbeitnehmerinnen und Arbeitnehmer in Deutschland online im beruflichen und privaten Kontext befragt. Nach Einschätzung von Andreas Lüning, Vorstand bei der G Data CyberDefense AG, sollten die betroffenen Betriebe nicht mehr länger zögern, das Projekt NIS-2 in Angriff zu nehmen. "Viele Unternehmen befinden sich derzeit noch in der Planungsphase. Ein wichtiger Schritt, aber einer, der zeigt, wie entscheidend es jetzt ist, ins Handeln zu kommen", sagt Lüning. "Gerade kleinere Betriebe stehen vor der Aufgabe, ihre begrenzten Ressourcen gezielt einzusetzen."

Nachzügler geraten unter Zeitdruck

Die NIS-2-Richtlinie führt ein risikobasiertes Cybersecurity-Management ein und stellt klare Anforderungen an die Governance. IT-Verantwortliche müssen technische Maßnahmen implementieren und auch nachweisen, dass die IT-Sicherheitsstrategie in der Unternehmensführung verankert ist. Es geht im Wesentlichen um die Stärkung der Informationssicherheit auf betrieblicher Ebene. Die NIS-2-Richtlinie betrifft mehrere zehntausend Unternehmen in Deutschland und umfasst insgesamt 18 Wirtschaftssektoren, von denen 11 als "Sektoren von hoher Kritikalität" eingestuft werden. Dazu gehören unter anderem die Bereiche Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Abwasserentsorgung und Anbieter digitaler Dienste.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden