Cybersicherheit - wie Unternehmen von NIS2 profitieren

Die europäische Richtline „Network and Information Security Directive“ (NIS2) soll helfen, die Cybersicherheit und Resilienz von Unternehmen zu stärken. Welche Organisationen profitieren von den neuen Regularien?

Cyberbedrohungen sowie Angriffe auf Unternehmen und öffentliche Einrichtungen gehören heute zur Tagesordnung. In Deutschland wurde bereits jedes fünfte Unternehmen Opfer eines Cyberangriffs. Der Schaden durch Cyberangriffe beträgt 203 Millionen Euro pro Jahr, meldet die Bitkom. Um diesen Bedrohungen entgegenzuwirken, wurde am 27.12.2022 die Network and Information Security Directive (NIS2) auf Europa-Ebene erlassen, um die Cyber-Security und Resilienz in Unternehmen zu stärken.

Was ist die NIS2?

Bei der NIS2 handelt es sich um eine Richtlinie und nicht um eine Verordnung. Das heißt, alle EU-Staaten müssen diese Richtlinie bis zum 18. Oktober 2024 in nationales Recht überführen. Ziel ist, dass Organisationen einen Sicherheit-Mindeststandard nachweisen können. Dieser wird im Gesetz definiert und reicht von Richtlinien für Risiken und Informationssicherheit bis zur Prävention, Detektion und Bewältigung von Sicherheitsvorfällen.

Ein wichtiger Punkt und zunehmender Angriffsvektor ist das Supply-Chain-Management. Die Lieferkette ist ein beliebtes Ziel für Angreifer, da Lieferanten oder Partner oft Zugriff auf die IT-Systeme der belieferten Unternehmen haben. Daher ist es wichtig, dass auch Partner oder Lieferanten den NIS2-Auflagen unterworfen werden und diese umsetzen. Durch die Erweiterung des Anwendungsbereichs unterliegen mehr Organisationen und Sektoren – darunter kleine Unternehmen und digitale Plattformen – der NIS2.

NIS2 ist ein Aufwandstreiber

Realistisch betrachtet, kann die Umsetzung der Sicherheitsmaßnahmen nicht eingehalten werden. Eine Studie der Firma Cisco aus dem Jahr 2023 zeigt auf, dass lediglich elf Prozent der deutschen Unternehmen einen angemessenen Schutz vor modernen Sicherheitsrisiken implementiert haben. Die Herausforderung, diesen Rückstand aufzuholen, wird durch den allgegenwärtigen Fachkräftemangel noch deutlich größer. In einer Bitkom-Studie haben 74 Prozent der Befragten angegeben, dass sie einen deutlichen Fachkräftemangel in ihrer IT-Abteilung sehen – Tendenz steigend. Selbst Unternehmen, die höchste Priorität auf die Umsetzung ihrer IT-Security-Strategie legen, scheitern häufig an der Verfügbarkeit von Sicherheitstechnik. Hardwarekomponenten haben derzeit eine Lieferzeit von bis zu zwölf Monaten. Alle diese Gründe machen eine Umsetzung bis zum Herbst 2024 zu einer großen Herausforderung.

Vorteile der EU-weiten Richtlinie

Die NIS2-Direktive bringt nicht nur Mehraufwand, sondern auch Vorteile mit sich. Mitgliedsstaaten werden enger zusammenarbeiten und so einen direkteren Austausch über Informationen, Methoden und Best Practices gewährleisten. Gleichzeitig investieren sie in den Schutz ihrer Systeme, und internationale Standards werden gefördert. Durch NIS2 wird die Cyber-Security europaweit gestärkt, um die Auswirkung von Cyberangriffen zu verringern und das Niveau der Cybersicherheit zu erhöhen. Auch die Hersteller werden durch die Gesetzgebung getrieben, ihr Portfolio mit innovativen Produkten weiter auszubauen, wovon Unternehmen profitieren.

Wann ist der beste Zeitpunkt?

Cyberkriminelle tendieren dazu, die schwächsten Glieder der Kette anzugreifen, weil ihre Chancen dort am größten sind. Wer die NIS2 frühzeitig angeht, kann sich und seine IT technisch sowie organisatorisch stärken. Durch die Standardisierung von Sicherheitsmaßnahmen reduzieren sie die Wahrscheinlichkeit, dass sie von Cyberkriminellen als nächstes Opfer kompromittiert werden.

Angesichts des aktuellen Fachkräftemangels wird die Umsetzung der NIS2-Direktive für viele Unternehmen jedoch zu einer Herausforderung. Daher ist es wichtig, sich frühzeitig mit dem Thema auseinanderzusetzten und eine Strategie für die Umsetzung zu entwickeln – vor allem für Zulieferer, deren Kunden Compliance einfordern.

Weitere Informationen zu den Anforderungen finden Sie auch in diesem Beitrag von Cisco.