NIS-2-Richtlinie überfordert viele deutsche Unternehmen
von Redaktion,
Viele deutsche Unternehmen kämpfen noch damit, die verschärften Sicherheitsanforderungen der NIS-2-Richtlinie der EU zu erfüllen. Eine Untersuchung von BlackBerry macht die Software-Lieferkette als einen entscheidenden Faktor dafür aus.
(Bild: Shutterstock / DC-Studio)
Ab dem 17. Oktober 2024 gilt für Unternehmen in der Europäischen Union (EU) die zweite Richtlinie der EU zur Network and Information Security (NIS 2). Sie stellt an viele Unternehmen höhere Cybersicherheitsanforderungen als bisher. In Deutschland sind viele Unternehmen aber offenkundig noch nicht vollständig auf die Einhaltung der Vorgaben vorbereitet. Für die Verantwortlichen scheint das momentan keine Priorität zu besitzen. Das geht aus einer Studie von BlackBerry hervor, für Coleman Parkes Research hundert deutsche IT- und Cybersecurity-Entscheidern befragt hat. Vor allem die fehlende Übersicht über die Software-Lieferkette stellt die Unternehmen vor große Probleme.
Anzeige
Bis zu 40.000 Firmen sind von NIS 2 betroffen
In Deutschland sind Schätzungen zufolge zwischen 25.000 und 40.000 Unternehmen verpflichtet, die Sicherheitsvorgaben durch NIS 2 zu erfüllen. Die EU-Verordnung fordert für das Risikomanagement eine Reihe neuer beziehungsweise verschärfter Maßnahmen. Diese umfassen unter anderem Konzepte für die Risikoanalyse und die Sicherheit in der Informationstechnik, die Bewältigung von Sicherheitsvorfällen und die Aufrechterhaltung des Betriebs. Je nach Größe der Unternehmen sehen die Bestimmungen anders aus, nicht alle müssen das Maximum an Sicherheit gewährleisten.
Von den für die Studie von BlackBerry befragten deutschen Unternehmen unterliegen 64 Prozent der NIS-2-Richtlinie. Insgesamt gehen 54 Prozent mit hoher oder sehr hoher Zuversicht davon aus, die Vorgaben zum Stichtag einzuhalten. Dagegen sind 33 Prozent nur etwas zuversichtlich und 13 Prozent nicht sehr zuversichtlich.
„Unsere Studie zeigt rund um die NIS-2-Richtlinie noch Handlungsbedarf auf und die Zeit drängt. In Unternehmen kommt es jetzt darauf an, die richtigen Strategien und Lösungen zur Umsetzung der Vorgaben zu wählen“, schließt Ulf Baltin, Managing Director DACH bei Blackberry, aus der Studie.
Mangelnde Transparenz gefährdet die NIS-2-Compliance
Eine große Rolle bei den Problemen mit NIS 2 spielt die Software-Lieferkette von Unternehmen. Sie stellt nicht nur ein gefährliches Einfallstor für Cyberkriminelle dar, sondern erschwert auch die Compliance mit der NIS-2-Richtlinie. Das hängt mit der strengen Meldepflicht von Sicherheitsvorfällen zusammen. Nach der Entdeckung eines erheblichen, erfolgreichen Cyberangriffs müssen Unternehmen innerhalb von 24 Stunden das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kenntnis setzen.
Viele Unternehmen wissen nicht genügend über ihre Partner, um die Anforderungen der NIS-2-Richtlinie erfüllen zu können. (Bild: Thank You / Wikimedia Commons)
Von Vorfällen in der eigenen Software Supply Chain erfahren sie selbst jedoch oft spät. Nur 32 Prozent verlangen, in den ersten vier Stunden von den betroffenen Partnern und Software-Lieferanten zu hören. Die anderen 68 Prozent erwarten eine Benachrichtigung innerhalb eines Tages oder sogar erst später. Bei dieser Ausgangslage geraten Unternehmen in Gefahr, gegen die Compliance-Anforderungen zu verstoßen und Konsequenzen zu tragen.
Vielerorts erscheint die Software-Lieferkette auch wie ein blinder Fleck in der Sicherheitsstrategie. Kurzum: Es besteht ein Mangel an Transparenz. Wer zur Software Supply Chain gehört, bleibt häufig unklar. So wurden 79 Prozent der Unternehmen im letzten Jahr auf ein Mitglied aufmerksam gemacht, das zuvor unbekannt war beziehungsweise dessen Sicherheitsmaßnahmen sie bis dahin nicht überwachten.
Externe Kommunikation verbessern
Die meisten Unternehmen (72 Prozent) verfolgen die Auswirkungen von Schwachstellen in einer bestehenden Software-Lieferkette bis hin zu den Endkunden. Doch 39 Prozent informieren sie nicht oder nur gelegentlich über solche Schwachstellen. Beim Umgang mit Endkunden gibt es demnach Optimierungspotenzial. Aber woran scheitert vielerorts eine transparente Kommunikation? Als großes Hindernis nennen 37 Prozent fehlendes Personal. Weitere 37 Prozent möchten Klagen vermeiden. Häufig macht das Management den offenen Umgang mit Endkunden auch nicht zur Priorität (34 Prozent). In einigen Unternehmen (26 Prozent) fehlt zudem die Zeit oder es stehen zu viele andere Aufgaben an. Hinzu kommen noch 23 Prozent, die negative Auswirkungen auf die Unternehmensreputation befürchten. Gerade das Stillschweigen schadet aber potenziell der eigenen Reputation. Das müssen Verantwortliche neben der Umsetzung der NIS-2-Richtlinie auch bedenken und entsprechend handeln
