Eine aktuelle Umfrage des Eco Verbands zeigt alarmierende Lücken in der Vorbereitung vieler deutscher Unternehmen auf die neuen Anforderungen der NIS2-Richtlinie. Diese europäische Cybersicherheitsrichtlinie, die bis Oktober 2024 in deutsches Recht umgesetzt werden soll, stellt hohe Anforderungen an die IT-Sicherheit, denen sich die Unternehmen bisher nur unzureichend stellen. Konkret fordert die NIS2-Richtlinie von Unternehmen, die als Betreiber kritischer Infrastrukturen gelten, die Einhaltung strenger IT-Sicherheitsstandards. Unternehmen, die unter den Geltungsbereich der NIS2-Richtlinie fallen, müssen ihre Cybersicherheitsstrategien überprüfen und gegebenenfalls anpassen. Dies kann erhebliche Investitionen in neue Technologien und Schulungen erfordern, um die neuen Anforderungen zu erfüllen. Insgesamt zielt die NIS2-Richtlinie darauf ab, die Widerstandsfähigkeit der EU gegenüber Cyberbedrohungen zu stärken und die Sicherheit und Zuverlässigkeit von Netzwerk- und Informationssystemen in Europa zu gewährleisten.
Eine Umfrage unter 250 IT-Entscheidern, durchgeführt vom Marktforschungsinstitut Civey im Auftrag des eco Verbands, offenbart jetzt, dass viele Unternehmen die notwendigen Maßnahmen noch nicht umgesetzt haben. Erschreckenderweise haben 32,8 Prozent der Befragten bisher gar keine Maßnahmen ergriffen, um den Anforderungen gerecht zu werden. Weitere 40 Prozent geben an, dass sie über die neuen gesetzlichen Regelungen nicht ausreichend informiert sind und erst 13,2 Prozent der befragten Unternehmen haben ihr IT-Risikomanagement zum jetzigen Zeitpunkt bereits entsprechend verbessert.
Hohe Anforderungen und mangelnde Umsetzung
Die neue NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen von bisher 2.000 auf über 30.000. Damit werden zehntausende Unternehmen in Deutschland erstmals unter die EU-weite Regulierung der Cybersicherheit fallen. Die Richtlinie sieht zehn spezifische Risikomanagementmaßnahmen vor, die von den Unternehmen umgesetzt werden müssen. Dazu gehören unter anderem die Sensibilisierung der Mitarbeitenden, die Einhaltung von Sicherheitsanforderungen, und die Einführung von Notfall- und Krisenmanagementsystemen. Zum jetzigen Zeitpunkt haben erst 14,6 Prozent der Unternehmen ihre Mitarbeitenden entsprechend sensibilisiert, 14,5 Prozent halten die Sicherheitsanforderungen ein und lediglich 12,1 Prozent haben ein Notfall- und Krisenmanagement implementiert. Noch alarmierender ist, dass nur 7,1 Prozent der Unternehmen Industriestandards wie ISO 27001 oder den BSI IT-Grundschutz eingeführt haben.
Dringender Handlungsbedarf
Ulrich Plate, Leiter der Eco Kompetenzgruppe KRITIS, zeigt sich besorgt über die geringe Bereitschaft der Unternehmen, sich auf die neuen Anforderungen vorzubereiten. Er betont, NIS2 komme auf jeden Fall, und Compliance mit gesetzlichen Vorgaben sei kein „Opt-in-Verfahren.“ Angesichts der stark verschärften Bußgelder und der persönlichen Haftung der Leitungsorgane bei Verstößen sollten sich die IT-Verantwortlichen ihrer Verantwortung bewusstwerden und entsprechend handeln.
Der Eco-Verband rät den IT-Verantwortlichen, sich jetzt intensiv mit den neuen Anforderungen auseinanderzusetzen und geeignete Maßnahmen zu ergreifen. Er empfiehlt unter anderem die Implementierung eines Business Continuity Management (BCM), das Management der Cybersecurity-Risiken auf professioneller und transparenter Basis sowie die Überprüfung der Lieferkettensicherheit. Darüber hinaus sollten Unternehmen einen ganzheitlichen IT-Grundschutz installieren und ihre Belegschaft sowie Leitungsorgane durch Schulungen und Sensibilisierungsmaßnahmen auf die neuen Herausforderungen vorbereiten.
Ein weiterer wichtiger Punkt ist die Installation eines ganzheitlichen IT-Grundschutzes. Neben technischen Aspekten sollten auch infrastrukturelle, organisatorische und personelle Themen berücksichtigt werden. Dazu gehören Verfahren für den Einsatz von Kryptographie und Maßnahmen, die IT-Sicherheitsrisiken durch den Faktor Mensch reduzieren. Unternehmen sollten Multifaktor-Authentisierung und gesicherte Kommunikationssysteme nutzen, auch für den Notfall.
Schließlich betont der Eco-Verband die Bedeutung von Training, Schulung und Sensibilisierung. Unternehmen sollten ihre Belegschaft und die Leitungsorgane befähigen und das Bewusstsein für Sicherheitsrisiken stärken. Besonders gefährdete Zielgruppen sollten mit Social Engineering und anderen Bedrohungen vertraut gemacht werden, um möglichen Angriffen effektiv entgegenwirken zu können.
SAFe 6.0 Scrum Master – Training mit Zertifizierung
In diesem Kurs SAFe 6.0 Scrum Master – Training mit Zertifizierung lernst du die wichtigsten Aufgaben des Scrum Masters im Kontext des SAFe Frameworks kennen und das Zusammenspiel mehrerer agiler Teams, die durch den Agile Release Train (ART) gesteuert werden. Der Fokus liegt auf der Bedeutung von Scrum im SAFe-Umfeld, den Zuständigkeiten des Scrum Masters und dem Zusammenspiel zwischen Team- und Programmebene. Du erhältst psychologische Grundkenntnisse und wirksame Methoden, um Agile-Teams zu coachen, und lernst, wie du Transparenz über den Fortschritt einer Iteration schaffst. Der Kurs richtet sich an bestehende oder angehende Scrum Master sowie Teamleiter und SAFe Release Train Engineers. Methodisch kombiniert der Kurs Theorie, Übungen und Diskussionen, um praxisnahe Antworten und Praktiken für deinen Arbeitsalltag zu vermitteln.
