Die Digitalisierung ist längst im Unternehmensalltag angekommen, doch beim Thema IT-Sicherheit klaffen eklatante Wissenslücken in deutschen Firmen. Nicht ohne Grund will der Gesetzgeber mit der NIS2-Richtlinie („Netz- und Informationssicherheitsrichtlinie 2“) den Schutz der IT-Infrastruktur deutlich erhöhen. Stichtag für die Umsetzung ist der 17. Oktober 2024. Eine repräsentative ESET-Umfrage durchgeführt von YouGov unter Unternehmensentscheidern zeigt, dass mehr als die Hälfte der Befragten (56 Prozent) die NIS2-Richtlinie gar nicht kennen oder ihnen die Inhalte unbekannt sind. Auch zwei von drei Vorständen oder Geschäftsführern fehlt das Wissen, obwohl sie in der kommenden Richtlinie ein wichtiges Element sind und persönliche Haftungsrisiken im Schadensfall tragen.
„Die deutsche Unternehmenslandschaft, insbesondere der Mittelstand, ist auf die kommenden Herausforderungen durch die NIS2-Richtlinie schlecht vorbereitet. Gut die Hälfte aller Entscheider in Organisationen mit mehr als 50 Mitarbeitern, die NIS-relevant sein könnten, wissen gar nicht welche Anforderungen auf sie zukommen. Das ist fatal und unterstreicht den großen Aufklärungsbedarf“, sagt Maik Wetzel, Strategic Business Development Director DACH bei ESET. „Es ist höchste Zeit, dass Unternehmen mit der Umsetzung beginnen. Die NIS2-Richtlinie reagiert auf eine gestiegene Bedrohungslage im Cyberraum, die wir täglich in den Nachrichten verfolgen können. Unabhängig von der Gesetzgebung sollten in der Chefetage die Alarmglocken schrillen und schon heute Maßnahmen zum Schutz der eigenen IT-Infrastruktur ergriffen werden.“
NIS2 ist mehr als der Hälfte unbekannt
36 Prozent aller befragten Unternehmensentscheider haben noch nie von der NIS2-Richtlinie gehört. 20 Prozent haben zwar schon davon erfahren, aber kennen die Inhalte nicht. Insgesamt zeigt sich hier ein großer Aufklärungsbedarf, da somit die Hälfte der Umfrageteilnehmer keine Kenntnisse von einem wichtigen Gesetzgebungsverfahren haben und die notwendigen Schritte nicht einleiten kann. Diese Zahlen verfestigen sich genauerer Betrachtung der Berufsgruppen und Unternehmen.
Unkenntnis bei NIS2-relevanten Unternehmen
Unternehmen mit mehr als 50 Beschäftigten sind in vielen Fällen von der NIS2-Richtlinie betroffen. Auch hier hat die ESET-Umfrage Wissenslücken aufgedeckt. 44 Prozent aller Organisationen mit mehr als 50 Mitarbeitern kennen die NIS2-Richtlinie bzw. deren Anforderungen nicht. Ähnlich sieht es bei größeren Unternehmen ab 250 Mitarbeitern aus. Hier kennt die Hälfte (50 Prozent) die NIS2-Richtlinie nicht. „Vielen Mittelständlern ist scheinbar nicht bewusst, was da auf sie zukommt. Die Umsetzung der verschiedenen Maßnahmen erfordert Zeit sowie sorgsame und kontinuierliche Planung“, sagt Maik Wetzel.
NIS2 ist für Mehrheit der Geschäftsführer Neuland
Mit der NIS2-Richtlinie kommen persönliche Haftungsrisiken auf Geschäftsführer und Vorstände zu. Bei Verstößen gegen die Einhaltung der Richtlinie werden sie verantwortlich gemacht. Das geht so weit, dass Aufsichtsbehörden Leitungsaufgaben untersagen können. Dennoch kennen zwei von drei Vorständen oder Geschäftsführern die NIS2-Richtlinie gar nicht oder inhaltlich nicht. Dabei sind sie für die Umsetzung der Cyber-Sicherheitsmaßnahmen verantwortlich.
Kein gutes NIS2-Zeugnis für IT-Entscheider
In der Berufsgruppe IT-Entscheider sollte man annehmen, dass die NIS2-Richtlinie diese bereits umtreibt und zumindest die baldige Umsetzung auf der Agenda steht. Doch der Blick in die Zahlen zeigt das Gegenteil: Jeder Vierte kennt die Richtlinie nicht. Weitere 13 Prozent haben zwar davon gehört, kennen aber die Inhalte nicht.
Die gute Nachricht zum Schluss: Es bewegt sich etwas
Wenn Entscheider NIS2 kennen und deren Bedeutung verstehen, geht es mit der Umsetzung voran. Ein Drittel der Befragten ist bereits in der Transformation und weitere 38 Prozent stehen kurz vor dem Beginn der Maßnahmen. 15 Prozent der Umfrageteilnehmer hat sich bereits mit NIS2 auseinandergesetzt und sieht sich als nicht betroffen an.
Über die Umfrage
Die verwendeten Daten beruhen auf einer Online-Umfrage der YouGov Deutschland GmbH, an der 521 Unternehmensentscheider aus Deutschland zwischen dem 21. und 26.03.2024 teilnahmen. Die Ergebnisse wurden gewichtet und setzen sich repräsentativ zusammen.
ESET klärt über die NIS2-Richtlinie auf
Unter dem Motto „Flicken reicht in der IT-Sicherheit nicht aus“ hat der IT-Sicherheitshersteller ESET eine umfassende Kampagne zur NIS2-Richtlinie der Europäischen Union gestartet. Ziel der Initiative ist es, Organisationen objektiv zu informieren und Ratschläge für die technische Umsetzung zu geben. Im Zentrum der Kampagne steht die ESET Webseite www.eset.de/nis2. Auf dieser finden Interessierte kostenfrei Whitepaper, Podcasts, Webinare und weitere Informationen rund um das Thema NIS2.