Kaum ein Unternehmen erfüllt die NIS2-Pflichten

Bremen, 24. Juli 2024.

Große Wissenslücken beim Thema IT-Sicherheit

Während in den meisten deutschen Unternehmen die Digitalisierung kontinuierlich ausgebaut wird, existieren im Bereich der IT-Sicherheit noch große Lücken. Durchgeführt wurde die Befragung von YouGov mit 521 Unternehmensentscheidern im März 2024, deren Unternehmen NIS2-relevant sein könnten und zumindest Klärungsbedarf über die NIS2-Betroffenheit besteht.  

Das Ergebnis der Umfrage:

• 56 % der Befragten kennen die NIS2-Richtlinie oder deren Inhalte gar nicht.
• 2 von 3 Vorständen haben sich damit nicht beschäftigt, obwohl sie im Schadensfall persönliche Haftungsrisiken tragen.

Diese Ergebnisse zeigen, dass insbesondere im Mittelstand noch erheblicher Klärungsbedarf besteht. Zudem ist die NIS2-Richtlinie nicht erweitert worden, um den Unternehmen mehr Umstände zu bereiten, sondern sie reagiert auf die wachsende Bedrohungslage im Cyberraum. Allein aus diesem Grund besteht der Druck, sich mit NIS2, aber auch allgemeinen Themen rund um die IT-Sicherheit auseinanderzusetzen.

Mögliche Gründe für das Zögern bei der NIS2-Umsetzung und Lösungsansätze

Es gibt verschiedene Gründe, warum Unternehmen sich nicht ausreichend mit der NIS2-Richtlinie und dem Thema Cybersicherheit auseinandersetzen.

• Unzureichendes Bewusstsein
  Viele Unternehmen sind sich der Existenz der NIS2-Richtlinie und ihrer Anforderungen nicht bewusst oder rechnen nicht damit, zu den NIS2-betroffenen Unternehmen zu gehören. Der Geltungsbereich der Richtlinie hat sich aber erheblich erweitert. Daher lohnt es sich in jedem Fall, die eigene NIS2-Betroffenheit zu prüfen.
  
  
• Fehlende Dringlichkeit
  Da die Umsetzungsfrist verschoben wurde, sehen viele Unternehmen keinen unmittelbaren Handlungsbedarf. Sie gehen davon aus, dass genügend Zeit für die Umsetzung bleibt und andere Prioritäten rücken in den Vordergrund. Dabei gerät aber aus dem Blick, dass es einerseits Zeit braucht, alle Maßnahmen umzusetzen und auf der anderen Seite steigt das Risiko eines erfolgreichen Cybervorfalls.
  
  
• Komplexität der Anforderungen
  Die NIS2-Richtlinie definiert eine Vielzahl von Anforderungen, die selbst für IT-Fachleute nicht immer greifbar sind. Es ist eine intensive Auseinandersetzung mit den Themen erforderlich. Ein NIS2 Status-Check kann komplexe Gesetzestexte transparent darstellen und daraus konkrete Handlungsempfehlungen formulieren.
  
  
• Mangel an Ressourcen
  Interne IT-Teams sind in mittelständischen Unternehmen oftmals ohnehin schon an der Belastungsgrenze. Mit NIS2 kommen zusätzliche Aufgaben auf sie zu, sodass Prioritäten gesetzt werden. Um Ressourcen zu sparen, lohnt es sich, externe Experten ins Boot zu holen, die Mittelständler von der Feststellung der NIS2-Betroffenheit bis zum NIS2-konformen Betrieb begleiten.

An die Konsequenzen bei Nichteinhaltung denken

Die Nichteinhaltung der NIS2-Richtlinie kann schwerwiegende Konsequenzen haben. Davor schützt auch ein mangelndes Bewusstsein für die Dringlichkeit oder die Relevanz nicht. Unternehmen, die Anforderungen nicht vollständig oder nicht rechtzeitig erfüllen, müssen mit erheblichen Geldbußen rechnen. Geschäftsführer stehen sogar ganz persönlich in der Haftung.

Neben den Compliance-Risiken entstehen auch konkrete Sicherheitsrisiken. Kommt es zu Sicherheitsvorfällen, von denen beispielsweise auch Kundendaten betroffen sind, müssen Unternehmen mit Imageverlusten rechnen. Das Vertrauen von Partnern und Kunden kann nachhaltig gestört werden. Außerdem sind betriebliche Unterbrechungen insbesondere im Bereich der Produktion und der Herstellung teuer – im Zweifel wesentlich teurer, als in eine gute Cybersicherheitsstrategie zu investieren.

BREKOM berät Sie gerne zu allen Fragen rund um NIS2 und unterstützt Sie bei der Umsetzung.