Sind europäische Unternehmen zu zuversichtlich hinsichtlich der NIS2-Umsetzung?

Die heutige Bedrohungslandschaft erweitert sich kontinuierlich und mit dem Aufkommen von künstlicher Intelligenz (KI) können Angreifer Lücken in einem Sicherheitsrahmen noch schneller für sich nutzen. In der Vergangenheit agierten Unternehmen wenig proaktiv, um mögliche neue Taktiken böswilliger Akteure rasch zu bekämpfen – sie neigten stattdessen zu einem reaktiven Ansatz in ihrer Cybersicherheit. Um dieses Vorgehen zu verändern, werden Vorschriften wie die NIS2-Richtlinie eingeführt.

Damit sollen eine Grundlage für Sicherheitsprozesse und ein Sicherheitsrahmen geschaffen werden, die das Niveau der Cyberhygiene in kritischen Infrastrukturen erhöht. Die Richtlinie zwingt die betroffenen Organisationen, ihre derzeitigen Rahmenbedingungen zu überprüfen und gegebenenfalls zu aktualisieren, womit letztlich eine präventive Cybersicherheit herbeigeführt werden soll. Doch reichen die kommenden Regelungen aus, um die betroffenen Organisationen zum sofortigen Handeln zu bewegen? Im April 2024 gab Zscaler eine branchenübergreifende Umfrage unter mehr als 875 IT-Führungskräften in sechs europäischen Ländern in Auftrag, um den Status der Umsetzung der NIS 2-Konformität zu erheben.

 

Vertrauen in die Konformität ist hoch

Auf den ersten Blick scheinen die befragten IT-Führungskräfte zuversichtlich zu sein, dass ihre Unternehmen in der Lage sein werden, die NIS2-Konformität bis zum 17. Oktober zu erreichen – vier Fünftel (80 Prozent) der Befragten sind davon überzeugt. 14 Prozent der befragten Entscheider gaben sogar an, die Anforderungen bereits Monate vor dem Stichtag erfüllt zu haben.

Allerdings sind es nicht nur IT-Teams, die sich mit den Vorschriften auseinandersetzen. Ein Drittel (32 Prozent) der IT-Führungskräfte bestätigt, dass die NIS2-Vorschriften derzeit zu den Top-Prioritäten der Unternehmensführung gehören. 52 Prozent geben an, dass sie auch auf dieser Ebene zunehmend an Bedeutung gewinnen – wobei die Hauptverantwortung für die Einhaltung der Vorschriften auf den CIO (22 Prozent), den CEO (20 Prozent) und den CISO (20 Prozent) verteilt ist. Das Vertrauen in die rechtzeitige Einhaltung der Vorschriften ist demnach groß, und die IT-Teams haben die Unterstützung des Managements, das die Bedeutung dieser Vorschriften für den Erfolg der Cybersicherheit anerkennt.

 

Gefährliche Diskrepanz in der Wahrnehmung?

Obwohl die IT-Führungskräfte fest davon überzeugt sind, dass ihre Unternehmen die Konformität fristgerecht erreichen werden, deutet die Umfrage darauf hin, dass diese Zuversicht auf einem wackeligen Fundament stehen könnte. Nur die Hälfte der Befragten (53 Prozent) gab an, dass ihre Teams die Anforderungen der NIS2-Konformität derzeit vollständig verstehen. Dieser Prozentsatz sinkt auf 49 Prozent bei der Frage nach der Einschätzung, ob das Management die Anforderungen vollständig versteht. Ohne dieses Wissen besteht die Gefahr von Nachholbedarf und dass Unternehmen bei ihren NIS2-Bemühungen die Aufgabe auf den letzten Drücker erledigen müssen, um hohe Strafen aufgrund Nichteinhaltung zu vermeiden.

Die Studie zeigt auch eine Diskrepanz zwischen der Art und Weise, wie die Richtlinie positioniert wird, und wie IT-Manager sie möglicherweise sehen. NIS2 wird als Richtlinie zur Verbesserung der Basissicherheit und als Erweiterung des bestehenden NIS-Rahmens dargestellt. Fast zwei Drittel (62 Prozent) der Befragten sind jedoch der Meinung, dass damit eine deutliche Abweichung von ihrer derzeitigen Strategie einhergeht. Dies deutet darauf hin, dass viele Unternehmen nicht mit der Entwicklung der technischen Lösungen Schritt gehalten haben und sich so lange wie möglich mit der Einhaltung der Mindestanforderungen an die Sicherheit begnügt haben. Diese Annahme wird durch die Tatsache bestätigt, dass lediglich ein Drittel (32 Prozent) der IT-Führungskräfte ihre derzeitige Cyberhygiene als exzellent bezeichnet und zwei Fünftel angeben, dass ihre Organisation noch keine Zero Trust-Architektur als Teil ihrer Cybersicherheitsstrategie eingeführt hat.

In den verbleibenden Monaten bis zur Umsetzung der Richtlinie in nationales Recht in ganz Europa besteht also noch erheblicher Nachholbedarf. Drei Bereiche, in denen IT-Führungskräfte größere Veränderungen für notwendig erachten, um der Richtlinie zu entsprechen, sind die Aktualisierung des Technologie-Stacks oder der Cybersicherheitslösungen sowie die Schulung von Mitarbeitenden und Führungskräften. Die Befragten nannten auch drei Bereiche der Richtlinie, die für sie die größte Herausforderung darstellen: Sicherheit von Netzwerken und Informationssystemen (31 Prozent), grundlegende Cyberhygienepraktiken und -schulungen (30 Prozent) sowie Richtlinien und Verfahren für die Wirksamkeit von Maßnahmen des Cybersicherheits-Risikomanagements (29 Prozent).

Die weiteren Ergebnisse der Umfrage deuten also darauf hin, dass viele Unternehmen in ganz Europa mit ihren aktuellen Cybersicherheitsstandards noch nicht so weit sind wie sie sein sollten. Deshalb sind sofortige Maßnahmen erforderlich, um die notwendigen grundlegenden Änderungen innerhalb der verfügbaren Zeit zu erreichen.

 

Eine neue Sichtweise auf Compliance

In der Vergangenheit haben IT-Teams neue Technologien zusätzlich zu ihrem bestehenden Stack implementiert und einen Schalter umgelegt, um die Einhaltung von Vorschriften zu gewährleisten. Heutzutage reicht dies nicht mehr aus, um die digitale Infrastruktur zu schützen. Stattdessen sollten sich IT-Teams darauf konzentrieren, ihren Technologie-Stack zu reduzieren und zu vereinfachen, um flexibler zu werden und ihre Unternehmensumgebung schneller aktualisieren zu können. Dies bedeutet jedoch nicht, dass die Technologie bei den Compliance-Bemühungen eine untergeordnete Rolle spielt. Tatsächlich sind 44 Prozent der IT-Manager der Meinung, dass Tools und Services für eine erfolgreiche NIS2-Implementierung entscheidend sind.

Initiativen wie NIS2 zwingen Unternehmen dazu, ihre aktuellen Sicherheitsprozesse zu überprüfen und gegebenenfalls auf das Niveau zu bringen, das heute als Basisschutz gilt. Diese regulatorischen Bestrebungen zielen also nicht auf eine herausragende Cybersicherheit ab. Daher ist es zwar möglich, auf dem Papier vollständig NIS 2-konform zu sein, aber unterm Strich doch nur über ein geringes Maß an betrieblicher Sicherheit zu verfügen.

Fazit

Um die IT-Sicherheit im digitalen Zeitalter zu verbessern, ist ein Umdenken erforderlich. Unternehmen müssen nicht mehr nur auf Bedrohungen reagieren, sondern sich einen ganzheitlichen Überblick über ihre Umgebung verschaffen, um Risikobereiche im Voraus zu erkennen. Um dies zu erreichen, müssen IT-Teams ihre unterschiedlichen Technologien und Tools in einer Lösungsplattform zusammenführen, die in der Lage ist, Daten miteinander zu verknüpfen und das Sicherheitsniveau und -risiko zu quantifizieren.

Darüber hinaus sollten Unternehmen dafür sorgen, dass Compliance-Audits Teil eines kontinuierlichen Zyklus für Sicherheitsteams werden, um Bedrohungen einen Schritt voraus zu sein und sicherzustellen, dass ihre Sicherheitsinfrastruktur jederzeit angemessen ist. Dies verschafft den Unternehmen einen erheblichen Wettbewerbsvorteil, da die Einhaltung der Vorschriften einfacher und kostengünstiger wird und zu langfristigen Risikominderungen führt.

Von James Tucker, Head of CISO International bei Zscaler