Unternehmen müssen sich mit der NIS2-Richtlinie beschäftigen

Cybersicherheit ist in aller Munde. Allerdings liegt insbesondere bei Schutz kritischer Infrastrukturen noch vieles im Argen. Das haben auch das Europäische Parlament und der Europäische Rat erkannt und mit NIS2 bereits im November 2022 eine Novelle der „EU Network and Information Security Directive“ (NIS) verabschiedet. Bis Ende 2024 soll NIS2 in geltendes nationales Rech umgesetzt werden.

NIS2 wird nicht nur für mehr Unternehmen in mehr Branchen gelten als NIS, sondern auch deutlich striktere technische und verfahrenstechnische Anforderungen an Betreiber kritischer Infrastrukturen stellen. Viele betroffene deutsche Unternehmen sind laut einer aktuellen Studie von Nozomi Networks noch sehr weit von einer Umsetzung von NIS2 entfernt. Vor dem Hintergrund der Tatsache, dass sich die geforderten Prozesse und technischen Maßnahmen nicht von heute auf morgen umsetzen lassen, ist dies ein besorgniserregender Befund.

Mangelnde Routinen

NIS2 berücksichtigt unter anderem, dass Sicherheit kein Produkt oder Ergebnis ist, sondern vielmehr ein kontinuierlicher Prozess. So macht die Direktive Vorgabe zur Messung von Cyberrisiken und etablierten Gegenmaßnahmen und legt großen Wert auf die Erstellung und Umsetzung von Security-Richtlinien. Vor diesem Hintergrund ist es wenig beruhigend, dass nur 43 Prozent der deutschen Unternehmen plan- und regelmäßig die größten Gefahren für ihre kritischen Informationssystem analysieren.

Auch die Nutzung moderner Technologien zur Sicherung von Daten und Systemen lässt sehr zu wünschen übrig. So nutzen zwar immerhin 71 Prozent der deutschen Unternehmen Security Information and Event Management (SIEM), aber nur die Hälfte setzt auf Security Orchestration, Automation and Response (SOAR). Noch trister sieht es bei der Nutzung herkömmlicher Sicherheitstechnologien wie Erkennungen/Firewall-Regeln für den Übergang der öffentlichen Infrastruktur zu der eigenen der Unternehmen (24 Prozent) oder Anomalieerkennung (21 Prozent) aus. 2 Prozent der Unternehmen gestehen sogar, dass sie keine Tools nutzen, um bösartiges Verhalten in Netzwerken und Informationssystemen zu erkennen. Wir sprechen hier wohlgemerkt von deutschen Unternehmen mit mindestens 500 Mitarbeitern. Wie schlecht deutsche Unternehmen dastehen, verrät auch ein Blick über die Grenze. So liegt die Anzahl französischer Unternehmen, die Erkennungen/Firewall-Regeln für diesen Übergang zwischen privaten und öffentlichen Netzwerken etabliert haben, beinahe doppelt so hoch wie bei deutschen Unternehmen.

Positive Selbsteinschätzung

Eine realistische Einschätzung der eigenen Sicherheitslage und -maßnahmen ist eine wesentliche Voraussetzung für eine effektive Cyberabwehr. Daher ist es von Bedeutung, wie Unternehmen ihre Lage einschätzen, wie sie sich vorbereitet sehen ihre operativen Systeme und ihre IoT-Netze zu überwachen und zu beschützen. Alle deutschen Unternehmen sehen sich sehr oder einigermäßen vorbereitet, ihre operativen Systeme zu überwachen und zu beschützen. Bei den IoT-Netzen sieht das Bild nur etwas anders aus: 97 Prozent betrachten sich als sehr oder einigermäßen vorbereitet. Lediglich 3 Prozent betrachten sich als nicht ausreichend vorbereitet.

„Die Diskrepanz mangelnder Sicherheitsmaßnahmen und deutlich zu positiver Selbstwahrnehmung bildet eine gefährliche Kombination.“

Will Roth, Nozomi Networks

In Anbetracht der erwähnten Mängel in der Etablierung und Umsetzung wichtiger IT-Sicherheitsprozesse und der Nutzung wesentlicher Cybersecurity-Technologien überrascht dieser Befund gelinde gesagt und bietet Anlass zur Sorge. Die Diskrepanz mangelnder Sicherheitsmaßnahmen und deutlich zu positiver Selbstwahrnehmung bildet eine gefährliche Kombination. Es wird Zeit für KRITIS-Unternehmen, nicht nur sich mit der Umsetzung von NIS2 zu beschäftigen. Schließlich ist die Direktive kein Selbstzweck. Vielmehr kann nur ein ehrlicher Blick in den Cybersecurity-Spiegel die Sicherheit kritischer Infrastrukturen in Zeiten wachsender Cyberbedrohungen sicherstellen.

Über den Autor:
Will Roth ist Vice President, DACH, EE, Baltic States bei Nozomi Networks.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.