ENISA-Daten: Regulatorik treibt Investitionen, doch Fachkräftemangel und Komplexität bremsen die Cyber-Resilienz
Die regulatorischen Compliance-Anforderungen (z. B. NIS-2, DORA, CRA) dominieren als stärkster Treiber für Cybersecurity-Budgets in europäischen Unternehmen, während Ransomware und Angriffe auf die Lieferkette die größten Bedrohungsszenarien bleiben. Neue Daten der EU-Agentur für Cybersicherheit (ENISA) offenbaren jedoch deutliche Herausforderungen bei der Personaldecke und der technischen Umsetzung kritischer Sicherheitsmaßnahmen.
Die Investitionslandschaft für Cybersicherheit in der Europäischen Union wird laut dem aktuellen „NIS Investments 2025 Survey Data Companion“ der ENISA massiv durch staatliche Vorgaben geprägt. Für 70 Prozent der befragten Organisationen in der EU sind regulatorische Compliance-Anforderungen – wie etwa die NIS-2-Richtlinie, DORA oder der Cyber Resilience Act (CRA) – der mit Abstand wichtigste Treiber für Investitionen. Damit verdrängt die bloße Einhaltung von Vorschriften andere Motive wie die proaktive Risikominderung (42 Prozent) oder die Reaktion auf vergangene Sicherheitsvorfälle (26 Prozent) deutlich auf die hinteren Plätze.
Ein Blick auf die finanziellen Mittel zeigt jedoch eine tiefe Kluft zwischen den verschiedenen Sektoren. Der Bankensektor führt die Ausgabenstatistiken unangefochten an. Laut ENISA liegt das durchschnittliche IT-Budget hier bei 237 Millionen Euro, wovon im Schnitt 24,4 Millionen Euro spezifisch in die Informationssicherheit (IS) fließen. Im starken Kontrast dazu stehen Betreiber wesentlicher Dienste in der Wasserversorgung. Im Bereich Trinkwasser liegt das durchschnittliche IS-Budget lediglich bei 2,9 Millionen Euro, im Abwassersektor sogar nur bei 2,4 Millionen Euro. Auch das Gesundheitswesen, das eine kritische Infrastruktur darstellt, operiert mit einem durchschnittlichen Sicherheitsbudget von 5,2 Millionen Euro auf einem vergleichsweise niedrigen Niveau, obwohl die IT-Gesamtausgaben dort durchschnittlich 71 Millionen Euro betragen.
Geografisch betrachtet zeigen sich ebenfalls Disparitäten innerhalb der Union. Während Organisationen in Frankreich ein IT-Budget-Median von 90 Millionen Euro aufweisen, liegen die Vergleichswerte in Deutschland bei 54 Millionen Euro und in Italien bei 56 Millionen Euro. Bei den spezifischen Ausgaben für Informationssicherheit verzeichnet Frankreich einen Median von 6,9 Millionen Euro, gefolgt von Italien mit 5,8 Millionen Euro und Spanien mit 5,5 Millionen Euro. Deutschland liegt hier mit einem Median von 5 Millionen Euro leicht dahinter.
Interessant ist das Verhältnis der Sicherheitsausgaben zum gesamten IT-Budget. Hier zeigt sich, dass Sektoren mit geringeren absoluten Budgets oft prozentual mehr in Sicherheit investieren. So wenden Anbieter digitaler Infrastrukturen im Durchschnitt 11,4 Prozent ihrer IT-Mittel für Sicherheit auf. Im Bankensektor sind es trotz der hohen absoluten Summen prozentual „nur“ 9,4 Prozent. Die Daten der ENISA legen nahe, dass die bloße Höhe des Budgets nicht allein ausschlaggebend für die Priorisierung ist. Das primäre Ziel der Investitionen für das kommende Jahr ist für 47 Prozent der Unternehmen die Implementierung oder das Upgrade von Sicherheitstechnologien, dicht gefolgt von der Stärkung der Cyber-Resilienz (34 Prozent). Dass 45 Prozent der Befragten angeben, durch ihre Investitionen im letzten Jahr vor allem ihren Compliance-Status verbessert zu haben, unterstreicht erneut die Dominanz der Regulatorik über rein operative Sicherheitsgewinne.
Burnout, Frauenmangel und fehlende Expertise
Während Budgets erhöht und Technologien beschafft werden, identifiziert der ENISA-Bericht den Personalmangel als eine der kritischsten Schwachstellen in der europäischen Cyber-Verteidigung. Die Rekrutierung und das Halten von qualifiziertem Personal stellen für Unternehmen quer durch alle Mitgliedsstaaten eine massive Hürde dar. 45 Prozent der befragten Organisationen geben an, dass die Schwierigkeit, Kandidaten mit den erforderlichen Fähigkeiten zu finden, das größte Hindernis bei der Personalgewinnung ist.
Die Situation wird durch interne Faktoren verschärft. Bei der Mitarbeiterbindung nennen 28 Prozent der Befragten übermäßige Arbeitsbelastung und Burnout als Hauptproblem – ein alarmierendes Signal für die Nachhaltigkeit der aktuellen Sicherheitsoperationen in vielen Unternehmen. Hinzu kommt, dass 24 Prozent der Organisationen über unzureichende Trainings- und Weiterbildungsprogramme klagen, was die interne Entwicklung von Talenten hemmt. Besonders drastisch stellt sich die Situation in der Geschlechterverteilung dar. Der Median des Frauenanteils in Vollzeitstellen für Informationssicherheit liegt in vielen Ländern und Sektoren bei null Prozent. Lediglich im Bankensektor (Median 15 Prozent) und im Gesundheitswesen (Median 10 Prozent) sind Frauen etwas stärker repräsentiert, während in Sektoren wie Energie, Transport, öffentliche Verwaltung und digitale Infrastruktur der Median bei null Prozent verharrt. Dies kann darauf hindeuten, dass ein zusätzliches Potenzial an Arbeitskräften im Kampf gegen den Fachkräftemangel bisher nicht voll ausgeschöpft wird.
Bezüglich der benötigten Kompetenzen zeigt die ENISA-Erhebung klare Prioritäten: Die Erkennung und Reaktion auf Vorfälle (Incident Detection and Response) ist mit 38 Prozent die am stärksten nachgefragte Fähigkeit, dicht gefolgt von Cloud-Sicherheit (37 Prozent). Dies spiegelt die technologische Realität wider, in der Unternehmen zunehmend in die Cloud migrieren und gleichzeitig mit einer wachsenden Anzahl von Angriffen konfrontiert sind. Auch Fähigkeiten im Bereich Sicherheitsarchitektur (35 Prozent) und Identitätsmanagement (34 Prozent) stehen hoch im Kurs.
Die Personalstrategien für die kommenden zwölf Monate sind dennoch vorsichtig expansiv. 38 Prozent der Unternehmen planen, ihren Personalbestand zu halten, während 33 Prozent Neueinstellungen vornehmen wollen. Interessanterweise setzen 24 Prozent auf das Upskilling, also die Weiterqualifizierung bestehender Mitarbeiter, statt extern zu rekrutieren – eine Strategie, die angesichts des leeren Arbeitsmarktes an Bedeutung gewinnt. Gleichzeitig haben Kostensenkungsmaßnahmen Spuren hinterlassen: 16 Prozent der Unternehmen führten im vergangenen Jahr einen Einstellungsstopp für Sicherheitsrollen ein, und 11 Prozent mussten sogar Entlassungen in diesem Bereich vornehmen. Diese Zahlen verdeutlichen die Spannung zwischen dem operativen Bedarf an mehr Sicherheit und dem wirtschaftlichen Druck, unter dem viele europäische Unternehmen stehen.
Bedrohungslage und die Hürden der NIS-2-Implementierung
Die Diskrepanz zwischen wahrgenommener Bedrohung und tatsächlicher Umsetzungsfähigkeit von Sicherheitsmaßnahmen tritt in den Daten der ENISA deutlich zutage. Ransomware dominiert weiterhin die Angst der Sicherheitsverantwortlichen: 55 Prozent der Befragten nennen sie als diejenige Bedrohung, die ihnen für die Zukunft die größten Sorgen bereitet. Angriffe auf die Lieferkette (Supply Chain Attacks) folgen mit 47 Prozent auf dem zweiten Platz. Diese Sorgen sind begründet, da Ransomware (18 Prozent) und Denial-of-Service-Attacken (22 Prozent) im vergangenen Jahr die stärksten operativen Auswirkungen auf den Geschäftsbetrieb hatten.
Trotz dieser klaren Bedrohungslage bereitet die Umsetzung der NIS-2-Vorgaben, die genau solche Risiken minimieren sollen, den Unternehmen erhebliche Schwierigkeiten. Als herausforderndster Bereich der Richtlinie gilt das Schwachstellen- und Patch-Management, das von 50 Prozent der Organisationen als schwierigste Aufgabe genannt wird. Dicht darauf folgen Anforderungen an Business Continuity und Disaster Recovery (49 Prozent) sowie das Risikomanagement in der Lieferkette (37 Prozent).
Die Gründe für diese Schwierigkeiten sind vielschichtig. Laut ENISA sind es nicht primär fehlende Budgets (nur 10 Prozent nennen dies als Haupthindernis), sondern strukturelle und operative Probleme. 27 Prozent der Befragten sehen operative Einschränkungen, wie etwa veraltete Legacy-Systeme oder die spezifischen Anforderungen der Betriebstechnik (OT), als größtes Hindernis für eine effektive Implementierung der Kontrollen. Die Komplexität der regulatorischen Anforderungen über verschiedene Jurisdiktionen hinweg wird von 23 Prozent als Hauptblockade empfunden, gefolgt vom Mangel an qualifiziertem Personal (20 Prozent).
Ein besonders kritischer Indikator für die Sicherheitsreife ist die Zeitspanne, die Unternehmen benötigen, um kritische Sicherheitslücken zu schließen. Hier offenbart der Bericht bedenkliche Zustände: Nur 8 Prozent der Organisationen in der EU schaffen es, kritische Schwachstellen innerhalb einer Woche zu patchen. 31 Prozent benötigen dafür bis zu einem Monat, und weitere 32 Prozent sogar bis zu drei Monate. Besonders alarmierend ist, dass 28 Prozent der Unternehmen angeben, mehr als drei Monate für das Patchen kritischer Lücken zu benötigen. In einer Zeit, in der Angreifer Schwachstellen oft binnen Stunden nach deren Bekanntwerden ausnutzen, stellt dies ein erhebliches Risiko dar.
Auch beim Thema Lieferkettensicherheit klaffen Anspruch und Wirklichkeit auseinander. Zwar geben 63 Prozent an, Sicherheitszertifizierungen von ihren Zulieferern zu verlangen, und 54 Prozent führen Risikoaudits durch. Doch wenn es um konkrete Angriffsszenarien geht, fühlen sich viele Unternehmen unzureichend gewappnet. Bei einem Angriff auf die Lieferkette oder der Kompromittierung eines Drittanbieters stufen sich in Sektoren wie Energie und Trinkwasser signifikante Anteile der Unternehmen als „überwiegend unvorbereitet“ ein (39 Prozent im Energie-, 48 Prozent im Wassersektor). Dies steht im Kontrast zur vergleichsweise hohen gefühlten Vorbereitung auf Ransomware-Angriffe, wo sich beispielsweise im Bankensektor 90 Prozent als vorbereitet sehen. Diese Daten suggerieren, dass die europäischen Unternehmen zwar ihre eigenen Festungen stärken, die Hintertüren über Dienstleister und Partner aber weiterhin teils offen stehen.
Der komplette ENISA-Bericht steht als PDF kostenfrei zur Verfügung.