NIS-2: Kritische Lücken in der Ressourcenzuweisung?
Das SANS Institute hat im Oktober seinen „2024 NIS2 Survey Report“ veröffentlicht, der Einblicke in die Bereitschaft europäischer Unternehmen für die bevorstehende Umsetzung der zweiten Network- and Information-Security-Directive (NIS-2) liefert. Der Bericht behandele die wichtigsten Herausforderungen, Konformitätslücken und umsetzbaren Empfehlungen für Unternehmen.
Der Umfrage unter rund 500 Security-Mitarbeitern zufolge sind sich Unternehmen innerhalb und außerhalb Europas der zunehmenden Cyber-Bedrohungen, denen sie ausgesetzt sind, durchaus bewusst. Fast die Hälfte der Befragten (47 %) stufte die aktuelle Bedrohungslage als „hoch“, 37 % sogar als „schwerwiegend“ oder „kritisch“ ein. Trotzdem tun sich viele Unternehmen schwer, die Anforderungen der NIS-2 fristgerecht zu erfüllen, stellt SANS fest: „Die Umfrage zeigt, dass zwar 60 % der Unternehmen NIS-2 als einen positiven und notwendigen Schritt zur Verbesserung der Cybersicherheit ansehen, ein erheblicher Teil – etwa 45 % – jedoch mit Ressourcenbeschränkungen zu kämpfen hat. Fast 37 % nennen Budgetbeschränkungen als Haupthindernis“, berichtet Dean Parsons, Autor des Berichts und ICS/OT-Cybersicherheitsexperte am SANS Institute: „Diese Zahlen unterstreichen die Dringlichkeit für Unternehmen, sowohl der Ausbildung ihrer Mitarbeiter als auch den notwendigen Budgetzuweisungen Priorität einzuräumen, um die Einhaltung dieser weitreichenden Verordnung zu gewährleisten.“
Es sei zwar vielversprechend zu sehen, dass 35 % der Organisationen bereits mit der Umsetzung der NIS-2-Anforderungen begonnen haben und 50 % dabei sind. Die Herausforderungen, mit denen sie sich dabei konfrontiert sehen – etwa ein Mangel an internem Fachwissen sowie komplexe Implementierungsanforderungen – würden jedoch deutlich machen, dass es noch erhebliche Lücken gebe. Über ein Viertel der Befragten beklage zudem trotz klarer Verantwortlichkeiten und drohender Bußgelder einen mangelnden Management-Support.
Readiness, Sept. 2024)
Der Bericht unterstreiche auch sektorspezifische Risiken: Energie, Gesundheitswesen und öffentliche Verwaltung seien die drei Sektoren, die am ehesten von erfolgreichen Cyberangriffen betroffen sind. Dies zeige, wie wichtig es ist, die Abwehrmaßnahmen in diesen kritischen Branchen zu verbessern, da sie im Rahmen von NIS-2 besonders anfällig für Störungen seien.
Der vollständige Umfragebericht steht als 15-seitiges PDF in englischer Sprache unter www.sans.org/mlp/nis2 kostenfrei zum Download bereit (Registrierung erforderlich). (www.sans.org)