Studie von G DATA zeigt fehlendes Wissen in der Belegschaft
Der Handlungsdruck ist groß: Eigentlich sollte die NIS-2-Richtlinie längst in nationales Recht umgewandelt sein. In Deutschland und auch anderen EU-Ländern verzögert sich das Gesetzgebungsverfahren allerdings deutlich. Dies führt auch in vielen Unternehmen zu einer Verunsicherung auf Seiten der Mitarbeitenden, wie die aktuelle Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense, Statista und brand eins zeigt. Mehr als drei von fünf Angestellten wissen nicht, ob ihre Firma von der der Netzwerk- und Informationssicherheits-Richtlinie der EU (kurz NIS-2-Richtlinie) betroffen ist.
Eins ist klar: Immer mehr Unternehmen sind künftig gesetzlich zu mehr IT-Sicherheit verpflichtet: Nicht nur NIS-2 zielt auf ein höheres IT-Sicherheitsniveau in der Wirtschaft ab. Auch der Cyber Resilience Act oder branchenspezifische Vorgaben sorgen dafür, dass in vielen Firmen IT-Security in den Mittelpunkt rückt. Allerdings sind die neuen Vorgaben noch nicht bei den Angestellten angekommen. Nur jede und jeder Fünfte beantwortet die Frage, ob das eigene Unternehmen von NIS-2 betroffen ist, mit Ja. Mehr als 60 Prozent der Befragten wissen nicht, ob der eigene Betrieb künftig die Vorgaben erfüllen muss.
„Wer wartet, bis das Gesetzgebungsverfahren für die NIS-2-Umsetzung abgeschlossen ist, handelt fahrlässig und gefährdet die IT-Sicherheit des Unternehmens“, sagt Andreas Lüning, Mitgründer und Vorstand der G DATA CyberDefense AG.
„Das Implementieren des geforderten Information Security Management Systems ist ein Prozess, der viele Ressourcen erfordert. Hinzu kommt, dass es keine One-Size-Fits-All-Lösung gibt.“Betroffen oder nicht: Das ist hier die FrageRund 30.000 Unternehmen sind von den Vorgaben der NIS-2-Richtlinie direkt betroffen. Und damit deutlich mehr als durch andere Regularien. Auch hier zeigt die Studie von G DATA, dass viele Arbeitnehmende immer noch schlecht informiert sind: Fast 40 Prozent der Befragten geben an, dass ihr Unternehmen zu einer Branche gehört, die von NIS-2 nicht betroffen ist. Jede und jeder Dritte gibt zudem an, dass die eigene Firma die Vorgaben anderer IT-Sicherheitsrichtlinien erfüllt. Mehr als 22 Prozent sehen die geringe Unternehmensgröße als Grund dafür, dass der Betrieb nicht unter NIS-2 fällt. Dabei vergessen viele, dass zahlreiche Firmen auch indirekt von NIS-2 betroffen sein werden, denn die Direktive fordert eine Absicherung der gesamten Lieferkette. So sind auch Unternehmen aus anderen Branchen oder kleinere Betriebe zur Umsetzung gezwungen.
Angesichts der aktuell hohen Bedrohungslage und der immensen Schäden, die Cyberattacken verursachen, gehört Cybersicherheit ganz oben auf die Agenda von Geschäftsführerenden und Vorständen. IT-Sicherheit lässt sich nicht mehr ignorieren, aussitzen oder wegdelegieren. Vielmehr sollten sich Verantwortliche ernsthaft damit auseinanderzusetzen. Und NIS-2 als Chance begreifen und nicht als Kostentreiber.
Cybersicherheit in Zahlen zum Download„Cybersicherheit in Zahlen“ erschien bereits zum vierten Mal und zeichnet sich durch eine hohe Informationsdichte und besondere methodische Tiefe aus: Die Marktforscher von Statista haben Zahlen, Daten und Fakten aus mehr als 300 Statistiken zu einem einzigartigen Gesamtwerk zusammengeführt. Mehr als 5.000 Arbeitnehmerinnen und Arbeitnehmer in Deutschland wurden im Rahmen einer repräsentativen Online-Studie zur Cybersicherheit im beruflichen und privaten Kontext befragt. Die Fachleute von Statista haben die Befragung eng begleitet und können dank einer Stichprobengröße, die weit über dem branchenüblichen Standard liegt, belastbare und valide Marktforschungsergebnisse im Magazin „Cybersicherheit in Zahlen“ präsentieren.
Das Magazin „Cybersicherheit in Zahlen“ steht
hier zum Download bereit.