Was bedeutet NIS-2 für Unternehmen?
Mit der NIS-2-Richtlinie verpflichtet die EU tausende Unternehmen in Deutschland – darunter auch viele kleine und mittlere Unternehmen (KMU) – dazu, ihre IT-Sicherheitsmaßnahmen deutlich zu verschärfen. Sobald NIS-2 in nationales Recht überführt ist, kommen auf viele Unternehmen neue Anforderungen zu. Konkret geht es um:
- Registrierungspflichten
- verpflichtende Sicherheitsprüfungen
- strengere Meldepflichten
- Haftungsregeln für Geschäftsführungen
Für Unternehmen, die unsicher sind, ob und wie sie von der NIS-2-Richtlinie betroffen sind, gibt es eine zentrale Anlaufstelle vom eurobits e.V., die kleinen und mittleren Unternehmen Hilfe zum Thema bietet.
Neugier öffnet Cyberrisiken
„Mit Vorgaben wie denen aus der NIS-2-Richtlinie wird deutlich: Die Anforderungen an die IT-Sicherheit steigen. Das ist auch notwendig, denn wer nicht auf den Ernstfall vorbereitet ist, geht ein hohes Risiko ein. Unser Kompetenzzentrum hilft Betrieben mit einfachen und direkt umsetzbaren Maßnahmen, ihre digitale Sicherheit zu erhöhen“, sagt Sebastian Barchnicki, Sprecher der Geschäftsführung von DIGITAL.SICHER.NRW.
Die Studienergebnisse legen nahe, dass in vielen Unternehmen ein grundlegendes Sicherheitsbewusstsein noch fehlt. So öffneten Beschäftigte aus Neugier mögliche Einfallstore für Sicherheitsrisiken. Besonders empfänglich zeigen sich Angestellte gegenüber potenziellen Phishing-Versuchen. Fast ein Viertel der Befragten gab an, bereits einmal einen unbekannten QR-Code gescannt zu haben. Auch unbekannte Links und Anhänge in E-Mails werden nach wie vor geöffnet.
„Phishing – also betrügerische E-Mails – ist nach wie vor eine beliebte Methode von Cyberkriminellen, um in Unternehmensnetzwerke einzudringen. Sie tun das, indem sie so Zugangsdaten stehlen oder Schadsoftware einschleusen“, erklärt Andreas Lüning, Vorstand und Mitgründer der G DATA CyberDefense AG. „Diese E-Mails sehen heute oft täuschend echt und professionell aus, sodass sie schwer zu erkennen sind. Deshalb ist es besonders wichtig, dass gesamte Team regelmäßig zu schulen und zu sensibilisieren. Denn leider wird solche Post oft zu sorglos oder aus Neugier geöffnet – statt sie kritisch zu hinterfragen.“
Wahrnehmung und Realität klaffen auseinander
Gleichzeitig herrscht ein hohes Vertrauen in die eigene IT-Abteilung: Über drei Viertel der Angestellten halten ihre IT-Abteilung im Bereich Cybersicherheit für gut aufgestellt. Das Schutzgefühl am Arbeitsplatz erreicht einen neuen Höchststand.
Zudem wird das Risiko, selbst von Cyberkriminalität betroffen zu sein, von vielen Unternehmen in NRW als (sehr) gering eingeschätzt. Besonders kleine und mittlere Unternehmen halten sich für kein attraktives Angriffsziel.
„Die Diskrepanz zwischen objektiver Bedrohungslage und subjektiver Risikoeinschätzung ist besorgniserregend. Denn kein Betrieb ist zu klein oder zu unbedeutend, um ins Visier von Cyberkriminellen zu geraten“, so Barchnicki.
Weitere Studienergebnisse sowie Angaben zur Methodik sind hier verfügbar.
