Europäische Finanzunternehmen erwarten termingerechte Umsetzung der NIS2-Richtlinie

Eine aktuelle Studie des Cloud-Sicherheitsanbieters Zscaler hat ergeben, dass 80 Prozent der europäischen IT-Führungskräfte zuversichtlich sind, die Anforderungen der NIS2-Richtlinie bis zum Stichtag im Oktober zu erfüllen. Die Untersuchung unter 875 IT-Verantwortlichen in Europa verdeutlicht jedoch, dass nur 53 Prozent der Befragten glauben, dass ihre Teams die Anforderungen vollständig verstehen. Bei der NIS2 handelt es sich um eine überarbeitete Version der bestehenden Richtlinie zur Netz- und Informationssicherheit (NIS1). In der Richtlinie werden unter anderem Kriterien zur Identifizierung von Betreibern kritischer Infrastrukturen festgelegt und Mindeststandards für deren Informationssicherheit definiert.

Die Ergebnisse der Studie, die den Titel „NIS2 and Beyond: Risk, Reward & Regulation Readiness“ trägt, zeigen, dass nur 14 Prozent der Unternehmen bereits jetzt alle Anforderungen erfüllen. Darüber hinaus gibt ein Drittel der Befragten an, dass die NIS2-Richtlinie für das obere Management oberste Priorität hat, während 56 Prozent der IT-Entscheider das Gefühl haben, nicht genügend Unterstützung von der Führungsebene zu erhalten.

Lediglich 14 Prozent geben an, dass sie diese bereits erfüllt haben. Allerdings ist lediglich etwas mehr als die Hälfte (53 Prozent) der IT-Führungskräfte der Ansicht, dass ihre Teams die Anforderungen vollständig verstehen. Noch weniger (49 Prozent) glauben, dass dies bei der Unternehmensleitung der Fall ist. CISOs stehen vor der dringenden Notwendigkeit, alle relevanten Interessengruppen – von der Vorstandsebene über Abteilungsleiter bis hin zu den Mitarbeitern in der gesamten Organisation – abzuholen, um die Einhaltung der Vorschriften vor dem Fälligkeitsdatum sicherzustellen.

Es gibt eine allgemeine Zuversicht, dass die NIS2-Konformität erreicht wird, doch diese Zuversicht könnte trügerisch sein. Ein starker Fokus auf die Einhaltung der Frist könnte dazu führen, dass andere Cybersicherheitsprozesse vernachlässigt werden.“

Christoph Schuhwerk, CISO in Residence bei Zscaler

Nur jedes dritte Unternehmen bewertet Cyber-Hygiene als ausgezeichnet

Die Studie hebt hervor, dass 62 Prozent der Befragten die NIS2-Anforderungen als deutlich unterschiedlich zu bestehenden Rahmenwerken empfinden. Notwendige Anpassungen betreffen vor allem die Bereiche Technologie und Cybersicherheitslösungen, Mitarbeiterschulung und Führungskräftetraining. Nur 31 Prozent der Unternehmen bewerten ihre derzeitige Cyber-Hygiene als „ausgezeichnet“, wobei dies in kritischen Sektoren wie Transport und Energie sogar noch niedriger ausfällt.

Auf die Frage nach den drei größten Herausforderungen der Richtlinie wurden am häufigsten die Bereiche Sicherheit bei Beschaffung, Entwicklung und Wartung von Netzwerken und Informationssystemen (31 Prozent) sowie grundlegende Cyber-Hygiene und Cybersicherheitsschulungen (30 Prozent) und nicht zuletzt Richtlinien und Verfahren für ein wirksames Risikomanagement der Cybersicherheit (29 Prozent) genannt.

Die Vorschriften sollten als Chance verstanden werden, die grundlegende Sicherheit auf ein höheres Niveau zu heben. Dazu müssen sie zum Bestandteil der fortlaufenden Prozesse eines Unternehmens werden, anstatt nur eine punktuelle Pflichtübung für IT-Teams zu sein.“

James Tucker, Head of CISOs in Residence bei Zscaler

In der NIS2 wird die Verantwortung der Organisationen betont, die Sicherheit von Netzwerken und Informationssystemen durch eine Governance-Kultur und ein umfassendes Risikomanagement zu gewährleisten. Organisationen sind verpflichtet, proaktive technische, betriebliche und organisatorische Maßnahmen zu treffen, um die Risiken für die Sicherheit von Netzwerken und Informationssystemen zu managen. Mehr Informationen zu der Studie gibt es im Blog des Unternehmens.tw