Es besteht eine Lücke zwischen dem Vertrauen europäischer Unternehmen in ihre Fähigkeit, die Richtlinie einzuhalten, und ihrer tatsächlichen Vorbereitung. Die Unternehmen scheinen von ihrer Leistungsfähigkeit überzeugt zu sein, weshalb das Management apathisch ist und Compliance-Projekte nicht überstürzt auf den Weg bringt.
Wenn es um Cybersicherheit geht, ist die „nächste Station“ für Anbieter und Unternehmen die Einhaltung der Anforderungen der neuen NIS2-Vorschriften. Diese Richtlinie stellt einen wichtigen Schritt hin zu einer besseren Sicherheit kritischer Infrastrukturen in Europa dar. Obwohl dies mit zusätzlichen Verpflichtungen und Kosten verbunden ist, sollten sich Unternehmen jetzt darauf vorbereiten, vor Ablauf der Frist am 18. Oktober 2024 bereit zu sein.
Bis dahin müssen alle Mitgliedstaaten der Europäischen Union die Anforderungen der NIS2-Richtlinie in ihre nationale Gesetzgebung umgesetzt haben. Die betroffenen Unternehmen müssen die notwendigen Maßnahmen zur Einhaltung der neuen Standards getroffen haben.
Zscaler hat gerade eine Studie über die Vorbereitung oder Unvorbereitetheit von Unternehmen und ihre Wahrnehmung ihrer Position in Bezug auf die NIS-2-Fristen veröffentlicht. Dies verdeutlicht die Kluft zwischen der Zuversicht europäischer Unternehmen, die Richtlinie bis zum 17. Oktober einzuhalten und ihre Fähigkeit, die erforderlichen Anforderungen zu verstehen. Die Studie basiert auf dem Feedback von mehr als 875 IT-Managern in sechs europäischen Märkten.
CISOs müssen das Bewusstsein der Stakeholder schärfen
Den Ergebnissen zufolge ist zwar eine Mehrheit (80 %) der Befragten zuversichtlich, dass ihr Unternehmen die Compliance-Anforderungen vor Ablauf der Frist erfüllen wird, nur 14 % geben jedoch an, dass sie diese bereits eingehalten haben. Darüber hinaus glaubt etwas mehr als die Hälfte der IT-Manager (53 %), dass ihre Teams die Anforderungen vollständig verstehen, etwas weniger (49 %) glauben jedoch, dass das Management die volle Bedeutung versteht.
Eine Lücke, die die Notwendigkeit von Bewusstsein verdeutlicht. CISOs müssen daher ihr Pilgerpersonal einsetzen, um das Bewusstsein aller relevanten Interessengruppen zu schärfen, um vor dem schicksalhaften Datum Verständnis und möglicherweise Eigenverantwortung zu gewährleisten. Dies reicht vom Vorstand bis hin zu Abteilungsleitern und Firmenmitarbeitern.
Angesichts der Kluft zwischen dem gezeigten Vertrauen und dem „Fortschritt der Arbeiten“ in den Unternehmen stellen sich die Autoren der Studie zu Recht die Frage, ob die Unternehmen die Auswirkungen der Richtlinie verstehen. „Es besteht eine Lücke zwischen dem Vertrauen der Verantwortlichen in die fristgerechte Einhaltung der Richtlinie und ihrem tatsächlichen Verständnis des Inhalts“, sagen sie. Dies verdeutlicht die Spannungen zwischen ihrer Rhetorik zur NIS-2-Richtlinie und den tatsächlichen Maßnahmen, die zu ihrer Erreichung ergriffen wurden.“. Kurz gesagt, dieses Vertrauen ist entweder Teil der Coué-Methode oder das Ergebnis eines schlecht informierten Optimismus.
Die IT erhält vom Management nicht die nötige Unterstützung
Bei der Analyse der Zahlen wird die Diskrepanz noch offensichtlicher. Die Befragten geben an, dass IT-Führungskräfte die wachsende Bedeutung der NIS-2-Regulierung erkennen. Ein Drittel (32 %) gibt an, dass sie für ihre Führungskräfte höchste Priorität hat, und 52 % sagen, dass sie immer wichtiger wird.
Diese Priorität scheint sich jedoch nicht in der angemessenen Unterstützung niederzuschlagen, die die IT-Teams benötigen, die die gesamte Last der Compliance auf ihren Schultern tragen. Daher glauben die meisten IT-Manager (56 %), dass ihre Teams nicht die nötige Unterstützung vom Management erhalten, um die Compliance-Frist einzuhalten.
Diese Kluft zwischen der Freiwilligkeit der Cyber-Manager und der Untätigkeit ihres Managements lässt sich durch die bisherigen Erfahrungen mit der regulatorischen Entwicklung, der DSGVO, erklären. Unternehmensführer zählen zweifellos auf die Nachsicht der Regulierungsbehörden, wie es auch beim Inkrafttreten der DSGVO der Fall war.
Sie hoffen, von einer Übergangszeit zu profitieren. Zur Erinnerung: Unternehmen profitierten von einer zweijährigen Übergangsfrist zur Einhaltung der DSGVO. Es ist durchaus möglich, dass der Gesetzgeber für NIS 2 einen ähnlichen Ansatz verfolgt, dies ist jedoch derzeit noch unbestätigt.
Springe nach vorne, um aufzuholen
Olivier Godin, SRVP Sales bei Zscaler France erklärt: „Während ein gewisses Vertrauen in die Fähigkeit von Unternehmen besteht, NIS 2 vor Ablauf der schnell näher rückenden Frist einzuhalten, zeigen unsere Untersuchungen, dass dieses Vertrauen möglicherweise auf relativ wackeligen Fundamenten steht. Wenn sie nicht wachsam sind, könnten viele Unternehmen dazu übergehen, andere Cybersicherheitsprozesse zu vernachlässigen und zu vernachlässigen.“. Diese Möglichkeit wird der Studie zufolge von 60 % der IT-Verantwortlichen anerkannt.
Auch wenn die NIS-2-Richtlinie auf dem derzeit geltenden NIS-1-Rahmenwerk basiert, sind 62 % der Befragten der Meinung, dass es erhebliche Unterschiede gibt. Um der Richtlinie gerecht zu werden, haben IT-Verantwortliche eine ziemlich genaue Vorstellung von den Projekten, die auf sie warten. Sie erkennen, dass sie erhebliche Änderungen an ihrem Technologie-Stack und ihren Cybersicherheitslösungen vornehmen müssen (34 %), um das Bewusstsein bei Mitarbeitern (20 %) und Managern (17 %) zu schärfen.
Unter den Teilen der Richtlinie, die am häufigsten als problematisch genannt werden, wird die Sicherheit beim Erwerb, der Entwicklung und der Wartung von Netzwerken und Informationssystemen (31 %) an erster Stelle genannt. Darauf folgen grundlegende Cyberhygiene- und Cybersicherheitsbewusstseinspraktiken (30 %), gefolgt von Richtlinien und Verfahren für wirksame Cyber-Risikomanagementmaßnahmen.
Cybersicherheit (29 %).
Legacy-Systeme können Probleme verursachen
Zusätzlich zu der in der Studie aufgezeigten Lücke weist sie auf ein weiteres Problem hin: Altsysteme können Probleme bereiten, weil sie nicht auf den nächsten Schritt vorbereitet sind. „Obwohl sich die Richtlinie als eine Reihe grundlegender Cybersicherheitsanforderungen darstellt, zeigt die Studie, dass viele europäische Unternehmen in Bezug auf Cybersicherheitsstandards nicht so weit fortgeschritten sind, wie sie sein sollten.“schreiben die Autoren der Studie.
So halten weniger als ein Drittel (31 %) der Befragten ihr aktuelles Cyber-Hygieneniveau für „sehr gut“. Die Studie stellt fest, dass unter den Sektoren, die am wenigsten vorbereitet sind, nur 14 % der IT-Manager im Transportwesen und 21 % im Energiesektor sagen, dass sie dieses Exzellenzniveau erreicht haben. Zahlen zeigen, dass in einigen kritischen Infrastrukturbereichen in den letzten Jahren zu wenige Unternehmen die Sicherheitskontrollen eingehalten haben.
Die Einhaltung von NIS 2 ist für diese Unternehmen möglicherweise ein zu hoher Schritt. Sie könnten Schwierigkeiten haben, technische, betriebliche und organisatorische Maßnahmen zu ergreifen, um die Risiken zu bewältigen, die die Sicherheit von Netzwerken und Informationssystemen gefährden.
