Die NIS 2-Richtlinie zielt darauf ab, in der Europäischen Union ein hohes gemeinsames Niveau an Cybersicherheit zu erreichen. Die Mitgliedsstaaten müssen sicherstellen, dass Organisationen in 15 Industriesegmenten geeignete Maßnahmen ergreifen, um die Risiken für die Sicherheit von Netz- und Informationssystemen zu managen.
Eine neue Studie von Zscaler untersucht den derzeitigen Stand der Umsetzung von NIS 2. Die Ergebnisse einer Befragung von 875 IT-Führungskräften in Europa zeigen eine Diskrepanz zwischen der Zuversicht europäischer Organisationen, eine Konformität mit den Regularien bis zum Stichtag am 17. Oktober diesen Jahres zu erreichen und dem Verständnis zu den Anforderungen. Laut der Zscaler Studie NIS 2 and Beyond: Risk, Reward & Regulation Readiness sind 80 Prozent der IT-Führungskräfte zuversichtlich, dass ihre Organisation Compliance-Anforderungen bis zum Stichtag erfüllen wird. Lediglich 14 Prozent geben an, dass sie diese bereits erfüllt haben. Allerdings ist lediglich etwas mehr als die Hälfte (53 Prozent) der IT-Führungskräfte der Ansicht, dass ihre Teams die Anforderungen vollständig verstehen. Noch weniger (49 Prozent) glauben, dass dies bei der Unternehmensleitung der Fall ist. CISOs stehen vor der dringenden Notwendigkeit, alle relevanten Interessengruppen – von der Vorstandsebene über Abteilungsleiter bis hin zu den Mitarbeitenden in der gesamten Organisation – abzuholen, um die Einhaltung der Vorschriften vor dem Fälligkeitsdatum sicherzustellen.
NIS 2 Umsetzung: Die Führungsebene muss handeln
Die Untersuchung der Diskrepanz zwischen Zuversicht und Verständnis offenbart Herausforderungen zwischen Einschätzung und Vorgehen der Führungskräfte. Die Befragten geben an, dass die Führungsspitze die wachsende Bedeutung der NIS 2-Richtlinie anerkennen: Ein Drittel (32 Prozent) gibt an, dass NIS 2 für das Management oberste Priorität hat und 52 Prozent bestätigen eine wachsende Bedeutung. Dies scheint sich jedoch nicht in der Unterstützung widerzuspiegeln, die den IT-Teams, die mit der Umsetzung des Konformitätsprozesses betraut sind, angeboten wird. Mehr als die Hälfte der IT-Entscheider (56 Prozent) haben das Gefühl, dass ihre Teams nicht die Unterstützung des Managements erhalten, die für die Einhaltung der Compliance-Frist erforderlich ist.
Christoph Schuhwerk, CISO in Residence bei Zscaler, kommentiert: „In der gesamten Region scheint eine große Zuversicht vorzuherrschen, dass Organisationen die NIS 2-Konformität bis zum nahenden Stichtag erreichen werden. Die Studie deutet darauf hin, dass diese Zuversicht auf einem wackeligen Fundament gebaut ist. Durch einen starken Fokus auf das termingerechte Erreichen der Ziellinie für die Konformität könnten andere Cybersicherheitsprozesse vernachlässigt werden – was nach Ansicht von 60 Prozent der IT-Manager durchaus möglich ist. Führungskräfte müssen jetzt handeln und ihre IT-Teams unterstützen, so dass sie wichtige Schritte zur Einhaltung der Vorschriften umsetzen können und keine Strafen riskieren.“
Steht eine umfassende Überarbeitung der Rahmenbedingungen an?
Obwohl die NIS 2-Richtlinie auf dem bestehenden NIS-Rahmenwerk aufbaut, sind 62 Prozent der Befragten der Ansicht, dass sich die Anforderungen deutlich von den eingesetzten Rahmenwerken unterscheiden. Um der Richtlinie gerecht zu werden, müssen IT-Führungskräfte die größten Veränderungen in den Bereichen Technologie und Cybersicherheitslösungen (34 Prozent), Mitarbeiterschulung (20 Prozent) und Führungskräftetraining (17 Prozent) vornehmen.
Auf die Frage nach den drei größten Herausforderungen der Richtlinie wurden am häufigsten folgende Sektoren genannt:
- Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzwerken und Informationssystemen (31 Prozent)
- grundlegende Cyber-Hygiene und Cybersicherheitsschulungen (30 Prozent)
- Richtlinien und Verfahren für ein wirksames Risikomanagement der Cybersicherheit (29 Prozent).
Nur ein Drittel haben exzellente Cybersicherheitshygiene
Obwohl die NIS 2-Richtlinie grundlegende Anforderungen an die Cybersicherheit enthält, sind viele Unternehmen in Europa mit ihren Cybersicherheitsstandards noch nicht so weit fortgeschritten. Nur 31 Prozent der Befragten bezeichnen ihre derzeitige Cyber-Hygiene als „exzellent“. Einzelne Branchen wie der Transport- und der Energiesektor geben sich ein noch niedrigeres Votum hinsichtlich ihrer Cyber-Hygiene: Lediglich 14 Prozent der IT-Verantwortlichen im Transportbereich und 21 Prozent in Energieunternehmen schätzen ihre Cyber-Hygiene als ausgezeichnet ein. Diese Zahlen deuten darauf hin, dass zu wenige Betreiber kritischer Infrastrukturen ihre Sicherheitsreviews in den letzten Jahren auf dem aktuellsten Stand gehalten haben, was in der Folge bei der diesjährigen Überprüfung der NIS 2-Konformität zu Schwierigkeiten führen könnte.
James Tucker, Head of CISOs in Residence bei Zscaler, sagt: „Die pure Einhaltung von Vorschriften wird niemals die Antwort auf eine erstklassige Cybersicherheitshygiene angesichts der umfangreichen Bedrohungslandschaft sein. Tatsächlich geben mehr als die Hälfte der Befragten an (53 Prozent), dass die NIS 2-Richtlinie nicht weit genug geht. Die Vorschriften sollten als Chance verstanden werden, die grundlegende Sicherheit auf ein höheres Niveau zu heben. Dazu müssen sie zum Bestandteil der fortlaufenden Prozesse eines Unternehmens werden, anstatt nur eine punktuelle Pflichtübung für IT-Teams zu sein. Organisationen sollten diese Gelegenheit dazu nutzen, den Umfang ihres Technologie-Portfolios zu überprüfen, das es gegebenenfalls zu vereinfachen gilt. Ein hochintegrierter Plattformansatz aus der Cloud reduziert die Komplexität der Hardware-Infrastruktur erheblich.“
Methodologie des Zscaler NIS 2-Reports
Die Studie untersuchte, wie sich Unternehmen auf die neue NIS 2-Verordnung vorbereiten, welchen Herausforderungen sie gegenüberstehen und wo sie auf dem Weg zur Umsetzung der Verordnung stehen. Die Umfrage wurde unter mehr als 875 IT-Entscheidungsträgern in Unternehmen mit mehr als 500 Mitarbeitenden in Großbritannien, Frankreich, Deutschland, Italien, Spanien, den Niederlanden und Belgien in den betroffenen Bereichen durchgeführt.
Mehr bei Zscaler.com
Über Zscaler Zscaler beschleunigt die digitale Transformation, damit Kunden agiler, effizienter, widerstandsfähiger und sicherer werden können. Zscaler Zero Trust Exchange schützt Tausende von Kunden vor Cyberangriffen und Datenverlusten, indem es Nutzer, Geräte und Anwendungen an jedem Standort sicher verbindet. Die SSE-basierte Zero Trust Exchange ist die weltweit größte Inline-Cloud-Sicherheitsplattform, die über mehr als 150 Rechenzentren auf der ganzen Welt verteilt ist.