Eine neue, von Veeam in Auftrag gegebene Censuswide-Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale Cyber-Sicherheitsrichtlinie. Die Umfrage zeigt, dass die meisten IT-Führungskräfte zwar zuversichtlich sind, die NIS2-Konformität zu erreichen, die Richtlinie jedoch bestehende Herausforderungen wie Ressourcen-Beschränkungen und Qualifikationsdefizite verstärkt hat.
Zudem stellt der „Skill-Gap“ das größte Spannungsfeld für Organisationen in der EMEA-Region dar, wobei 30 Prozent angaben, dass sie auf Rekrutierungs-Budgets zurückgegriffen haben, um die NIS2-Compliance-Bemühungen zu unterstützen.
NIS2-Budget ist gesichert – allerdings zu einem hohen Preis
Die Umfrage hat zudem gezeigt, dass es einem Teil der IT-Führungskräften zwar gelungen ist, ausreichend Budget für die Einhaltung der NIS-Richtlinie zu sichern, die Auswirkungen auf andere Bereiche jedoch erheblich sein könnten: 68 Prozent der Unternehmen berichten, dass sie das erforderliche zusätzliche Budget für die NIS2-Konformität erhalten haben.
Trotzdem sehen 20 Prozent ihr Budget für die Einhaltung der Vorschriften als erhebliches Hindernis an. Seit der politischen Einigung zu NIS2 im Januar 2023 mussten 40 Prozent der Unternehmen mit gekürzten IT-Budgets auskommen und 20 Prozent mit unveränderten Finanzmitteln.
Darüber hinaus haben 95 Prozent der Organisationen Mittel von anderen Geschäftsbereichen abgezogen, um die Kosten für NIS2-Konformität zu decken, d.h. konkret betroffen waren Budgets für das Risikomanagement (34 Prozent), die Personalbeschaffung (30 Prozent), das Krisenmanagement (29 Prozent) und die Notfallreserven (25 Prozent). Diese Umverteilung beweist, dass die ohnehin schon knappen finanziellen Ressourcen zusätzlich belastet werden.
Edwin Weijdema, Field CTO EMEA bei Veeam, erklärt: „Die Sicherstellung eines angemessenen Budgets für Cybersicherheit ist für IT-Führungskräfte oft eine Herausforderung, aber die strengen Strafen und die Betonung der Verantwortlichkeit von Unternehmen durch NIS2 können diesen Prozess erleichtern.
Da jedoch die meisten IT-Budgets entweder gekürzt werden oder stagnieren – und somit aufgrund steigender Geschäftskosten und Inflation effektiv schrumpfen – schöpft NIS2 aus einem bereits begrenzten Pool. Besonders besorgniserregend ist die Tatsache, dass Mittel aus der Personalbeschaffung und Notreserven abgezweigt werden. NIS2 sollte nicht als Krise behandelt werden, doch ein Viertel der Unternehmen scheint dies so wahrzunehmen.“
NIS2 verschärft die Herausforderungen für IT-Führungskräfte
Im Rahmen der Umfrage wurden auch die wichtigsten geschäftlichen Belastungen der IT-Führungskräfte aufgezeigt. Da NIS2 auf Platz 10 der Prioritätenliste rangiert, unterstreicht dies die Vielzahl der Herausforderungen, mit denen sich die Führungsebene konfrontiert sieht.
Die fünf größten Herausforderungen sind der Fachkräftemangel (24 Prozent), die Sorgen um die Rentabilität (23 Prozent), die digitale Transformation (23 Prozent), die steigenden Geschäftskosten (20 Prozent) und ein Mangel an Ressourcen (20 Prozent). Diese Ergebnisse zeigen, dass sowohl personelle als auch finanzielle Ressourcen die wichtigsten limitierenden Faktoren für IT-Führungskräfte darstellen, obwohl NIS2 beides erfordert.
Um die Vorschriften einzuhalten, ergreifen die Unternehmen verschiedene Maßnahmen: Durchführung von IT-Audits (29 Prozent), Überprüfung von Cybersecurity-Prozessen und Best Practices (29 Prozent), Entwicklung neuer Richtlinien und Verfahren (28 Prozent), Investition in neue Technologien (28 Prozent) und Aufstockung des Budgets für Cybersicherheit (28 Prozent).
Laut den befragten gehören zu den wichtigsten Voraussetzungen für die Einhaltung von NIS2 neue Technologie-Lösungen (27 Prozent), IT-Audits (25 Prozent) und interne organisatorische Fähigkeiten (25 Prozent), die allesamt ausreichende Budgets und Fachkenntnisse erfordern.
IT-Budget im EMEA-Wirtschaftsraum wird von Security und Compliance dominiert
Trotz der allgemeinen Kürzungen der IT-Budgets in den letzten zwei Jahren wurden immer noch zusätzliche Mittel für die Einhaltung von NIS2 bereitgestellt – entweder aus dem IT-Budget oder an anderer Stelle im Unternehmen. Diese Einschränkung könnte erklären, warum 80 Prozent der IT-Budgets in der EMEA-Region von Unternehmen, die NIS2 einhalten müssen, für Cybersecurity und Compliance aufgewendet werden.
Dies lässt wenig Spielraum zur Bewältigung der wichtigsten Herausforderungen der IT-Verantwortlichen wie zum Beispiel Beheben des Fachkräftemangels, Unterstützung der Rentabilität und das Vorantreiben der digitalen Transformation.
„Die Aufrechterhaltung von Security- und Compliance-Management ist für jedes Unternehmen lebenswichtig, aber die Tatsache, dass dies derzeit den Löwenanteil des IT-Budgets verschlingt, unterstreicht, wie unzureichend vorbereitet und ausgestattet die Organisationen sind. IT-Führungskräfte haben begrenzte Budgets und müssen dennoch Ressourcen finden, um die NIS2-Anforderungen schnell zu erfüllen.“
„Diejenigen, die einen ganzheitlichen Ansatz für Cybersecurity und Best Practices verfolgen, bevor gesetzliche Vorgaben sie vorschreiben, stehen natürlich weniger unter Druck und können besser auf andere wichtige Prioritäten und Herausforderungen eingehen“, erläutert Andre Troskie, Field CISO EMEA bei Veeam.
Großbritannien führt den NIS2-Ländervergleich an
Obwohl NIS2 britische Unternehmen nicht direkt betrifft, müssen diejenigen, die Geschäfte mit EU-Unternehmen tätigen, die NIS2-Konformität ebenso einhalten, und ihre Antworten zeichnen ein anderes Bild. Das Vereinigte Königreich war das einzige der befragten Länder, das einen Anstieg der IT-Budgets seit Januar 2023 meldete.
62 Prozent der britischen IT-Entscheider berichteten von einer Budgeterhöhung und nur 14 Prozent verzeichneten einen Rückgang. Dies hat es den britischen Unternehmen ermöglicht, im Vorfeld der Richtlinie verstärkt in die Verbesserung ihrer Sicherheitslage zu investieren.
38 Prozent der in Großbritannien ansässigen Befragten haben bereits die Überprüfung von Cybersecurity-Prozessen und Best Practices veranlasst und 34 Prozent haben in neue Technologien investiert. Das sind höhere Zahlen als bei ihren EU-Kollegen.
Britische IT-Führungskräfte planen auch weiterhin erhebliche Investitionen, wobei 30 Prozent beabsichtigen, Cybersecurity-Prozesse und Best Practices weiter zu überprüfen und 25 Prozent planen entsprechende Investitionen in neue Technologien, verglichen mit einem Durchschnitt von 15 Prozent beziehungsweise 16 Prozent in den anderen befragten Ländern.
Dan Middleton, Regional Vice President UK & Irland bei Veeam, erklärt:
„Angesichts ihrer Bereitschaft zu investieren und sich zu verbessern, überrascht es nicht, dass 90 Prozent der britischen IT-Entscheider zuversichtlich sind, die regulatorischen Anforderungen zu erfüllen – das erklärt das höchste Vertrauen in der EMEA-Region.
Dies sind gute Nachrichten im Hinblick auf den bevorstehenden Cyber Security and Resilience Bill. Auch wenn die Details noch nicht bekannt sind, werden alle Maßnahmen, die britische Unternehmen jetzt ergreifen, um ihre Cyber- und Datenresilienz zu stärken, ihnen zugutekommen, wenn diese Verordnung in Kraft tritt.
Dazu gehören auch die geplanten Investitionen von über einem Drittel (36 Prozent) der britischen Befragten in die Weiterbildung bestehender Mitarbeiter, die dazu beitragen wird, das wachsende Qualifikationsdefizit zu schließen - ein Problem, das ein Drittel (30 Prozent) der britischen Unternehmen stärker unter Druck setzt als jede andere allgemeine IT-Herausforderung.“