Ab dem 17. Oktober 2024 gilt für Unternehmen in der Europäischen Union die neue NIS-2-Richtlinie. Hinter der Richtlinie stecken höhere Cybersicherheitsanforderungen, die die Unternehmen vor Herausforderungen stellt. Eine aktuelle Studie von Blackberry zeigt, viele Unternehmen können die Vorgaben nicht einhalten und sehen dies nicht als Priorität.
Inhaltsverzeichnis
1. Ergebnisse der Studie
2. Software-Lieferkette als zentrale Rolle
3. Mangel an Transparenz
4. Transparente Kommunikation mit Kunden
Das größte Problem für die Unternehmen ist dabei die fehlende Übersicht über die Software-Lieferkette. Betroffen von dieser zweiten Network and Information Security (NIS) Richtlinie sind zwischen 25.000 und 40.000 deutsche Unternehmen. Die Richtlinie fordert Konzepte für die Risikoanalyse, Sicherheit der Informationstechnik, Bewältigung von Sicherheitsvorfällen und die Aufrechterhaltung des Betriebs. „Unsere Studie zeigt rund um die NIS-2-Richtlinie noch Handlungsbedarf auf und die Zeit drängt. In Unternehmen kommt es jetzt darauf an, die richtigen Strategien und Lösungen zur Umsetzung der Vorgaben zu wählen“, erklärt Ulf Baltin, Managing Director DACH bei Blackberry. „Wir unterstützen unsere Kunden gerne bei der wichtigen Aufgabe – mit umfassender Beratung und passenden Tools. Gemeinsam meistern wir die große Herausforderung.“
Ergebnisse der Studie
Je nach Größe der Unternehmen sehen die Bestimmungen anders aus, nicht alle müssen das Maximum an Sicherheit gewährleisten. Von den für die Studie von BlackBerry befragten deutschen Unternehmen unterliegen 64 Prozent der NIS-2-Richtlinie. Insgesamt gehen 54 Prozent mit hoher oder sehr hoher Zuversicht davon aus, die Vorgaben zum Stichtag einzuhalten. Dagegen sind 33 Prozent nur etwas zuversichtlich und 13 Prozent nicht sehr zuversichtlich.
Software-Lieferkette als zentrale Rolle
Eine große Rolle spielt dabei die Software-Lieferkette von Unternehmen. Sie stellt nicht nur ein riesiges Einfallstor für Cyberkriminelle dar, sondern erschwert auch die Compliance mit der NIS-2-Richtlinie. Das hängt mit der strengen Meldepflicht von Sicherheitsvorfällen zusammen. Nach der Entdeckung eines erheblichen, erfolgreichen Cyberangriffs müssen Unternehmen innerhalb von 24 Stunden das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kenntnis setzen.
Von Vorfällen in der eigenen Software Supply Chain erfahren sie selbst jedoch oft spät. Nur 32 Prozent verlangen, in den ersten vier Stunden von den betroffenen Partnern und Software-Lieferanten zu hören. Die anderen 68 Prozent erwarten eine Benachrichtigung innerhalb eines Tages oder sogar erst später. Bei dieser Ausgangslage geraten Unternehmen in Gefahr, gegen die Compliance-Anforderungen zu verstoßen und Konsequenzen zu tragen.
Mangel an Transparenz
Vielerorts erscheint die Software-Lieferkette auch wie ein blinder Fleck in der Sicherheitsstrategie. Kurzum: Es besteht ein Mangel an Transparenz. Wer zur Software Supply Chain gehört, bleibt häufig unklar. So wurden 79 Prozent der Unternehmen im letzten Jahr auf ein Mitglied aufmerksam gemacht, das zuvor unbekannt war beziehungsweise dessen Sicherheitsmaßnahmen sie bis dahin nicht überwachten.
Transparente Kommunikation mit Kunden
Die meisten Unternehmen (72 Prozent) verfolgen die Auswirkungen von Schwachstellen in einer bestehenden Software-Lieferkette bis hin zu den Endkunden. Doch 39 Prozent informieren sie nicht oder nur gelegentlich über solche Schwachstellen. Beim Umgang mit Endkunden gibt es demnach Optimierungspotenzial. Aber woran scheitert vielerorts eine transparente Kommunikation? Als großes Hindernis nennen 37 Prozent fehlendes Personal. Weitere 37 Prozent möchten Klagen vermeiden.
Häufig macht das Management den offenen Umgang mit Endkunden auch nicht zur Priorität (34 Prozent). In einigen Unternehmen (26 Prozent) fehlt zudem die Zeit oder es stehen zu viele andere Aufgaben an. Hinzu kommen noch 23 Prozent, die negative Auswirkungen auf die Unternehmensreputation befürchten. Gerade das Stillschweigen schadet aber potenziell der eigenen Reputation. Das müssen Verantwortliche neben der Umsetzung der NIS-2-Richtlinie auch bedenken und entsprechend handeln. (vk)
