NIS2 fordert von Organisationen Ressourcen: 95 Prozent der EMEA-Unternehmen zapfen andere Budgets an
5. November 2024Erhebliche Auswirkungen auf Unternehmen bringt die Anpassung an die zentrale Cyber-Sicherheitsrichtlinie NIS2 mit sich. Eine Studie von Veeam stellt fest, dass die meisten IT-Führungskräfte zwar zuversichtlich sind, die NIS2-Konformität zu erreichen, die Richtlinie jedoch bestehende Herausforderungen wie Ressourcen-Beschränkungen und Qualifikationsdefizite verstärkt hat. Dabei offenbart sich auch, dass der „Skill-Gap“ das größte Spannungsfeld für Organisationen in der EMEA-Region darstellt, wobei 30 Prozent angaben, dass sie auf Rekrutierungs-Budgets zurückgegriffen haben, um die NIS2-Compliance-Bemühungen zu unterstützen.
Einem Teil der IT-Führungskräften ist es laut Umfrage zwar gelungen ist, ausreichend Budget für die Einhaltung der NIS-Richtlinie zu sichern, die Auswirkungen auf andere Bereiche jedoch erheblich sein könnten: 68 Prozent der Unternehmen berichten, dass sie das erforderliche zusätzliche Budget für die NIS2-Konformität erhalten haben. Trotzdem sehen 20 Prozent ihr Budget für die Einhaltung der Vorschriften als erhebliches Hindernis an.
Seit der politischen Einigung zu NIS2 im Januar 2023 mussten 40 Prozent der Unternehmen mit gekürzten IT-Budgets auskommen und 20 Prozent mit unveränderten Finanzmitteln. Darüber hinaus haben 95 Prozent der Organisationen Mittel von anderen Geschäftsbereichen abgezogen, um die Kosten für NIS2-Konformität zu decken, d.h. konkret betroffen waren Budgets für das Risikomanagement (34 Prozent), die Personalbeschaffung (30 Prozent), das Krisenmanagement (29 Prozent) und die Notfallreserven (25 Prozent). Diese Umverteilung beweist, dass die ohnehin schon knappen finanziellen Ressourcen zusätzlich belastet werden.
NIS2 verschärft die IT-Herausforderungen
Im Rahmen der Umfrage wurden auch die wichtigsten geschäftlichen Belastungen der IT-Führungskräfte aufgezeigt. Da NIS2 auf Platz 10 der Prioritätenliste rangiert, unterstreicht dies die Vielzahl der Herausforderungen, mit denen sich die Führungsebene konfrontiert sieht. Die fünf größten Herausforderungen sind der Fachkräftemangel (24 Prozent), die Sorgen um die Rentabilität (23 Prozent), die digitale Transformation (23 Prozent), die steigenden Geschäftskosten (20 Prozent) und ein Mangel an Ressourcen (20 Prozent). Diese Ergebnisse zeigen, dass sowohl personelle als auch finanzielle Ressourcen die wichtigsten limitierenden Faktoren für IT-Führungskräfte darstellen, obwohl NIS2 beides erfordert.
Um die Vorschriften einzuhalten, ergreifen die Unternehmen verschiedene Maßnahmen: Durchführung von IT-Audits (29 Prozent), Überprüfung von Cybersecurity-Prozessen und Best Practices (29 Prozent), Entwicklung neuer Richtlinien und Verfahren (28 Prozent), Investition in neue Technologien (28 Prozent) und Aufstockung des Budgets für Cyber-Sicherheit (28 Prozent). Laut den befragten gehören zu den wichtigsten Voraussetzungen für die Einhaltung von NIS2 neue Technologie-Lösungen (27 Prozent), IT-Audits (25 Prozent) und interne organisatorische Fähigkeiten (25 Prozent), die allesamt ausreichende Budgets und Fachkenntnisse erfordern.
Security und Compliance dominieren IT-Budgets
Trotz der allgemeinen Kürzungen der IT-Budgets in den letzten zwei Jahren wurden immer noch zusätzliche Mittel für die Einhaltung von NIS2 bereitgestellt – entweder aus dem IT-Budget oder an anderer Stelle im Unternehmen. Diese Einschränkung könnte erklären, warum 80 Prozent der IT-Budgets in der EMEA-Region von Unternehmen, die NIS2 einhalten müssen, für Cybersecurity und Compliance aufgewendet werden. Dies lässt wenig Spielraum zur Bewältigung der wichtigsten Herausforderungen der IT-Verantwortlichen wie zum Beispiel Beheben des Fachkräftemangels, Unterstützung der Rentabilität und das Vorantreiben der digitalen Transformation.
Obwohl NIS2 britische Unternehmen nicht direkt betrifft, müssen diejenigen, die Geschäfte mit EU-Unternehmen tätigen, die NIS2-Konformität ebenso einhalten, und ihre Antworten zeichnen ein anderes Bild. Das Vereinigte Königreich war das einzige der befragten Länder, das einen Anstieg der IT-Budgets seit Januar 2023 meldete. 62 Prozent der britischen IT-Entscheider berichteten von einer Budgeterhöhung und nur 14 Prozent verzeichneten einen Rückgang. Dies hat es den britischen Unternehmen ermöglicht, im Vorfeld der Richtlinie verstärkt in die Verbesserung ihrer Sicherheitslage zu investieren.
38 Prozent der in Großbritannien ansässigen Befragten haben bereits die Überprüfung von Cybersecurity-Prozessen und Best Practices veranlasst und 34 Prozent haben in neue Technologien investiert. Das sind höhere Zahlen als bei ihren EU-Kollegen. Britische IT-Führungskräfte planen auch weiterhin erhebliche Investitionen, wobei 30 Prozent beabsichtigen, Cybersecurity-Prozesse und Best Practices weiter zu überprüfen und 25 Prozent planen entsprechende Investitionen in neue Technologien, verglichen mit einem Durchschnitt von 15 Prozent beziehungsweise 16 Prozent in den anderen befragten Ländern.
Methodik der NIS2-Umfrage
Censuswide führte diese Untersuchung zu NIS2 im Auftrag von Veeam zwischen dem 29. August und dem 02. September 2024 durch. An der Umfrage nahmen über 500 IT-Experten und -Verantwortliche aus Deutschland, Belgien, Frankreich, den Niederlanden und dem Vereinigten Königreich teil. Obwohl das Vereinigte Königreich kein EU-Mitgliedsstaat ist, wurde es aufgrund seiner bedeutenden Geschäftsbeziehungen zu EU-Ländern miteinbezogen.
Ein zusätzliches Kriterium stellte sicher, dass die britischen Befragten entweder derzeit Geschäfte in der EU tätigen oder dies in Zukunft planen. Um eine ausgewogene Repräsentation zu erreichen, wurden Quoten für jeden Markt festgelegt: 50 Befragte stammten aus mittelgroßen Unternehmen (50 bis 249 Mitarbeiter) und 50 aus großen sowie sehr großen Unternehmen (250+). Die Teilnehmer wurden aus Branchen ausgewählt, die zu den wesentlichen und wichtigen Einrichtungen gehören, die der NIS2-Richtlinie unterliegen. Die Studie war national repräsentativ. (rhh)