Die neue EU-weite Richtlinie NIS2 stellt hohe Anforderungen an Unternehmen in Bezug auf IT-Sicherheit und Cyberschutz. Eine von Veeam Software in Auftrag gegebene Umfrage zeigt, dass die Umsetzung dieser Anforderungen nicht nur erhebliche finanzielle Ressourcen verschlingt, sondern auch den ohnehin bestehenden Fachkräftemangel und die Ressourcenknappheit verstärkt. Besonders deutlich wird, dass Organisationen ihre finanziellen Mittel neu verteilen müssen, um die NIS2-Compliance-Frist einhalten zu können. Großbritannien, obwohl nicht mehr Teil der EU, gilt hierbei als Vorreiter.
Foto: Veeam
Edwin Weijdema, Field CTO EMEA bei Veeam
Die NIS2-Richtlinie stellt für viele Unternehmen eine ernsthafte Herausforderung dar, nicht nur finanziell, sondern auch organisatorisch. Besonders Unternehmen, die nicht frühzeitig in Cyberresilienz investiert haben, müssen jetzt tief in die Tasche greifen und Gelder aus anderen Bereichen umverteilen. Die Umfrage zeigt deutlich, dass ein hoher Anteil der IT-Budgets in die Sicherstellung der Compliance fließt – zulasten anderer kritischer Bereiche.
Die NIS2-Richtlinie verlangt von Unternehmen, dass sie ihre Cybersicherheitsstandards erheblich anheben. Dies bedeutet aber nicht nur zusätzliche Sicherheitsmaßnahmen, sondern auch die Bereitstellung umfangreicher Ressourcen, die bei vielen Unternehmen bereits begrenzt sind. Laut einer Umfrage unter IT-Führungskräften in der EMEA-Region (Europa, Naher Osten und Afrika) sehen sich 95 Prozent der Unternehmen gezwungen, Budgets aus anderen Geschäftsbereichen abzuziehen, um NIS2-konforme Maßnahmen umzusetzen.
„Die Sicherstellung eines angemessenen Budgets für Cybersicherheit ist für IT-Führungskräfte oft eine Herausforderung, aber die strengen Strafen und die Betonung der Verantwortlichkeit von Unternehmen durch NIS2 können diesen Prozess erleichtern. Da jedoch die meisten IT-Budgets entweder gekürzt werden oder stagnieren – und somit aufgrund steigender Geschäftskosten und Inflation effektiv schrumpfen – schöpft NIS2 aus einem bereits begrenzten Pool“, betont Edwin Weijdema, Field CTO EMEA bei Veeam. Besonders kritisch ist dabei die Umverteilung von Mitteln aus der Personalbeschaffung und den Notreserven, was zeigt, dass viele Unternehmen die Compliance mit NIS2 als Krise wahrnehmen.
Die neue NIS2-Richtlinie verstärkt zudem den bereits bestehenden Fachkräftemangel in der IT-Branche. 30 Prozent der Unternehmen in der EMEA-Region geben an, dass sie Gelder aus Rekrutierungs-Budgets nutzen müssen, um die Anforderungen der NIS2-Compliance zu erfüllen. Gleichzeitig bleibt die Finanzierung eine Hürde: Trotz der Bereitstellung zusätzlicher Mittel für die Richtlinie wurden 40 Prozent der IT-Budgets seit der Einführung im Januar 2023 gekürzt oder nicht erhöht. Dies verstärkt den Druck auf die Unternehmen, die ohnehin schon knappen Ressourcen effektiv zu verwalten.
Die Ergebnisse der Veeam-Umfrage verdeutlichen, dass IT-Führungskräfte sich in einem Spannungsfeld zwischen Compliance und knappen Ressourcen befinden. Die Umsetzung der NIS2-Richtlinie erfordert eine klare Priorisierung, die jedoch oft zu Lasten anderer strategischer IT-Projekte geht.
Obwohl das Vereinigte Königreich nicht mehr Mitglied der EU ist und damit offiziell nicht unter die NIS2-Richtlinie fällt, nehmen britische Unternehmen in der Implementierung von Cybersicherheitsmaßnahmen eine Vorreiterrolle ein. Britische IT-Führungskräfte berichteten von einem Anstieg der IT-Budgets seit Anfang 2023, was ihnen erlaubt, aktiv in Sicherheitsverbesserungen zu investieren. Dies kontrastiert stark mit der Situation in der EU, wo die meisten Unternehmen mit stagnierenden oder sinkenden Budgets zu kämpfen haben.
„Angesichts ihrer Bereitschaft zu investieren und sich zu verbessern, überrascht es nicht, dass 90 Prozent der britischen IT-Entscheider zuversichtlich sind, die regulatorischen Anforderungen zu erfüllen – das erklärt das höchste Vertrauen in der EMEA-Region“, erklärt Dan Middleton, Regional Vice President UK & Irland bei Veeam. Die britischen Unternehmen investieren verstärkt in die Überprüfung ihrer Cybersecurity-Prozesse und die Weiterbildung ihrer Mitarbeiter. Mit diesen Maßnahmen bereiten sie sich proaktiv auf künftige Cybersicherheitsanforderungen vor, was sie in der Region als Vorreiter positioniert.
Eine weitere Folge der NIS2-Richtlinie ist die wachsende Dominanz von Cybersicherheitsausgaben innerhalb der IT-Budgets. Laut der Umfrage von Veeam werden in der EMEA-Region 80 Prozent der IT-Budgets von Unternehmen, die der NIS2-Richtlinie unterliegen, für Cybersecurity und Compliance ausgegeben. Dadurch bleibt wenig Spielraum für andere strategische Initiativen wie digitale Transformation oder die Bekämpfung des Fachkräftemangels.
„Die Aufrechterhaltung von Security- und Compliance-Management ist für jedes Unternehmen lebenswichtig, aber die Tatsache, dass dies derzeit den Löwenanteil des IT-Budgets verschlingt, unterstreicht, wie unzureichend vorbereitet und ausgestattet die Organisationen sind“, betont Andre Troskie, Field CISO EMEA bei Veeam. Unternehmen, die bereits einen ganzheitlichen Ansatz für Cybersicherheit verfolgen, sind im Vorteil, da sie schneller auf gesetzliche Anforderungen reagieren können, ohne andere IT-Initiativen zu gefährden.
