Hohe Kosten bei der Umsetzung NIS2 verschlingt Budgets für Security und Recruiting

Die Umsetzung von NIS2 scheint sich in vielen Unternehmen als schwierig zu gestalten. Grund dafür sind einer Umfrage von Veeam hohe Kosten. Zudem wirkt sich NIS2 negativ auf andere Budgets aus.

Eine von Veeam beauftragte Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale Cyber-Sicherheits­richtlinie. Dabei stellte der Backup-Spezialist fest, dass die meisten IT-Führungskräfte zwar zuversichtlich sind, die NIS2-Konformität zu erreichen, die Richtlinie jedoch bestehende Herausforderungen wie Ressourcen-Beschränkungen und Qualifikationsdefizite verstärkt hat. 30 Prozent der insgesamt 500 Befragten gaben an, dass für die NIS2-Umsetzung auf ihr HR-Budget zurückgreifen mussten. Die Befragten kommen aus Deutschland, Belgien, Frankreich, den Niederlanden und dem Vereinigten Königreich.

Umfrage von Veeam

NIS2-Umsetzung geht nicht voran

IT-Budgets sind geschrumpft

Des Weiteren hat die Umfrage ergeben, dass es einem Teil der IT-Führungskräften zwar gelungen ist, ausreichend Budget für die Einhaltung der NIS-Richtlinie zu sichern, die Auswirkungen auf andere Bereiche jedoch erheblich sein könnten. 68 Prozent der Unter­nehmen berichten, dass sie das erforderliche zusätzliche Budget für die NIS2-Konformität erhalten haben. Trotzdem sehen 20 Prozent die hohen Kosten, die mit der Einhaltung der Vorschriften verbunden sind, als erhebliches Hindernis an. Seit der politischen Einigung zu NIS2 im Januar 2023 mussten 40 Prozent der Unternehmen mit gekürzten IT-Budgets auskommen. Bei 20 Prozent der Befragten veränderten sich die Finanzmittel dadurch nicht.

Darüber hinaus haben 95 Prozent der Organisationen Mittel von anderen Geschäftsbereichen abgezogen, um die Kosten für NIS2-Konformität zu decken. Konkret betroffen waren Budgets für das Risikomanagement (34 Prozent), die Personalbeschaffung (30 Prozent), das Krisen­management (29 Prozent) und die Notfallreserven (25 Prozent).

„Die Sicherstellung eines angemessenen Budgets für Cybersicherheit ist für IT-Führungskräfte oft eine Herausforderung, aber die strengen Strafen und die Betonung der Verantwortlichkeit von Unternehmen durch NIS2 können diesen Prozess erleichtern. Da jedoch die meisten IT-Budgets entweder gekürzt werden oder stagnieren – und somit aufgrund steigender Geschäfts­kosten und Inflation effektiv schrumpfen – schöpft NIS2 aus einem bereits begrenzten Pool“, erklärt Edwin Weijdema, Field CTO EMEA bei Veeam. „Besonders besorgniserregend ist die Tatsache, dass Mittel aus der Personalbeschaffung und Notreserven abgezweigt werden. NIS2 sollte nicht als Krise behandelt werden, doch ein Viertel der Unternehmen scheint dies so wahrzunehmen.“

Management-Strategien

Signifikante Risikominderung trotz knappem Security-Budget!

NIS2 schränkt IT-Budgets ein

Um die Vorschriften von NIS2 umzusetzen, ergreifen IT-Führungskräfte laut Veeam folgende Maßnahmen: Durchführung von IT-Audits (29 Prozent), Überprüfung von Cybersecurity-Prozessen und Best Practices (29 Prozent), Entwicklung neuer Richtlinien und Verfahren (28 Prozent), Investition in neue Technologien (28 Prozent) und Aufstockung des Budgets für Cybersicherheit (28 Prozent). Zu den wichtigsten Voraussetzungen für die Einhaltung von NIS2 gehören neue Technologie-Lösungen (27 Prozent), IT-Audits (25 Prozent) und interne organisatorische Fähigkeiten (25 Prozent), die allesamt ausreichende Budgets und Fach­kenntnisse erfordern.

Trotz der allgemeinen Kürzungen der IT-Budgets in den letzten zwei Jahren wurden immer noch zusätzliche Mittel für die Einhaltung von NIS2 bereitgestellt – entweder aus dem IT-Budget oder an anderer Stelle im Unternehmen. Diese Einschränkung könnte erklären, warum 80 Prozent der IT-Budgets in der EMEA-Region von Unternehmen, die NIS2 einhalten müssen, für Cybersecurity und Compliance aufgewendet werden. Dies lässt wenig Spielraum zur Bewältigung der wichtigsten Herausforderungen der IT-Verantwortlichen wie zum Beispiel Beheben des Fachkräftemangels, Unterstützung der Rentabilität und das Vorantreiben der digitalen Transformation.

„Die Aufrechterhaltung von Security- und Compliance-Management ist für jedes Unternehmen lebenswichtig, aber die Tatsache, dass dies derzeit den Löwenanteil des IT-Budgets verschlingt, unterstreicht, wie unzureichend vorbereitet und ausgestattet die Organisationen sind. IT-Führungskräfte haben begrenzte Budgets und müssen dennoch Ressourcen finden, um die NIS2-Anforderungen schnell zu erfüllen. Diejenigen, die einen ganzheitlichen Ansatz für Cybersecurity und Best Practices verfolgen, bevor gesetzliche Vorgaben sie vorschreiben, stehen natürlich weniger unter Druck und können besser auf andere wichtige Prioritäten und Herausforderungen eingehen“, kommentiert Andre Troskie, Field CISO EMEA bei Veeam.

Sicherheit braucht einen strategischen Ansatz

Ein Leitfaden für die Planung von Security-Budgets

(ID:50221494)