(Quelle: fotolia.com / bluebay2014)
Besonders alarmierend aus Sicht von SentinelOne: Zu den Nachzüglern zählen auch Deutschland, Frankreich und Spanien – "Länder, die zusammen 68 % der EU-Bevölkerung und 71 % der Wirtschaftsleistung stellen".
„Dieses Jubiläum sollte ein Weckruf für Europa sein“, sagt Erhan Oezmen, Deutschlandchef beim Cybersicherheitsanbieter SentinelOne. „Die EU war lange Vorreiter bei Cybersicherheitsgesetzen. Doch weil NIS-2 als Richtlinie und nicht als direkt geltende Verordnung umgesetzt wird, entsteht ein Flickenteppich aus nationalen Lösungen. Und der bremst Europa aus.“
Die zögerliche Umsetzung sorgt aus Sicht der Experten auch bei Unternehmen für Stillstand. Vor allem kleine und mittlere Betriebe würden nicht wissen, wie sie mit NIS-2 umgehen sollen. „Viele Sicherheitsteams warten auf klare Vorgaben von Verbänden oder Behörden“, sagt E. Oezmen. „Gleichzeitig verschärft NIS-2 die Anforderungen an das Risikomanagement deutlich – liefert aber kaum praktische Hilfestellung.“
Die EU-Agentur Enisa hat zwar einen technischen Leitfaden veröffentlicht. „Der kam aber zu spät und beantwortet zu wenig. Besonders die Vorgaben zur Lieferkettensicherheit oder zur Meldepflicht bleiben vage und schwer umsetzbar“, so E. Oezmen.
Jetzt handeln!
"Die Folgen dieser Verzögerung sind fatal. Schwache Durchsetzung und unklare Regeln öffnen Cyberkriminellen Tür und Tor. Schon heute verweisen Ransomware-Gruppen in erbeuteten Daten gezielt auf branchenspezifische Vorschriften – und nutzen die Unsicherheit für ihre Zwecke", berichten die Security-Experten.
„Wenn NIS-2 erst einmal mit Bußgeldern durchgesetzt wird, könnte das Regelwerk selbst zur Waffe werden“, warnt E. Oezmen. „Europa muss jetzt handeln: Lücken schließen, Vorgaben konkretisieren und für eine konsequente Umsetzung sorgen – bevor Angreifer das für uns übernehmen.“
Hintergrund: NIS-2
Die NIS2-Richtlinie wurde am 18. Oktober 2024 verabschiedet. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und weitet deren Geltungsbereich deutlich aus. Unternehmen in kritischen Sektoren, darunter Energie, Gesundheit, Verkehr, digitale Infrastruktur und öffentliche Verwaltung, müssen strengere Sicherheitsmaßnahmen umsetzen, Risiken besser managen und Sicherheitsvorfälle schneller melden.
Ziel ist es, eine gemeinsame Cybersicherheitsbasis in der gesamten EU zu schaffen und so kritische Infrastrukturen sowie Lieferketten widerstandsfähiger zu machen. Wer gegen die Vorgaben verstößt, muss mit empfindlichen Strafen rechnen.
„NIS-2 kann Europas Cybersicherheit stärken – aber nur, wenn wir es auch umsetzen“, sagt E. Oezmen. „Die Zeit drängt. Es ist fünf vor zwölf.“