Ein Jahr nach Inkrafttreten von NIS2 ist Europas Cybersicherheitsarchitektur noch immer Flickwerk. Die größten Volkswirtschaften hinken hinterher, Unternehmen warten auf Orientierung und Angreifer nutzen die Lücken aus. [...]
Vor genau einem Jahr, am 17. Oktober 2024, hat die EU mit der NIS2-Direktive eine neue Ära der Cybersicherheit eingeläutet. Heute, zwölf Monate später, ist von diesem Anspruch wenig zu sehen. Nur 15 von 27 Mitgliedsstaaten haben die Richtlinie bislang in nationales Recht überführt. Besonders alarmierend: Unter den Nachzüglern sind ausgerechnet die Schwergewichte Deutschland, Frankreich und Spanien – Länder, die zusammen 68 Prozent der EU-Bevölkerung und 71 Prozent der Wirtschaftsleistung stellen. Auch in Österreich wartet die Richtlinie noch auf ihre nationale Umsetzung.
„Dieses Jubiläum sollte ein Weckruf für Europa sein“, sagt Erhan Oezmen, Deutschlandchef beim Cybersicherheitsanbieter SentinelOne. „Die EU war lange Vorreiter bei Cybersicherheitsgesetzen. Doch weil NIS2 als Richtlinie und nicht als direkt geltende Verordnung umgesetzt wird, entsteht ein Flickenteppich aus nationalen Lösungen. Und der bremst Europa aus.“
Unternehmen im Blindflug
Die zögerliche Umsetzung sorgt auch bei Unternehmen für Stillstand. Vor allem kleine und mittlere Betriebe wissen nicht, wie sie mit NIS2 umgehen sollen. „Viele Sicherheitsteams warten auf klare Vorgaben von Verbänden oder Behörden“, sagt Oezmen. „Gleichzeitig verschärft NIS2 die Anforderungen an das Risikomanagement deutlich – liefert aber kaum praktische Hilfestellung.“
Die EU-Agentur ENISA hat zwar einen technischen Leitfaden veröffentlicht. „Der kam aber zu spät und beantwortet zu wenig. Besonders die Vorgaben zur Lieferkettensicherheit oder zur Meldepflicht bleiben vage und schwer umsetzbar“, so Oezmen.
Ein Geschenk für Angreifer
Die Folgen dieser Verzögerung sind fatal. Schwache Durchsetzung und unklare Regeln öffnen Cyberkriminellen Tür und Tor. Schon heute verweisen Ransomware-Gruppen in erbeuteten Daten gezielt auf branchenspezifische Vorschriften – und nutzen die Unsicherheit für ihre Zwecke.
„Wenn NIS2 erst einmal mit Bußgeldern durchgesetzt wird, könnte das Regelwerk selbst zur Waffe werden“, warnt Oezmen. „Europa muss jetzt handeln: Lücken schließen, Vorgaben konkretisieren und für eine konsequente Umsetzung sorgen – bevor Angreifer das für uns übernehmen.“
Hintergrund: NIS2 – mehr Pflichten, mehr Verantwortung
Die NIS2-Richtlinie wurde am 18. Oktober 2024 verabschiedet. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016 und weitet deren Geltungsbereich deutlich aus. Unternehmen in kritischen Sektoren – darunter Energie, Gesundheit, Verkehr, digitale Infrastruktur und öffentliche Verwaltung – müssen strengere Sicherheitsmaßnahmen umsetzen, Risiken besser managen und Sicherheitsvorfälle schneller melden.
Ziel ist es, eine gemeinsame Cybersicherheitsbasis in der gesamten EU zu schaffen und so kritische Infrastrukturen sowie Lieferketten widerstandsfähiger zu machen. Wer gegen die Vorgaben verstößt, muss mit empfindlichen Strafen rechnen.
Fazit: Ein Jahr Zeit verloren
Ein Jahr nach Inkrafttreten von NIS2 ist Europas Cybersicherheitsarchitektur noch immer Flickwerk. Die größten Volkswirtschaften hinken hinterher, Unternehmen warten auf Orientierung, und Angreifer nutzen die Lücken schamlos aus.
„NIS2 kann Europas Cybersicherheit stärken – aber nur, wenn wir es auch umsetzen“, sagt Oezmen. „Die Zeit drängt. Es ist fünf vor zwölf.“
Be the first to comment