Am 22. Juni 2025 präsentieren das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der TÜV-Verband alarmierende Ergebnisse einer repräsentativen Umfrage zur Cybersicherheit in Unternehmen. Diese Studie zeigt nicht nur einen besorgniserregenden Anstieg der Bedrohungslage auf, sondern enthüllt auch, dass viele Unternehmen die Risiken massiv unterschätzen und ihre eigene Resilienz überbewerten. Das BSI warnt eindringlich vor einer „trügerischen Sicherheit“ und fordert damit eine kritische Auseinandersetzung der Firmen mit ihrer eigenen Cybersicherheit.
Ein zentrales Ergebnis der Umfrage ist, dass nur etwa die Hälfte der befragten Unternehmen die neue EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) kennt. Diese Richtlinie, die im Januar 2023 in Kraft trat, wird in nationales Recht umgesetzt, und das BSI wird die Aufsichtsbehörde für etwa 29.000 Firmen, die erstmals gesetzlich verpflichtet werden, die NIS-2-Richtlinie zu beachten. Diese Umsetzung ist bis zum 17. Oktober 2024 erforderlich.
Besorgniserregende Unternehmensbewertung
Obwohl 91% der Unternehmen ihre Cybersicherheit als „gut“ oder „sehr gut“ einstufen, signalisiert die Umfrage, dass 27% der Betriebe die IT-Sicherheit lediglich als „kleine“ oder „gar keine“ Priorität betrachten. Zudem sprechen sich 56% der Befragten für gesetzliche Vorgaben aus, um das Schutzniveau zu erhöhen. Dr. Michael Fübi, Präsident des TÜV-Verbands, betont die Dringlichkeit der Umsetzung der NIS-2-Richtlinie, um Unternehmen angemessen auf die Herausforderungen der digitalen Welt vorzubereiten.
Die NIS-2-Richtlinie führt neue Meldepflichten und Sanktionen ein. Betroffene Unternehmen, von denen viele aus wichtigen Sektoren wie Energie, Verkehr, und Gesundheitswesen kommen, müssen sich frühzeitig mit den neuen Anforderungen auseinandersetzen und verstärkt Maßnahmen zur Cyber-Risikobewertung und -management implementieren. Eine koordinierte und proaktive Herangehensweise an Cyberhygiene und Schulungen ist unerlässlich.
Regulatorische Herausforderungen und Unterstützung
Die BSI-Präsidentin Claudia Plattner unterstreicht die Notwendigkeit der Umsetzung dieser Richtlinie und beleuchtet die Herausforderungen, die mit regulatorischen Vorgaben verbunden sind. Sie weist darauf hin, dass das BSI Informations- und Beratungsangebote zur Unterstützung von Unternehmen bereitstellt, um deren Cybersicherheit nachhaltig zu verbessern. Dazu zählt auch der Cyber Resilience Act (CRA), der Mindestanforderungen an die Cybersicherheit für vernetzte Produkte definiert und auf die „Technische Richtlinie TR-03183“ verweist, die Anforderungen an Hersteller und Produkte beschreibt.
Für die Umsetzung der NIS-2-Richtlinie müssen Unternehmen sich in Unternehmensserviceportalen registrieren. Es ist ratsam, sowohl Budget als auch Ressourcen für die Anforderungen einzuplanen. Die Geschäftsleitung ist dabei an striktere Haftungsregeln gebunden, während die NIS-Behörde im Innenministerium die Befugnis hat, Anweisungen zur Behebung von Sicherheitsmängeln zu erteilen. Bei Verstößen drohen Strafen von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes, was die Bedeutung einer umfassenden Risikoanalyse unterstreicht.
Die jetzt erforderlichen NIS-2-konformen Maßnahmen könnten den Schutz vor Cyberangriffen erheblich erhöhen und das Risiko von Datenverlusten oder Betriebsausfällen minimieren. Die Unternehmen stehen somit vor der dringenden Notwendigkeit, sich den neuen Herausforderungen zu stellen, um eine sichere digitale Zukunft zu gewährleisten.
Für eine vertiefte Auseinandersetzung mit den Ergebnissen der Umfrage bietet das BSI auf seiner Webseite detaillierte Informationen, während die Webseite von Online-Sicherheit spezifische Informationen zur NIS-2-Richtlinie bereitstellt.
Weitere Informationen zur aktuellen Situation in der Cybersicherheit sind über datensicherheit.de und onlinesicherheit.gv.at zugänglich.
