BSI advarer: Selskaper lurer seg selv om deres cybersikkerhet!

BSI advarer: Selskaper lurer seg selv om deres cybersikkerhet!

22. juni 2025 vil Federal Office for Information Security (BSI) og TÜV Association presentere alarmerende resultater fra en representativ undersøkelse om cybersikkerhet i selskaper. Denne studien viser ikke bare en bekymringsfull økning i trusselnivået, men avslører også at mange selskaper massivt undervurderer risikoen og overvurderer sin egen motstandskraft. BSI advarer innstendig mot "villedende sikkerhet" og oppfordrer selskaper til å ta et kritisk blikk på sin egen cybersikkerhet.

Et sentralt funn i undersøkelsen er at bare rundt halvparten av de spurte bedriftene kjenner til det nye EU-direktivet om nettverks- og informasjonssikkerhet (NIS-2). Dette direktivet, som trådte i kraft i januar 2023, skal implementeres i nasjonal lovgivning og BSI vil bli tilsynsmyndighet for rundt 29 000 selskaper som for første gang vil være juridisk forpliktet til å overholde NIS 2-direktivet. Denne implementeringen er påkrevd innen 17. oktober 2024.

Bekymrende selskapsvurdering

Selv om 91 % av bedriftene vurderer nettsikkerheten deres som «god» eller «veldig god», signaliserer undersøkelsen at 27 % av bedriftene ser på IT-sikkerhet som en «liten» eller «ikke i det hele tatt» prioritet. I tillegg er 56 % av de spurte positive til lovkrav om å øke beskyttelsesnivået. Dr. Michael Fübi, president i TÜV-foreningen, understreker at det haster med å implementere NIS 2-direktivet for å forberede bedrifter tilstrekkelig på utfordringene i den digitale verden.

NIS 2-direktivet introduserer nye rapporteringskrav og sanksjoner. Berørte bedrifter, hvorav mange kommer fra viktige sektorer som energi, transport og helsetjenester, må håndtere de nye kravene på et tidlig tidspunkt og i økende grad iverksette cyberrisikovurdering og styringstiltak. En koordinert og proaktiv tilnærming til cyberhygiene og opplæring er avgjørende.

Regulatoriske utfordringer og støtte

BSI-president Claudia Plattner understreker behovet for å implementere dette direktivet og fremhever utfordringene knyttet til regulatoriske krav. Hun påpeker at BSI gir informasjon og råd for å støtte bedrifter for å bærekraftig forbedre deres cybersikkerhet. Dette inkluderer også Cyber ​​​​Resilence Act (CRA), som definerer minimumskrav til cybersikkerhet for tilkoblede produkter og viser til "Technical Guideline TR-03183", som beskriver krav til produsenter og produkter.

For å implementere NIS-2-policyen, må bedrifter registrere seg på bedriftstjenesteportaler. Det er tilrådelig å planlegge både budsjett og ressurser for kravene. Ledelsen er bundet av skjerpede ansvarsregler, mens NIS-myndigheten i Innenriksdepartementet har myndighet til å gi instrukser for å rette opp sikkerhetsmangler. Brudd kan resultere i bøter på opptil 10 millioner euro eller 2 % av den globale årlige omsetningen, noe som understreker viktigheten av en omfattende risikoanalyse.

De NIS 2-kompatible tiltakene som nå kreves kan øke beskyttelsen mot cyberangrep betydelig og minimere risikoen for tap av data eller driftsfeil. Bedrifter står derfor overfor det presserende behovet for å møte de nye utfordringene for å sikre en trygg digital fremtid.

For en mer dyptgående titt på undersøkelsesresultatene, gir BSI detaljert informasjon på sin nettside, mens Online Security-nettstedet gir spesifikk informasjon om NIS 2-direktivet.

Ytterligere informasjon om dagens situasjon innen cybersikkerhet er tilgjengelig via datensicherheit.de og onlinesicherheit.gv.at tilgjengelig.