Mit dem Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes haben tausende Unternehmen in Deutschland seit Verkündung verpflichtend erweiterte Anforderungen an IT-Sicherheit, Notfallplanung und Wiederherstellungsfähigkeit zu erfüllen. Die neuen Vorgaben gelten ohne Übergangsfrist. Sie verpflichten Unternehmen erstmals zu nachweisbaren Cyber-Resilienz-Maßnahmen und erweitern die persönliche Verantwortung der Geschäftsleitung.
Doch eine aktuelle Studie von DATA REVERSE® Datenrettung zeigt, dass viele Organisationen diesen Anforderungen bislang nicht gerecht werden. Die Befragung unter 245 IT-Verantwortlichen aus unterschiedlichen Branchen weist auf erhebliche Versäumnisse hin – sowohl in der Bewertung der eigenen Betroffenheit als auch in der praktischen Umsetzung von NIS-2-Pflichten.
Zentrale Ergebnisse der Studie: Mehrheit ohne geprüfte Betroffenheit
Obwohl das Gesetz direkt nach der Verkündung gilt, haben 53 Prozent der Befragten ihre Betroffenheit nicht geprüft. Weitere 25 Prozent sind sich unsicher, ob ihr Unternehmen überhaupt unter die Regulierung fällt. Nur 22 Prozent der Unternehmen haben Klarheit über ihre NIS-2-Relevanz.
Besonders kritisch: 71 Prozent der Unternehmen halten sich für „vorbereitet“, obwohl die Studie zeigt, dass diese Einschätzung häufig nicht den realen Strukturen entspricht. Die Nachweisbarkeit von Maßnahmen – ein zentrales Element unter NIS-2 – fehlt in vielen Fällen.
Massive Defizite bei Wiederherstellungstests und Notfallprozessen
Ein Schwerpunkt der Analyse liegt auf Backup- und Recovery-Prozessen. Diese sind gesetzlich vorgeschrieben und müssen funktionsfähig sowie dokumentiert sein. Die Studie zeigt jedoch:
Breite Betroffenheit in vielen Branchen
Das NIS-2-Gesetz erweitert den Kreis der regulierten Einrichtungen erheblich. Betroffen sind Unternehmen aus Energie, Transport, Logistik, Gesundheits- und Lebensmittelwirtschaft, verarbeitender Industrie, IT-Dienstleistungen und digitalen Plattformen. Bereits ab 50 Mitarbeitenden oder mehr als zehn Millionen Euro Jahresumsatz können Organisationen zur Umsetzung aller Maßnahmen verpflichtet sein. Für den Mittelstand entsteht damit ein unmittelbarer Handlungsdruck.
DATA REVERSE®: Unternehmen unterschätzen die Dringlichkeit
„Unsere Erhebung zeigt, dass viele Unternehmen ihren tatsächlichen Umsetzungsstand überschätzen“, sagt Jan Bindig, Geschäftsführer von DATA REVERSE® Datenrettung. „Die größten Defizite liegen bei der Wiederherstellungsfähigkeit. Genau dort fordert das Gesetz klare Nachweise. Unternehmen müssen jetzt handeln – nicht irgendwann.“
Weiter erklärt Bindig: „Die fehlenden Übergangsfristen erhöhen die Dringlichkeit deutlich. Firmen müssen kurzfristig nachweisen können, dass ihre Notfallprozesse funktionieren. Ohne funktionierende Recovery-Strukturen besteht ein erhebliches Risiko – sowohl technisch als auch haftungsrechtlich.“
Doch eine aktuelle Studie von DATA REVERSE® Datenrettung zeigt, dass viele Organisationen diesen Anforderungen bislang nicht gerecht werden. Die Befragung unter 245 IT-Verantwortlichen aus unterschiedlichen Branchen weist auf erhebliche Versäumnisse hin – sowohl in der Bewertung der eigenen Betroffenheit als auch in der praktischen Umsetzung von NIS-2-Pflichten.
Zentrale Ergebnisse der Studie: Mehrheit ohne geprüfte Betroffenheit
Obwohl das Gesetz direkt nach der Verkündung gilt, haben 53 Prozent der Befragten ihre Betroffenheit nicht geprüft. Weitere 25 Prozent sind sich unsicher, ob ihr Unternehmen überhaupt unter die Regulierung fällt. Nur 22 Prozent der Unternehmen haben Klarheit über ihre NIS-2-Relevanz.
Besonders kritisch: 71 Prozent der Unternehmen halten sich für „vorbereitet“, obwohl die Studie zeigt, dass diese Einschätzung häufig nicht den realen Strukturen entspricht. Die Nachweisbarkeit von Maßnahmen – ein zentrales Element unter NIS-2 – fehlt in vielen Fällen.
Massive Defizite bei Wiederherstellungstests und Notfallprozessen
Ein Schwerpunkt der Analyse liegt auf Backup- und Recovery-Prozessen. Diese sind gesetzlich vorgeschrieben und müssen funktionsfähig sowie dokumentiert sein. Die Studie zeigt jedoch:
- Nur ein Drittel der Unternehmen testet Wiederherstellungsprozesse regelmäßig.
- 45 Prozent führen Tests selten oder gar nicht durch.
- 22 Prozent wissen nicht, ob entsprechende Tests überhaupt existieren.
- Lediglich vier Prozent haben einen externen Datenrettungspartner in ihrem Notfallplan hinterlegt.
Breite Betroffenheit in vielen Branchen
Das NIS-2-Gesetz erweitert den Kreis der regulierten Einrichtungen erheblich. Betroffen sind Unternehmen aus Energie, Transport, Logistik, Gesundheits- und Lebensmittelwirtschaft, verarbeitender Industrie, IT-Dienstleistungen und digitalen Plattformen. Bereits ab 50 Mitarbeitenden oder mehr als zehn Millionen Euro Jahresumsatz können Organisationen zur Umsetzung aller Maßnahmen verpflichtet sein. Für den Mittelstand entsteht damit ein unmittelbarer Handlungsdruck.
DATA REVERSE®: Unternehmen unterschätzen die Dringlichkeit
„Unsere Erhebung zeigt, dass viele Unternehmen ihren tatsächlichen Umsetzungsstand überschätzen“, sagt Jan Bindig, Geschäftsführer von DATA REVERSE® Datenrettung. „Die größten Defizite liegen bei der Wiederherstellungsfähigkeit. Genau dort fordert das Gesetz klare Nachweise. Unternehmen müssen jetzt handeln – nicht irgendwann.“
Weiter erklärt Bindig: „Die fehlenden Übergangsfristen erhöhen die Dringlichkeit deutlich. Firmen müssen kurzfristig nachweisen können, dass ihre Notfallprozesse funktionieren. Ohne funktionierende Recovery-Strukturen besteht ein erhebliches Risiko – sowohl technisch als auch haftungsrechtlich.“
