Die Netzwerk- und Informationssicherheitsdirektive (NIS) der Europäischen Union (EU) verpflichtet Betreiber kritischer Infrastrukturen (KRITIS) zu besonderen Cyber-Sicherheitsmaßnahmen. Wieviel die KRITIS-Betreiber in Cyber-Sicherheit investieren zeigt ein Bericht der European Union Agency for Cybersecurity (ENISA).
Der Bericht über Investitionen im Zusammenhang mit der NIS-Direktive wird seit 2020 erstellt. Für den „NIS Investments 2022“-Bericht hat die ENISA Daten von über 1.000 Betreiber aus allen 27 Mitgliedsstaaten der EU erhoben. Demnach geben die KRITIS-Betreiber nur noch knapp sieben Prozent ihres IT-Budgets für IT-Sicherheit aus. Das ist ein Prozentpunkt weniger als im letzten Jahr. Aber auch das Gesamtbudget für die IT ist gesunken. Deshalb erklärt die ENISA die geringeren Cyber-Sicherheitsinvestitionen mit der schlechteren Wirtschaftslage. Außerdem sei die Gruppe der untersuchten Betriebe anders zusammengesetzt als im letzten Jahr. Es seien mehr Unternehmen aus dem Gesundheits- und Energiesektor befragt worden. Diese würden generell weniger in die Informationssicherheit investieren als andere KRITIS-Betreiber.
Trotzdem – oder gerade deswegen trägt der Gesundheitssektor neben dem Finanzsektor laut dem ENISA-Bericht die größten Kosten bei Cyber-Sicherheitsvorfällen. Durchschnittlich entstünden 300.000 Euro direkte Kosten für die Schäden. Dennoch haben weniger Unternehmen als im letzten Jahr eine Cyber-Versicherung. Bei kleinen und mittleren Unternehmen (KMU) sind es nur fünf Prozent. Aber es fehlen oft auch basale Sicherheitsmaßnahmen. So überwacht laut dem Bericht ein Drittel aller KRITIS-Betreiber im Energiesektor keine einzige kritische Betriebstechnik (OT) durch ein Security Operations Center (SOC).
„Die Resilienz unserer kritischen Infrastrukturen und Technologien in der EU wird in höchstem Maße davon abhängen, ob wir in der Lage sind strategisch zu investieren“, betont Juhan Lepassaar, der Executive Director der ENISA. Aber er sei optimistisch, dass dies gelingen werde.
