Die Agentur für Cyber-Sicherheit der Europäischen Union (ENISA) vergleicht in einem neuen Bericht die von der NIS-2-Richtlinie betroffenen Sektoren. Dabei fällt auf: In der öffentlichen Verwaltung ist die Richtlinie weniger bekannt. Dafür scheint es bei der Finanzierung weniger Probleme zu geben.
Der ENISA-Bericht präsentiert zunächst die IT-Investitionen in den von NIS-2 betroffenen Sektoren. In den EU-Mitgliedsstaaten wurden 2023 die höchsten IT-Ausgaben im Bankensektor (Median 53 Millionen Euro) und im Energiesektor (Median 35 Millionen Euro) getätigt. An dritter Stelle steht die öffentliche Verwaltung mit einem Median von 18 Millionen Euro. Auch bei den Investitionen in die Informationssicherheit befindet sich die öffentliche Verwaltung mit einem Median von 2 Millionen Euro nach dem Bankensektor (Median 4 Millionen Euro) und Energiesektor (Median 2,5 Millionen Euro) an dritter Stelle.
Der Anteil der Informationssicherheits-Ausgaben an den gesamten IT-Ausgaben ist EU-weit von 7,6 Prozent (2022) auf 9,6 Prozent (2023) gestiegen. Die öffentliche Verwaltung liegt mit 9,2 Prozent leicht darunter. In Deutschland fällt der Wert mit 7,1 Prozent deutlich geringer als in anderen Mitgliedsstaaten aus. Anteilsmäßig geben Estland (10,3 Prozent), Slowenien und Schweden (beide 10 Prozent) am meisten für die Informationssicherheit aus.
Keine Finanzierungsprobleme
Bezüglich der geplanten Finanzierung von NIS-2-Maßnahmen liegt die öffentliche Verwaltung wiederum weiter vorne: 43 Prozent der Befragten planen eine permanente Erhöhung ihres Sicherheitsbudgets, um die Einhaltung der NIS-2-Richtlinie zu gewährleisten. 35 Prozent meinen, sie bräuchten keine zusätzlichen Mittel. 13 Prozent benötigen lediglich eine einmalige Investition und nur 6 Prozent erklären, nicht mehr Mittel verlangen zu können. Diese letzte Zahl fällt in der öffentlichen Verwaltung im Vergleich zu anderen Sektoren deutlich geringer aus.
Während die öffentliche Verwaltung insgesamt eine hohe Zahl an IT-Stellen aufweist, fällt der Anteil der Informationssicherheits-Stellen mit 11 Prozent im Durchschnitt geringer als in anderen Sektoren aus (Platz 8 von 12). Weiterhin haben alle befragten Organisationen Schwierigkeiten bei der Einstellung von Fachkräften. 32 Prozent berichten von Schwierigkeiten in allen Sicherheitsbereichen. Besonders herausfordernd sei laut der Hälfte der Befragten (48 Prozent) die Einstellung in technischen und praktischen Bereichen.
Fehlende Awareness
Insgesamt ist die NIS-2-Richtlinie sehr bekannt. So geben 92 Prozent der Befragten an, den allgemeinen Geltungsbereich oder die Bestimmungen der Richtlinie zu kennen. Die öffentliche Verwaltung weist dagegen mit 73 Prozent einen deutlich geringeren Bekanntheitsgrad auf. Die Studienautorin empfiehlt daher eine verstärkte Öffentlichkeitsarbeit und Sensibilisierung. Gleichzeitig ist die sektorenübergreifende Bekanntheit von NIS-2 in Deutschland mit 98 Prozent eine der höchsten.
Bezüglich der Weiterbildung in der Cyber-Sicherheit fällt die öffentliche Verwaltung ebenfalls zurück. Während sektorenübergreifend bei der Hälfte (51 Prozent) der Befragten die Organisationsleitung spezielle Schulungen erhält, sind es bei der öffentlichen Verwaltung nur 30 Prozent. Sektorenübergreifend liegt Deutschland wiederum mit 68 Prozent weit vorne. Wie es konkret um die deutsche öffentliche Verwaltung steht, ist dem Bericht nicht zu entnehmen.
