Ab Oktober 2024 greift die neue NIS2-Richtlinie der Europäischen Union, die verschärfte Anforderungen an die Cybersicherheit festlegt. Besonders betroffen sind Unternehmen, die Dienstleistungen in der EU erbringen, mehr als 50 Mitarbeitende beschäftigen und einen Jahresumsatz von mehr als zehn Millionen Euro erzielen. Auch kleinere Betriebe, die für kritische Infrastrukturen als Zulieferer tätig sind, fallen unter die Regelungen. Diese neuen Vorgaben könnten für viele Unternehmen zusätzliche Maßnahmen im Bereich der IT-Sicherheit erfordern, wie Philipp Reusch, Rechtsanwalt aus Saarbrücken, betont. Seine Kanzlei bietet bereits eine erste Überprüfung für Unternehmen an, um festzustellen, ob sie von den Regelungen betroffen sind.
Auswirkungen auf den Cyberversicherungsmarkt
Die verschärften Sicherheitsanforderungen könnten sich auch negativ auf die Versicherbarkeit vieler Unternehmen auswirken. Bereits heute lehnen Versicherer wie Finanzchef24 und Finlex viele Anträge aufgrund unzureichender IT-Sicherheitsvorkehrungen ab. Unternehmen mit einem Umsatz von mehr als zehn Millionen Euro haben besonders Schwierigkeiten, Cyberschutz zu erhalten, wenn sie die nötigen Standards nicht erfüllen. Der Marktreport von Finlex für 2024 zeigt zudem, dass das Risikomanagement im Bereich Cyberkriminalität stark an Bedeutung gewonnen hat, was zu vermehrten Investitionen in IT-Sicherheit führt. Diese Entwicklung dürfte sich mit der Einführung von NIS2 weiter beschleunigen.
Gefährdungslage für Unternehmen steigt, Risikobewusstsein bleibt niedrig
Trotz der steigenden Bedrohung durch Cyberangriffe ist das Bewusstsein für die Risiken in vielen Unternehmen nach wie vor gering. Eine aktuelle Bitkom-Studie zeigt, dass in den letzten zwölf Monaten 81 Prozent der Unternehmen Opfer von Cyberangriffen wie Datendiebstahl oder Industriespionage wurden. Dennoch schätzt nur ein Bruchteil der Unternehmen das Risiko als hoch ein. Besonders alarmierend ist, dass das Risikoempfinden nach einem Angriff oft schnell abnimmt: Nach drei Jahren beurteilen nur noch 27 Prozent der betroffenen Unternehmen die Gefahr als ernst. Diese Kluft zwischen tatsächlicher Bedrohung und subjektiver Wahrnehmung verdeutlicht, wie dringend mehr Sensibilisierung und Präventionsmaßnahmen im Bereich der Cybersicherheit nötig sind.