Fachkräftemangel stellt EU-Cybersicherheitsbestimmungen auf die Probe
Auf EU-Ebene wird ein neuer Rechtsrahmen zur Verbesserung der Cybersicherheit geschaffen, der jedoch die Gefahr birgt, dass der zunehmende Mangel an Cyberfähigkeiten bei Regulierungsbehörden und Unternehmen deutlich wird.
Auf EU-Ebene wird ein neuer Rechtsrahmen zur Verbesserung der Cybersicherheit geschaffen. Aufgrund des Mangels an IT-Fachkräften in Behörden und Unternehmen könnte sich die Umsetzung allerdings als schwierig erweisen.
Mit der überarbeiteten Richtlinie zur Netz- und Informationssicherheit (NIS2) und dem Gesetz über Cyberresilienz, das Sicherheitsstandards für vernetzte Geräte festlegt, werden eine Reihe neuer gesetzlicher Vorschriften in Kraft treten. Die neuen Auflagen werden allerdings auch für Unternehmen und Behörden einen höheren Aufwand bedeuten.
Das Cybersicherheitsunternehmen Fortinet hat vor kurzem seinen 2023 Cybersecurity Skills Gap Global Research Report veröffentlicht. Darin heißt es, dass „Organisationen einen mühseligen Kampf gegen die Cyberbedrohung führen – sie erleiden mehr Sicherheitsverletzungen, benötigen qualifizierte Fachkräfte und haben weiterhin Schwierigkeiten, Schlüsselpositionen zu besetzen“.
„Eine große Anzahl von Führungskräften führt diese Sicherheitsverletzungen zumindest teilweise auch auf einen Mangel an IT-Fachkräften zurück“, heißt es in dem Bericht weiter.
68 Prozent der Unternehmen geben an, dass sie aufgrund des Fachkräftemangels zusätzlichen Risiken ausgesetzt sind. Die Situation dürfte sich in Zukunft sogar noch verschlimmern. Denn die neuen EU-Vorschriften dürften zu einem weiteren Anstieg der Nachfrage führen.
„Der bereits bestehende Fachkräftemangel wird sich zukünftig erhöhen – nicht nur durch die zurecht steigenden regulatorischen Anforderungen vor allem im Bereich der kritischen Infrastrukturen, sondern vor allem durch eine Zunahme der Bedrohungslage im Cyberraum“, so Hans-Wilhelm Dünn, Präsident des Cyber Security Council Germany, gegenüber EURACTIV.
Einhaltung gesetzlicher Vorschriften
Was die Suche nach qualifizierten Mitarbeitern angeht, die in der Lage sind, die neuen Vorschriften zu erfüllen, „sind Cybersecurity-Experten in Europa schwer zu finden und kaum zu halten. Der Wettbewerb um Fachkräfte ist global, und große Unternehmen mit großen Budgets können sich die besten Leute auf diesem engen Markt leisten“, erklärte der Generalsekretär der European Cybersecurity Organisation (ECSO), Luigi Rebuffi, gegenüber EURACTIV.
Um der wachsenden Kluft entgegenzuwirken, unterstützt die ECSO Unternehmen bei der Rekrutierung von Cybersicherheitsexperten durch ihr EU-Netzwerk im Personalbereich. ‚Women4Cyber‘, eine Schwesterorganisation des ECSO, hat eine Akademie eingerichtet, um Zugang zu den besten Cybersecurity-Schulungen zu ermöglichen.
In ähnlicher Weise hat die ENISA, die EU-Agentur für Cybersicherheit, einen Rahmen für Cybersicherheitsfähigkeiten eingeführt – ein praktisches Instrument zur Ermittlung von Aufgaben, Kompetenzen, Fähigkeiten und Kenntnissen im Zusammenhang mit den Aufgaben von Cybersicherheitsexperten in der EU. Die Agentur plant außerdem, ein Pilotprogramm zur standardisierten Qualifikationsbescheinigung vorzuschlagen.
„Mit diesen und anderen ähnlichen Initiativen werden wir in der Lage sein, die Fachkräftelücke in Europa zu schließen“, erklärte Rebuffi.
Druck auf die Regulierungsbehörden
Während die EU-Verordnungen die Widerstandsfähigkeit Europas im Cyberspace verbessern sollen, üben sie großen Druck auf nationale Regulierungsbehörden wie das rumänische Nationale Direktorat für Cybersicherheit (DNSC) aus. Diese sind nun gezwungen, ihr Einsatzspektrum zu verstärken.
„Hier bei der DNSC haben wir unermüdlich daran gearbeitet, neue Spezialisten zu rekrutieren und sicherzustellen, dass wir mit dem privaten Sektor im Wettbewerb um diese Experten mithalten können“, sagte Mihai Rotariu, Kommunikationsmanager bei der DNSC, gegenüber EURACTIV.
Um mit den unzureichenden nationalen Cybersicherheitsmaßnahmen fertig zu werden, verabschiedete Rumänien im September 2021 eine Dringlichkeitsverordnung, um die operative Kapazität des DNSC zu erhöhen.
Infolgedessen ist die DNSC nun „eine zivile Cybersicherheitsbehörde mit einem viel breiteren Spektrum an Aufgaben als die vorherige Institution“, erklärte Rotariu. Er verwies auf die mehr als 1.250 Beschäftigten.
Weitere Schritte zur Überwindung der Cybersicherheitslücke waren die Verabschiedung von zwei zusätzlichen Gesetzen: eines über die Vergütung von Personal, das aus öffentlichen Mitteln bezahlt wird, um mehr Cybersicherheitsspezialisten für den öffentlichen Sektor zu gewinnen, und ein weiteres über die Sicherheit und Cyberverteidigung Rumäniens.
Selbstverstärkende Lücke
In Ländern wie Deutschland lässt sich die Cyber-Fachkräftelücke auch auf das nationale Bildungssystem zurückführen, dem ein einheitlicher Ansatz für Grund- und weiterführende Schulen fehlt.
„Im Bildungsbereich muss die zunehmende Digitalisierung mit einer Sensibilisierung für Cybersicherheit einhergehen. Wir brauchen eine verstärkte Ausbildung in den MINT-Fächern (Mathematik, Informatik, Naturwissenschaft und Technik), um Absolventen in diese Zukunftsbranche zu lotsen“, führte Dünn aus.
Gleichzeitig könnte sich der Mangel an Cyber-Personal auch selbst verstärken. Denn durch den Arbeitskräftemangel ist das Stressniveau in den Jobs von IT-Sicherheitsbeauftragten viel höher ist als in anderen Sektoren. Dies führt dazu, dass sich die Arbeitnehmer trotz der hohen Arbeitsplatzsicherheit anderswo umsehen.
„Viele IT-Sicherheitsexperten wollen ihr Jobfeld ändern, weil Druck, Stress und mangelnde Work-Life-Balance zu einer außergewöhnlich hohen Belastung führen“, so Dünn weiter.
Um der Fachkräftelücke entgegenzuwirken, wäre ein wirksamer Ansatz, den Fokus der Arbeitgeber verstärkt auf die Einstellung von Mitarbeitern mit Cyber-Kenntnissen und -Fähigkeiten zu legen, vor allem wenn diese über keinen akademischen Abschluss verfügen.
Dieser Ansatz würde die Cyber-Lücke und die Zahl der Personen im Darknet verringern, die dort ihren Lebensunterhalt verdienen, weil sie nicht angemessen in die Gesellschaft integriert sind.
„Mit diesem Dreiklang aus Bildungsoffensive, einer veränderten Unternehmenskultur und einer finanziellen Aufwertung des Cybersicherheitsbereichs kann der Fachkräftemangel zumindest abgemildert werden“, so Dünn abschließend.
[Bearbeitet von Luca Bertuzzi/ Alice Taylor]
