14.08.2024

Anforderungen an Unternehmen, Dienstleister und Zulieferer durch NIS-2

Die Einhaltung von IT-Sicherheitsanforderungen betrifft heute nicht mehr nur die Sicherheitsorganisation in der eigenen Institution, sondern muss auch in der Lieferkette wirksam durchgesetzt werden, insbesondere bei outgesourcter IT und bei Dienstleistern für Webanwendungen, Plattformdienste und SaaS-Lösungen. Aufseiten der Auftraggeber gilt es daher, mögliche Lieferanten sorgfältig zu prüfen und entsprechende vertragliche Regelungen zu treffen. Umgekehrt werden auch die Auftragnehmer in Zukunft immer mehr Sicherheitsanforderungen erfüllen müssen, um den Kriterien ihrer Auftraggeber gerecht zu werden.

IT-Sicherheit in der Lieferkette
© Oselote /​ iStock /​ Getty Images Plus

Welche Rolle spielt die NIS-2-Richtlinie?

In der digitalen Welt sehen sich Unternehmen zunehmend mit Cyberbedrohungen konfrontiert, die durch die NIS-2-Richtlinie adressiert werden. Die NIS-2-Richtlinie regelt die Cyber- und Informationssicherheit von Unternehmen und Institutionen und tritt am 18. Oktober 2024 in Kraft. Sie erweitert die derzeit gültigen Cybersicherheitsanforderungen und enthält umfassende Sanktionen für mehrere Sektoren, um das Sicherheitsniveau in den Mitgliedstaaten zu harmonisieren und zu verbessern. Die Sicherheit der IT-Systeme spielt eine entscheidende Rolle beim Schutz von Lieferketten, die durch die fortschreitende Digitalisierung anfälliger für Cyberangriffe werden.

An wen richten sich die Verpflichtungen?

Die Anforderungen der NIS-2-Richtlinie richten sich an wesentliche und wichtige Einrichtungen im Anwendungsbereich der Richtlinie. Das sind vorwiegend mittlere und große Unternehmen bestimmter Sektoren (z.B. Energie, Gesundheit, Chemie, Lebensmittel), aber auch die Digitale Infrastruktur. Eine viel größere Anzahl von Unternehmen ist als Lieferant oder Dienstleister dieser wesentlichen und wichtigen Einrichtungen indirekt betroffen.

In persönlicher Hinsicht adressiert NIS-2 außerdem die Ebene der Geschäftsleitung direkt. Aufgrund entsprechender Haftungsregelungen wird diese künftig für eine ordnungsgemäße Auswahl in der Lieferkette Sorge tragen müssen.

Was verlangt die NIS-2-Richtlinie in Bezug auf die Lieferkette?

Die NIS-2-Richtlinie verpflichtet betroffene Unternehmen zu umfassenden Risikomanagementaufgaben.

So schreibt Artikel 21 vor, dass betroffene Unternehmen geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Lieferkette ergreifen müssen.

Im Fokus stehen dabei nicht nur die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter, sondern auch die Gesamtqualität der Produkte und der Cybersicherheitsstrategie ihrer Dienstleister und Zulieferer, inklusive der Sicherheit ihrer Entwicklungsprozesse. Außerdem schreibt Artikel 22 die Durchführung koordinierter Risikobewertungen kritischer Lieferketten vor. Ähnliches sehen branchenorientierte Regelwerke wie z.B. DORA vor, die für den Finanzdienstleistungssektor künftig den IT-sicherheitsrechtlichen Benchmark darstellen wird.

Was könnten konkrete Maßnahmen zur Erfüllung der NIS-2-Richtlinie sein?

Um die konkreten Anforderungen der NIS-2-Richtlinie innerhalb der Lieferkette erfüllen zu können, sollten Unternehmen diverse Maßnahmen in Erwägung ziehen. Dazu zählen etwa

  • die Einführung eines Informationssicherheitsmanagementsystems (ISMS),
  • die Durchführung einer gründlichen Risikoanalyse,
  • die Implementierung umfassender technischer und organisatorischer Sicherheitsmaßnahmen,
  • die Erstellung eines Notfallplans und
  • die Unterstützung durch geeignete und erfahrene Dienstleister zur Erfüllung der Anforderungen.

Was müssen Dienstleister und Lieferanten beachten?

Unternehmen innerhalb einer Lieferkette von Einrichtungen können von ihren Kunden im Rahmen des Risiko- und Lieferkettenmanagements verpflichtet werden, NIS-2-konforme Sicherheitsstandards zu erfüllen. Für Dienstleister und Zulieferer bedeutet das, dass sie sich darauf vorbereiten und frühzeitig Basissicherheitsmaßnahmen im Unternehmen etablieren sollten. Hier spielen vor allem Lieferantenaudits sowie Bescheinigungen und Zertifikate eine große Rolle.

Fazit: Die NIS-2-Richtlinie als Wegweiser nutzen

Die NIS-2-Richtlinie wird voraussichtlich den Rahmen für die Cybersicherheit in der EU prägen. Unternehmen in ihrem Geltungsbereich müssen strenge technische, operative und organisatorische Maßnahmen treffen. Gleichzeitig dient die NIS-2-Richtlinie aber auch als eine Art „Wegweiser“ zur Orientierung von Unternehmen und ihren Zulieferern zur Absicherung Ihrer IT. Hier sollte die Möglichkeit wahrgenommen werden, die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen sowie das Vertrauen der Partner und Kunden zu stärken. Dafür ist es essenziell, dass Unternehmen ihre Lieferanten und Geschäftspartner bewusst in ihre Sicherheitsstrategien einbeziehen.

Autor*innen: Anna Flor (Geschäftsführerin MORGENSTERN consecom GmbH, Rechtsanwältin & Datenschutzbeauftragte (IHK)), Patrick Weber (IT-Security Consultant MORGENSTERN consecom GmbH, Head of IT & Information Security Officer (TÜV))