Die Europäische Union hat mit der Einführung der NIS-2-Richtlinie einen entscheidenden Schritt zur Stärkung der Cybersicherheit unternommen. Mit NIS-2 weiten sich die verpflichtenden Maßnahmen im Vergleich zur ersten Netz- und Informationssicherheitsrichtlinie auf weitere Bereiche der Cybersicherheit aus, darunter Business Continuity Management, Incident Response und Supply Chain Security. Damit wird der Kreis der betroffenen Unternehmen größer, denn auch Zulieferer und Dienstleister innerhalb kritischer Lieferketten müssen nun strengere Sicherheitsmaßnahmen einführen, um die Sicherheit von Ende zu Ende zu gewährleisten. Was das konkret für die Unternehmen und ihre Lieferkette bedeutet und wie sie sich darauf vorbereiten können, erfahren Sie in diesem Beitrag.
Die NIS-2-Richtlinie, die von den betroffenen Unternehmen bis zum 18. Oktober 2024 umgesetzt werden muss, zielt darauf ab, das Cybersicherheitsniveau durch verbesserte Sicherheitsmaßnahmen kritischer Infrastrukturen in der EU zu erhöhen. In Deutschland sind schätzungsweise mindestens 30.000 Unternehmen in der Pflicht, die gesetzlichen Sicherheitsstandards zu erfüllen. Dass Lieferketten dabei ein großes Sicherheitsrisiko darstellen, hat auch der Gesetzgeber erkannt: Die zunehmende Digitalisierung und die essenzielle Rolle der Lieferketten in einer vernetzten Welt und der globalen Wirtschaft machen Dienstleister und Lieferanten zu einem beliebten Ziel für Cyberangriffe. Unternehmen, die unter NIS-2 fallen, haben nun die zusätzliche Aufgabe, potenzielle Risiken, die von direkten Zulieferern ausgehen, in ihr Risikomanagement aufzunehmen. Das bedeutet, sie müssen die Gefahren identifizieren, bewerten und bewältigen, um die Sicherheit sensibler Informationen zu gewährleisten und Betriebsunterbrechungen vorzubeugen. Dabei sind sie jedoch auf die Mitwirkung ihrer Dienstleister und Lieferanten angewiesen, um einen Überblick über die Ausgestaltung ihrer Dienste und der implementierten Sicherheitsmaßnahmen zu erhalten.
Was NIS-2 in Bezug auf Lieferketten verlangt
Gemäß Artikel 21 der NIS-2-Richtlinie besteht im Rahmen des Risikomanagements eine der Aufgaben der betroffenen Unternehmen darin, geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Lieferkette zu ergreifen. Dabei müssen die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitsstrategie ihrer Dienstleister und Zulieferer, inklusive der Sicherheit ihrer Entwicklungsprozesse, berücksichtigt werden. NIS-2 schreibt außerdem in Artikel 22 die Durchführung koordinierter Risikobewertungen kritischer Lieferketten vor.
Die NIS-2-Richtlinie wird vom Gesetzgeber als zentrale Priorität angesehen, deren Umsetzung vor allem in der Verantwortung der Geschäftsführungsebene liegt. Die Vorgaben für die Lieferkette eines Unternehmens werden daher üblicherweise durch ein Informationssicherheitsmanagementsystem (ISMS) festlegt. Die Steuerung folgt dann im Lieferantenmanagement. Ein ISMS klärt die Verantwortlichkeiten und Prozesse für das Management der Informationssicherheit im Unternehmen.
Konkrete Maßnahmen zur Erfüllung der NIS-2-Richtlinie
Um die Anforderungen der NIS-2-Richtlinie im Rahmen der Lieferkettensicherheit zu erfüllen, sollten Unternehmen folgende Maßnahmen in Erwägung ziehen:
- Einführung eines Informationssicherheitsmanagementsystems (ISMS):
Bauen Sie ein robustes Informationssicherheitsmanagementsystem (ISMS) mit klaren Verantwortlichkeiten auf. Dazu gehört die Integration relevanter Abteilungen und die kontinuierliche Anpassung der Prozesse, Methoden und Tools an neue Bedrohungen zur Steuerung und Überwachung der Informationssicherheit. Gemeinsam mit dem ISMS werden die Vorgaben an das Schutzniveau bei Dienstleistern und Zulieferern definiert. Eine Orientierungshilfe zum Aufbau bietet der BSI-Grundschutz und die Norm ISO/IEC 27001 und ISO/IEC 27002 - auch unsere Consultants unterstützen Sie bei Bedarf gerne: IT-Compliance Consulting.
- Durchführung einer gründlichen Risikoanalyse:
Identifizieren Sie potenzielle Schwachstellen in Ihren IT-Systemen und Lieferketten, um geeignete Maßnahmen zu ergreifen. Lieferketten werden immer globaler und komplexer und einige Unternehmen wissen oft nicht einmal, wer zu ihren Lieferanten und externen Dienstleistern gehört. Daher müssen betroffene Unternehmen zunächst in Erfahrung bringen, wie ihre Lieferkette beschaffen ist und wie sich die Zulieferer vor Cyberangriffen schützen.
- Implementierung umfassender Sicherheitsmaßnahmen:
Verstärken Sie Ihre Netzwerksicherheitsprotokolle und setzen Sie moderne Verschlüsselungstechnologien ein. Unternehmen müssen Sicherheitsmaßnahmen wie Zugriffskontrolle, Authentifizierung und Asset Management implementieren, um ihre Systeme zu schützen.
- Lieferantenmanagement:
Machen Sie die Sicherheitsanforderungen aus dem ISMS für Ihre Dienstleister und Lieferanten verbindlich. Dies umfasst die Integration ins eigene Risikomanagement, den Schutz von Informationen, Incident Management und Vorfallmeldungen. Jedes Unternehmen muss wichtige Lieferanten auf die Einhaltung Ihrer Zertifizierungen und vertraglichen Vorgaben überprüfen. Unternehmen der Supply Chain müssen nachweisen können, dass sie den erforderlichen Anforderungen entsprechen. Dies geschieht durch Audits, vertragliche Klauseln, Zertifizierungen oder individuelle Nachweise. Dabei spielt auch die fortlaufende Überwachung und Bewertung der Lieferkettensicherheit eine wichtige Rolle. Die Sicherheitsnachweise sollten regelmäßig bei den Lieferanten und Geschäftspartnern angefragt werden, um die Nachweispflichten der NIS-2-Richtlinie zu erfüllen.
- Erstellung eines Notfallplans:
Entwickeln Sie einen detaillierten Plan, um schnell auf Cybervorfälle und Störungen bei Dienstleistern reagieren zu können. Im Rahmen des Business Continuity Managements (BCM) sollten Unternehmen sicherstellen, dass sie über geeignete Maßnahmen verfügen, um die Geschäftskontinuität im Notfall aufrechtzuerhalten oder wiederherzustellen. Dies beinhaltet die Etablierung eines Backup- und Krisenmanagements sowie die Einrichtung eines Incident Response Teams. Notfallpläne für Störungen bei externen Dienstleistungen und IT
- Unterstützung durch erfahrene Dienstleister:
Greifen Sie bei Bedarf auf die Expertise von Spezialisten zurück: Nicht jedes Unternehmen verfügt über die notwendigen personellen Ressourcen, um die Herausforderungen, die NIS-2 mit sich bringt, effizient aus eigener Kraft zu bewältigen. Unterstützung durch erfahrene externe Dienstleister, wie IT-Compliance Consultants, kann hierbei sehr hilfreich sein. Auch ein Blick auf arbeitsteilige Konzepte durch IT-Security-Experten lohnt sich: Während sich die hausinterne IT-Abteilung auf ihre Kernaufgaben fokussieren kann, lassen sich viele Anforderungen über Managed Security Services wie Managed Detection and Response abdecken: Hierbei überwachen externe kompetente IT Security Spezialisten die IT-Systeme, decken Schwachstellen auf und können Cyberbedrohungen frühzeitig erkennen und eindämmen. Mit der Integration dieser IT Security Services in eine umfassende Cybersicherheitsstrategie lässt sich ein angemessenes Sicherheitsniveau erreichen.
Was NIS-2 für Dienstleister und Lieferanten bedeutet
Unternehmen innerhalb einer Lieferkette von Einrichtungen, die von NIS-2 betroffen sind, können von ihren Kunden im Rahmen des Risiko- und Lieferkettenmanagements verpflichtet werden, NIS2-konforme Sicherheitsstandards zu erfüllen. Üblicherweise wird diese Verpflichtung in Verträgen verankert und beinhaltet meist bestimmte Maßnahmen zur Cybersicherheit, zur Handhabung von Daten und zu Meldeprozessen im Falle eines Sicherheitsvorfalls, um die Gefahr durch Schwachstellen in der Lieferkette zu verringern.
Für Dienstleister und Zulieferer bedeutet das, dass sie sich darauf vorbereiten und frühzeitig – wenn noch nicht vorhanden – Basissicherheitsmaßnahmen im Unternehmen etablieren sollten. Angesichts der Häufung der Cyberangriffe sollten diese Mindestanforderungen an IT-Sicherheit auch im eigenen Interesse erfüllt werden.
Eine entscheidende Rolle im Hinblick auf die NIS-2-Anforderungen zur Gewährleistung der Supply Chain Security spielen vor allem Lieferanten-Audits sowie Bescheinigungen und Zertifikate. Durch Lieferanten-Audits lassen sich potenzielle Schwachstellen und Risiken in der Lieferkette identifizieren und bewerten, was gleichzeitig die Kooperation und das Bewusstsein für Cybersicherheitsrisiken entlang der Lieferkette stärkt. Bescheinigungen und Zertifikate sind ebenfalls wichtige Sicherheitsnachweise der Lieferkette, da sie belegen, dass Lieferanten bzw. auch Dienstleister die aktuellen Sicherheitsstandards erfüllen und geeignete Sicherheitsmaßnahmen umgesetzt haben.
Empfohlen werden unter anderem folgende Informationssicherheitsstandards: ISO/IEC 27001, BSI IT-Grundschutz-Bausteine, IDW PS 951, CIS CSC, NIST Cybersecurity Framework (CSF) und IEC 62443-2-1.
Fazit: NIS-2 als Wegweiser nutzen
Die Verpflichtung zur NIS2-Konformität in der Lieferkette ist ein wichtiger Schritt, um die Cybersicherheit in der gesamten EU zu stärken. Unternehmen und ihre Zulieferer und Dienstleister sollten den Übergangszeitraum bis Oktober 2024 nutzen, um proaktiv auf die Mindestanforderungen zu reagieren und mit der Einhaltung der NIS-2-Direktive die Möglichkeit wahrnehmen, ihre Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen sowie das Vertrauen ihrer Partner und Kunden zu stärken. Dafür ist es wichtig, dass Unternehmen ihre Lieferanten und Geschäftspartner bewusst in ihre Sicherheitsstrategien einbeziehen, um ihre Systeme, Daten und Geschäftsfähigkeit zu schützen.
