ISGroup Cybersicherheitsberatung

Wie definiert und adressiert die NIS2-Richtlinie die „Sicherheit der Lieferkette“?

Die NIS2-Richtlinie erkennt die Bedeutung der Sicherheit der Lieferkette für die Gewährleistung eines hohen Cybersicherheitsniveaus an. Dieser Artikel analysiert, wie die Richtlinie diesen Aspekt definiert und angeht, unter Bezugnahme auf die spezifischen Artikel, die die Verpflichtungen für wesentliche und wichtige Einrichtungen regeln. Für einen vollständigen Überblick über das Hauptziel der NIS2-Richtlinie ist es sinnvoll, von der Zielsetzung auszugehen, die die Norm verfolgt.

[Callforaction-NIS2]

Die Quellen liefern Informationen darüber, wie die Richtlinie diesen entscheidenden Aspekt definiert und behandelt:

Definition der Sicherheit der Lieferkette:

Obwohl die NIS2-Richtlinie keine eigenständige Definition für die „Sicherheit der Lieferkette“ liefert, umfassen ihre Anforderungen an das Cybersicherheits-Risikomanagement eindeutig die Sicherheit der Lieferketten.

  • Artikel 21, Absatz 2(d) legt fest, dass Einrichtungen, die als „wesentlich“ oder „wichtig“ eingestuft sind, Maßnahmen zum Risikomanagement im Bereich Cybersicherheit umsetzen müssen, die auch die „Sicherheit der Lieferkette“ umfassen.
  • Dieser Absatz spezifiziert zudem, dass solche Maßnahmen „Aspekte der Sicherheit der Beziehungen zwischen der jeweiligen Einrichtung und ihren direkten Lieferanten oder Dienstleistern“ berücksichtigen sollten.
  • Diese Formulierung unterstreicht, wie die Richtlinie die Vernetzung von Cybersicherheitsrisiken innerhalb einer Lieferkette anerkennt und die Notwendigkeit betont, dass Einrichtungen die Risiken, die von ihren Lieferanten und Dienstleistern ausgehen, proaktiv verwalten müssen.

Methoden zur Verwaltung der Sicherheit der Lieferkette:

Die NIS2-Richtlinie verfolgt einen multifaktoriellen Ansatz, um die Sicherheit der Lieferkette zu verbessern:

  1. Risikomanagement auf Einrichtungsebene:
  • Due Diligence bei Lieferanten: Artikel 21, Absatz 3, unterstreicht die Bedeutung der Due Diligence, wenn Einrichtungen die Angemessenheit der in der Lieferkette getroffenen Sicherheitsmaßnahmen bewerten. Die Einrichtungen müssen die spezifischen Schwachstellen jedes direkten Lieferanten und Dienstleisters berücksichtigen, unter Einbeziehung von:
    * Spezifische Schwachstellen des einzelnen Lieferanten.
    * Allgemeine Cybersicherheitspraktiken der Lieferanten: Einschließlich ihrer Verfahren für eine sichere Entwicklung.
    * Ergebnisse koordinierter Risikobewertungen: Die Einrichtungen müssen die Ergebnisse etwaiger auf EU-Ebene durchgeführter koordinierter Risikobewertungen berücksichtigen, wie in Artikel 22, Absatz 1 angegeben.
  • Umgang mit Nichtkonformität: Wenn eine Einrichtung eine Nichtkonformität mit den geforderten Sicherheitsmaßnahmen feststellt, einschließlich Aspekten der Sicherheit der Lieferkette, verpflichtet Artikel 21, Absatz 4 zur unverzüglichen Umsetzung geeigneter Korrekturmaßnahmen. Dies verdeutlicht den kontinuierlichen Charakter des Risikomanagements in der Lieferkette sowie die Notwendigkeit ständiger Überwachung und Verbesserung.
  1. Koordinierte Risikobewertungen:
  • Bewertungen auf EU-Ebene: Artikel 22, Absatz 1, ermöglicht es der NIS-Kooperationsgruppe, in Zusammenarbeit mit der Kommission und der ENISA, „koordinierte Risikobewertungen für die Sicherheit spezifischer kritischer Lieferketten von IKT-Diensten, IKT-Systemen oder IKT-Produkten“ durchzuführen.
  • Fokus auf kritische Lieferketten: Diese Bestimmung verleiht der EU die Fähigkeit, Schwachstellen in Lieferketten, die für die Cybersicherheit der Union entscheidend sind, proaktiv zu identifizieren und zu bewerten.
  • Berücksichtigung technischer und nicht-technischer Faktoren: Diese koordinierten Risikobewertungen müssen sowohl technische als auch nicht-technische Faktoren berücksichtigen, was die Bedeutung eines ganzheitlichen Ansatzes für die Sicherheit der Lieferkette unterstreicht.
  • Identifizierung kritischer IKT-Produkte und -Dienste: Artikel 22, Absatz 2, stellt klar, dass die Kommission in Absprache mit den relevanten Interessenträgern festlegt, welche IKT-Dienste, -Systeme oder -Produkte als so kritisch eingestuft werden, dass sie eine koordinierte Risikobewertung ihrer Sicherheit rechtfertigen.
  1. Förderung sicherer Entwicklungspraktiken:
  • Secure by Design und Default: Obwohl nicht explizit im Kontext der Sicherheit der Lieferkette erwähnt, bezieht sich Artikel 21, Absatz 2(e) auf die Sicherheit bei der „Beschaffung, Entwicklung und Wartung“ von IKT-Systemen. Dies fördert indirekt die Anwendung der Prinzipien „Security by Design und by Default“ entlang der gesamten Lieferkette.
  • Ermutigung zur Nutzung von Zertifizierungen: Artikel 24 fördert die Nutzung von Cybersicherheits-Zertifizierungssystemen, die durch den Cybersecurity Act (Verordnung (EU) 2019/881) festgelegt wurden. Durch die Förderung der Verwendung zertifizierter Produkte, Dienste und Prozesse im Bereich Cybersicherheit incentiviert die Richtlinie indirekt die Einführung soliderer Sicherheitspraktiken bei Lieferanten innerhalb der Lieferkette.

Zusammenfassend lässt sich sagen, dass die NIS2-Richtlinie die Sicherheit der Lieferkette als grundlegendes Element ihres Cybersicherheits-Risikomanagementrahmens integriert. Sie betont einen proaktiven und kontinuierlichen Ansatz und verlangt von Einrichtungen, die Risiken, die von ihren Lieferanten und Dienstleistern ausgehen, zu bewerten und anzugehen. Die Richtlinie verleiht der EU zudem die Fähigkeit, koordinierte Risikobewertungen kritischer Lieferketten durchzuführen. Für Organisationen, die ihren Weg zur Anpassung an die NIS2-Richtlinie strukturieren oder überprüfen müssen, ist es sinnvoll, mit einer Analyse der bereits implementierten Maßnahmen und der noch offenen Lücken zu beginnen. Sie können auch den offiziellen Text der NIS2-Richtlinie konsultieren, um die zitierten Bestimmungen direkt zu überprüfen.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *