Die NIS2-Richtlinie fördert die Integration von Cybersicherheitsaspekten in die Praxis der öffentlichen Auftragsvergabe, insbesondere bei Produkten und Dienstleistungen der Informations- und Kommunikationstechnik (IKT).

Die Richtlinie erkennt die entscheidende Rolle an, die das öffentliche Beschaffungswesen bei der Stärkung der Cybersicherheit in der gesamten Europäischen Union spielt. Das Hauptziel der NIS2 ist die Anhebung des gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen, und die öffentliche Auftragsvergabe ist eines der Instrumente, durch die dieses Ziel verwirklicht wird.

Obwohl die NIS2-Richtlinie die Einbeziehung von Cybersicherheitsanforderungen fördert, schreibt sie den Mitgliedstaaten keine spezifischen Methoden für die Umsetzung dieser Anforderungen in Vergabeverfahren vor. Sie schlägt jedoch die folgenden Maßnahmen vor, um die Mitgliedstaaten anzuleiten.

NIS2-Richtlinie: Cybersicherheitszertifizierung

Förderung der Nutzung von IKT-Produkten und -Dienstleistungen, die im Rahmen des europäischen Cybersicherheitszertifizierungsrahmens Sicherheitszertifikate erhalten haben. Dies stellt sicher, dass diese Produkte und Dienstleistungen spezifische Sicherheitsstandards erfüllen.

Verschlüsselung

Förderung der obligatorischen Nutzung von Verschlüsselungstechnologien bei IKT-Produkten und -Dienstleistungen, die von öffentlichen Einrichtungen beschafft werden. Verschlüsselung schützt sensible Daten und Kommunikation vor unbefugtem Zugriff und verbessert den allgemeinen Datenschutz.

Open-Source-Produkte für die Cybersicherheit

Ermutigung zur Nutzung von Open-Source-Produkten für die Cybersicherheit im öffentlichen Beschaffungswesen. Open-Source-Lösungen können Transparenz, Flexibilität und Kostenvorteile bieten und gleichzeitig von der Community getriebene Sicherheitsverbesserungen ermöglichen.

Die Risiken gemäß der NIS2-Richtlinie

Zusätzlich zu diesen spezifischen Maßnahmen unterstreicht die NIS2-Richtlinie die Bedeutung eines risikobasierten Ansatzes für die Cybersicherheit bei der öffentlichen Auftragsvergabe. Dies bedeutet:

• Risikoidentifizierung: Öffentliche Einrichtungen sollten gründliche Risikobewertungen durchführen, um potenzielle Cybersicherheitsbedrohungen und Schwachstellen zu identifizieren, die mit den zu beschaffenden IKT-Produkten und -Dienstleistungen verbunden sind.
• Spezifizierung der Anforderungen: Die Ausschreibungsunterlagen sollten die Cybersicherheitsanforderungen klar darlegen, um sicherzustellen, dass potenzielle Anbieter die notwendigen Sicherheitsstandards verstehen und erfüllen können.
• Bewertung der Anbieter: Öffentliche Einrichtungen sollten Anbieter auf der Grundlage ihrer Cybersicherheitsfähigkeiten bewerten, einschließlich des Risikomanagements, der Verfahren zur Reaktion auf Vorfälle und der Einhaltung relevanter Sicherheitsstandards.
• Überwachung und Überprüfung: Cybersicherheitsmaßnahmen im öffentlichen Beschaffungswesen sollten regelmäßig überwacht und überprüft werden, um sie an die sich entwickelnden Bedrohungen anzupassen und eine kontinuierliche Wirksamkeit zu gewährleisten.

Die Richtlinie zielt darauf ab, ein sichereres digitales Umfeld zu schaffen, indem die Beschaffung von IKT-Produkten und -Dienstleistungen mit robusten Cybersicherheitsmerkmalen gefördert wird. Für Organisationen, die ihren Weg zur Anpassung strukturieren oder überprüfen müssen, deckt die von ISGroup angebotene NIS2-Compliance-Unterstützung sowohl die Bewertung der implementierten Maßnahmen als auch die Definition der erforderlichen Korrekturmaßnahmen ab.

[Callforaction-NIS2-Footer]