ISGroup Cybersicherheitsberatung

Wie geht die NIS2-Richtlinie mit der Cybersicherheit in Lieferketten um?

Die NIS2-Richtlinie misst der Stärkung der Cybersicherheit innerhalb der Lieferketten eine bedeutende Rolle bei. Sie erkennt an, dass Schwachstellen bei Lieferanten und Dienstleistern erhebliche Risiken für wesentliche und wichtige Einrichtungen darstellen können. Wenn Sie besser verstehen möchten, was das Hauptziel der NIS2-Richtlinie ist, können Sie dies in unserem speziellen Artikel nachlesen.

[Callforaction-NIS2]

So geht die Richtlinie mit dieser Problematik um:

Verpflichtende Maßnahmen für die Sicherheit der Lieferkette

  • Anforderungen an das Risikomanagement: Die Richtlinie schreibt vor, dass wesentliche und wichtige Einrichtungen angemessene und verhältnismäßige Maßnahmen zum Management von Cybersicherheitsrisiken umsetzen. Dazu gehört ausdrücklich die Adressierung von Risiken in ihren Lieferketten und in den Beziehungen zu Lieferanten.
  • Bewertung von Lieferanten: Die Einrichtungen sind verpflichtet, die Cybersicherheitspraktiken ihrer Lieferanten und Dienstleister zu bewerten und die potenziellen Auswirkungen dieser Anbieter auf die Sicherheit ihrer eigenen Netz- und Informationssysteme zu analysieren.

Risikobasierter Ansatz für die Sicherheit der Lieferkette

  • Maßgeschneiderte Maßnahmen: Einrichtungen müssen einen risikobasierten Ansatz für die Sicherheit ihrer Lieferketten verfolgen. Dabei sind Faktoren wie die Sensibilität der von den Lieferanten verarbeiteten Daten, die Kritikalität der erbrachten Dienstleistungen und der Zugriff der Lieferanten auf die Systeme der Einrichtung zu berücksichtigen.
  • Priorisierung: Durch die Identifizierung und Priorisierung der mit verschiedenen Lieferanten verbundenen Risiken können Einrichtungen ihre Ressourcen effektiv einsetzen, um die signifikantesten Bedrohungen zu mindern.

Koordinierte Risikobewertungen

  • Bewertungen auf EU-Ebene: Die Richtlinie sieht koordinierte Sicherheitsbewertungen kritischer Lieferketten auf EU-Ebene vor. Diese Bewertungen, die in Zusammenarbeit mit den Mitgliedstaaten und der ENISA durchgeführt werden, zielen darauf ab, systemische Risiken und Abhängigkeiten zu identifizieren, die mehrere Einrichtungen oder Sektoren betreffen könnten.
  • Informierte politische Entscheidungen: Die Ergebnisse dieser Bewertungen helfen dabei, politische Entscheidungen zu fundieren und Leitlinien zur Verbesserung der Sicherheit der Lieferkette in der gesamten EU zu entwickeln.

Management und Offenlegung von Schwachstellen

  • Koordinierte Offenlegung von Schwachstellen: NIS2 führt einen Rahmen für die koordinierte Offenlegung von Schwachstellen ein. Einrichtungen werden ermutigt, Schwachstellen in IKT-Produkten und -Diensten an ein benanntes nationales CSIRT oder an die betroffenen Anbieter zu melden.
  • Rolle der CSIRTs: Die Mitgliedstaaten müssen ein nationales CSIRT benennen, das als vertrauenswürdiger Vermittler in den Prozessen der Schwachstellenoffenlegung fungiert und die Kommunikation zwischen Einrichtungen und Anbietern erleichtert, um sicherzustellen, dass Schwachstellen zeitnah behoben werden.
  • Europäische Schwachstellendatenbank: Die ENISA ist damit beauftragt, eine europäische Schwachstellendatenbank einzurichten und zu pflegen, die Informationen über Schwachstellen sammelt und teilt, um die Transparenz und das Bewusstsein zwischen Einrichtungen und Anbietern zu erhöhen.

Informationsaustausch und Zusammenarbeit

  • Gemeinsame Anstrengungen: Die Richtlinie ermutigt Einrichtungen, sich am Informationsaustausch zu beteiligen, auch mit ihren Lieferanten und Dienstleistern. Dieser kooperative Ansatz zielt darauf ab, das kollektive Bewusstsein für Cybersicherheitsbedrohungen und bewährte Verfahren zu verbessern.
  • Vertrauenswürdige Gemeinschaften: Durch die Teilnahme an vertrauenswürdigen Gemeinschaften zum Informationsaustausch können Einrichtungen zeitnah Updates zu aufkommenden Bedrohungen erhalten, die ihre Lieferketten betreffen könnten.

Cybersicherheitsanforderungen bei der Auftragsvergabe

  • Einbeziehung der Sicherheit in Verträge: Einrichtungen werden ermutigt, Cybersicherheitsanforderungen in vertragliche Vereinbarungen mit Lieferanten aufzunehmen. Dies kann die Festlegung von Sicherheitsstandards, die Forderung nach Einhaltung spezifischer Zertifizierungen oder die Vereinbarung von Meldepflichten bei Vorfällen umfassen. Für Organisationen, die diesen Prozess strukturieren müssen, hilft der Start eines strukturierten NIS2-Anpassungspfads dabei, diese Verpflichtungen in konkrete und dokumentierbare Maßnahmen umzusetzen.
  • Due Diligence: Vor der Einbindung von Lieferanten sollten Einrichtungen eine Due-Diligence-Prüfung durchführen, um deren Cybersicherheitslage zu bewerten und sicherzustellen, dass die Lieferanten die erforderlichen Sicherheitskriterien erfüllen.

Bewusstsein und Schulung

  • Bewusstsein in der Lieferkette: Einrichtungen müssen das Bewusstsein für Cybersicherheit nicht nur innerhalb ihrer Organisation, sondern auch entlang ihrer Lieferketten fördern. Dies beinhaltet die Bereitstellung von Leitlinien und Schulungen für Lieferanten zu den Sicherheitserwartungen und -praktiken.

Regulatorische Aufsicht

  • Aufsichtsbehörden: Die nationalen zuständigen Behörden haben die Befugnis, die Einhaltung der Verpflichtungen zur Sicherheit der Lieferkette durch die Einrichtungen zu überwachen, einschließlich der Durchführung von Audits und Inspektionen in Bezug auf Praktiken in der Lieferkette. In Italien verwaltet die ACN das Verzeichnis der NIS2-pflichtigen Subjekte und die Compliance-Fristen.
  • Durchsetzungsmaßnahmen: Ein Versäumnis beim angemessenen Management von Cybersicherheitsrisiken in der Lieferkette kann zu Durchsetzungsmaßnahmen führen, einschließlich administrativer Sanktionen.

Durch die Einbeziehung dieser Maßnahmen zielt die NIS2-Richtlinie darauf ab, die allgemeine Cybersicherheitslage wesentlicher und wichtiger Einrichtungen zu stärken, indem sichergestellt wird, dass Risiken in der Lieferkette effektiv verwaltet werden. Die Richtlinie fördert eine Sicherheitskultur, die über einzelne Organisationen hinausgeht und die gesamte Lieferkette umfasst, da Cybersicherheit eine geteilte Verantwortung in einem vernetzten digitalen Ökosystem ist. Um den vollständigen Text einzusehen, steht das offizielle Dokument der NIS2-Richtlinie zur Verfügung.

Häufig gestellte Fragen zur Sicherheit der Lieferkette unter NIS2

  • Welche Lieferanten fallen unter die NIS2-Verpflichtungen für die Lieferkette?
  • Die Richtlinie legt keine Größenschwelle für Lieferanten fest, verlangt jedoch von wesentlichen und wichtigen Einrichtungen, alle Lieferanten und Dienstleister zu bewerten, die Zugriff auf ihre Systeme haben oder sensible Daten verarbeiten. Die Priorität liegt auf Lieferanten, die für die Betriebskontinuität oder die Informationssicherheit kritisch sind.
  • Wie weist man die Einhaltung der Sicherheitsverpflichtungen für die Lieferkette nach?
  • Einrichtungen müssen die Risikobewertungen der Lieferanten, die in Verträge aufgenommenen Sicherheitsanforderungen und die durchgeführten Due-Diligence-Aktivitäten dokumentieren. Die zuständigen Behörden können diese Dokumentation bei Audits oder Inspektionen anfordern.
  • Was passiert, wenn ein Lieferant die geforderten Sicherheitsanforderungen nicht erfüllt?
  • Die NIS2-pflichtige Einrichtung bleibt auch bei Pflichtverletzungen des Lieferanten für ihre eigene Sicherheitslage verantwortlich. Es kann erforderlich sein, den Vertrag zu überprüfen, Korrekturmaßnahmen zu fordern oder in schwerwiegenden Fällen die Geschäftsbeziehung zum Lieferanten zu beenden, um das Risiko zu minimieren.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *