NIS-2: Wie Unternehmen ihr Third Party Risk Management stärken
Die NIS-2-Richtlinie wirft ihre Schatten voraus: Zahlreiche Unternehmen in der EU müssen mit Verabschiedung der Richtlinie genau prüfen, mit wem sie zusammenarbeiten und wie resilient ihre Dienstleister gegenüber Cyberangriffen sind. Denn derartige Vorfälle können jedes Glied der Lieferkette treffen. Wer jetzt aktiv werden muss und was für ein effektives Third Party Risk Management zu tun ist.
Seit Anfang 2023 ist die EU NIS-2 (EU 2022/2555) in der EU in Kraft getreten – die Neuerung der Direktive zur Stärkung des Cybersicherheitsniveaus und der Cyberresilienz innerhalb der Europäischen Union. Die Umsetzung in deutsches Recht soll bis Oktober 2024 als NIS-2-Umsetzungsgesetz und neue Fassung des KRITIS-Dachgesetzes erfolgen.
Was ist NIS-2?
Die NIS-2-Richtlinie der EU aktualisiert den Rahmen für Betreiber kritischer Infrastrukturen und setzt EU-weite Mindeststandards für die Cybersicherheit fest. Sie löst damit die bisherige Direktive von 2016 ab und bringt einige wichtige Neuerung mit sich. Denn im Vergleich zu NIS1 und dem IT-Sicherheitsgesetz 2 erweitert NIS-2 den Kreis der betroffenen Unternehmen und verschärft die Pflichten. Vor allem betroffen: kleinere und mittlere Unternehmen bestimmter Sektoren – in Deutschland sind dies rund 30.000. Neu ist auch, dass die Lieferkette mitbetrachtet werden muss.
NIS-2 ist nicht die erste Richtlinie innerhalb der EU, die sich mit dem Schutz der Lieferkette befasst: Bereits bekannte branchenspezifische Verordnungen (z. B. DORA) sowie weitere Anforderungen und Gesetze (z. B. Lieferkettensorgfaltspflichtengesetz) nehmen nicht nur die Unternehmen, sondern auch ihre Partner und Zulieferer in die Pflicht, sich vor Cyberrisiken zu schützen. Denn das Sicherheitsproblem eines Dienstleisters kann schnell auch zum Problem für das auftraggebende Unternehmen selbst werden.
NIS-2: Wer ist betroffen?
Eine breite Palette an Unternehmen ist von der NIS-2-Richtlinie betroffen, insbesondere solche in den Sektoren Lebensmittelproduktion bzw.-handel oder Unternehmen aus dem Energiesektor. Deren Dienstleister spielen eine entscheidende Rolle dabei, die digitale Infrastruktur sicher und widerstandsfähig zu machen, können aber ebenso in den Fokus von Cyberkriminellen geraten. Mit ihren engen Verbindungen zur kritischen Infrastruktur stellen diese ein besonderes Risiko dar. Oft ist es für Kriminelle einfacher, ein Unternehmen über deren Dienstleister anzugreifen als das Unternehmen selbst (Suppy-Chain-Angriffe). Hier stehen vor allem die Dienstleister im Fokus, die Cyber-Security-Dienste bereitstellen:
- Anbieter von Datenspeicherungs- und -verarbeitungsdiensten
- Anbieter von verwalteten Sicherheitsdiensten
- Softwarehersteller
- Sicherheitsdienste wie SIEM-Anbieter, Penetrationstests
- Sicherheitsaudit-Anbieter
- Cyber-Security-Beratung
Cyberangriffe können jedes Glied der Lieferkette treffen. Für Unternehmen, die Dienstleistungen in Anspruch nehmen, ist es daher wichtig, die damit verbundenen Risiken ernst zu nehmen. Sie müssen sicherstellen, dass bei ihren Dienstleistern Maßnahmen im Sinne der Cybersicherheit aufgesetzt und diese mit dem jeweiligen Dienstleister vertraglich verankert sind – und das entlang der gesamten Lieferkette. Denn ein Cyberangriff auf einen Ihrer Dienstleister kann auch ihre eigenen Geschäftsabläufe gefährden.
Was ist zu tun?
Die NIS-2-Richtlinie verlangt, Maßnahmen zum Schutz vor Sicherheitsvorfällen zu treffen. Dabei geht es nicht nur um eine reine Bewertung der Dienstleister, sondern um die gesamte Lieferkette aus Aufragnehmern und Unterauftragnehmern im Risikomanagement. Zudem müssen Unternehmen bereits vor Vertragsabschluss Cybersicherheitsaspekte und die Sicherheit der Lieferkette berücksichtigen. Betreiber kritischer Anlagen (z. B. im Energie-, Transport- oder Gesundheitssektor) müssen zusätzlich regelmäßig Risikoanalysen durchführen und daraus Maßnahmen ableiten.
Um diese Anforderungen umzusetzen, braucht es:
- Ein Target Operating Model (TOM) für ein unternehmensweites Risikomanagement der informationstechnischen ausgelagerten Systeme, Komponenten und Prozesse
- Die Einführung eines ganzheitlichen Third Party Risk Managements, das den gesamten Lebenszyklus von der Kaufentscheidung, über die fortlaufende Steuerung und Überwachung der Dienstleister bis zur Beendigung des Vertragsverhältnisses betrachtet
- Eine Outsourcing-Strategie, die u. a. definiert, was ausgelagert werden soll (make-or-buy-Entscheidung) und an wie viele Unternehmen (z.B. multivendor, sole-sourcing, single-sourcing, dual-sourcing, multiple-sourcing, hybrid)
Third Party Risk Management: Strategische Maßnahmen
Darauf aufbauend ist es zur Einhaltung der NIS-2 für Unternehmen wichtig, folgende Maßnahmen umzusetzen:
Risikoanalysen
Unternehmen sollten im Rahmen ihres Third Party Risk Managements Risikoanalysen über ihre Lieferkette entwickeln und regelmäßig durchführen. Im Zentrum der Analyse stehen dabei Cybersicherheit, Risiken, die die Handlungsfähigkeit des auslagernden Unternehmens bedrohen, sowie die Abhängigkeit von einzelnen kritischen Dienstleistern.
Vertragsgestaltung
Zudem verlangt die NIS-2-Richtlinie, dass Verträge mit den Dienstleistern so gestaltet werden, dass das auslagernde Unternehmen die Erfüllung der vertraglichen Vereinbarungen und Liefergegenstände nachvollziehen kann. Zusätzlich gehören transparente Informationen zu Subdienstleistern oder anderen bspw. Informationssicherheitsrelevante Rahmenbedingungen dazu.
Dokumentation von Auslagerungen
Alle Auslagerungen sollten zentral dokumentiert werden (z.B. in einem Auslagerungsregister), um Konzentrationsrisiken zu erkennen.
Steuermechanismen
Für die Steuerung braucht es geeignete Mechanismen. Hier kann einerseits auf gängige Prüfberichte (z.B. ISAE3402, SOC1/SOC2) zurückgegriffen werden. Andererseits sollten KPIs definiert und deren Einhaltung überwacht werden. Auch sollte ein regelmäßiger Austausch mit dem Dienstleister stattfinden.
Vertragsbeendigung
Zuletzt muss überlegt werden, wie der Vertrag ohne negativen Einfluss auf die Handlungsfähigkeit des auslagernden Unternehmens beendigt werden kann.
Fazit: Warum Third Party Risk Management wichtiger ist, denn je
NIS-2 ist nach Verabschiedung der oben genannten Gesetze unmittelbar gültig. Damit ist im Oktober 2024 zu rechnen. Außerdem kündigten die Behörden bereits weitere Detailanforderungen an. Unser Artikel zeigt: Die Anforderungen an ein Third Party Risk Management sind komplex. Wir raten Unternehmen daher, frühzeitig mit der Umsetzung zu beginnen. Denn es reicht nicht mehr aus, Aufgaben auszulagern und zu hoffen, dass damit alle Sicherheitsprobleme gelöst sind. Ein umsichtiges Management von Drittanbieterrisiken ist gefragt, um den Anforderungen der NIS-2-Richtlinie gerecht zu werden.
Unser Artikel zeigt: Die Umsetzung der NIS-2-Richtlinie ist entscheidend für die Sicherheit Ihrer Lieferkette. Kontaktieren Sie uns noch heute und entdecken Sie, wie wir Sie dabei effektiv unterstützen können.
