Drei Personen mit gelben Schutzwesten inspizieren Kartonagen, eine Person trägt gelben Helm am Kopf, eine andere bedient ein Tablet
© WavebreakMediaMicro | stock.adobe.com

Die Sicherheit der Lieferkette in der Cybersicherheits-Richtlinie NIS2

Supply-Chain im Fokus von Sicherheitsprävention

Lesedauer: 2 Minuten

13.11.2024

Lieferketten werden zunehmend globaler und komplexer. Die enge Vernetzung mit Lieferanten und Dienstleistern birgt jedoch Sicherheitsrisiken. Wenn Schnittstellen nicht entsprechend gesichert und überwacht werden, können Cyberkriminelle  Sicherheitslücken gezielt ausnutzen und sich Zugang verschaffen oder Schadsoftware einschleusen. Die Sicherheit der Lieferkette ist damit ein wesentlicher Teil eines Informationssicherheitsmanagementsystems.

  >> Video NIS2 Lieferkette am EDAY

Was verlangt NIS2 in Bezug auf die Lieferkette?

Die Cybersicherheits-Richtlinie NIS2 verpflichtet betroffene Unternehmen zu umfassenden Risikomanagementmaßnahmen (weitere Informationen), darunter auch die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.

Dabei sind die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, zu berücksichtigen und entsprechende Sicherheitsmaßnahmen zu treffen.

Während NIS2 auf die Sicherstellung der Cybersicherheit in wesentlichen und wichtigen Sektoren abzielt, konzentriert sich der Cyber Resilience Act (CRA), eine EU-Verordnung die in Kürze in Kraft tritt, auf die Sicherheitsaspekte von Produkten mit digitalen Elementen. Der Cyber Resilience Act zielt darauf ab, die Einhaltung der Anforderungen an die Lieferkette zu erleichtern, indem sichergestellt wird, dass Produkte mit digitalen Elementen auf sichere Weise entwickelt werden und der Zugang zu Sicherheitsupdates gewährleistet ist. NIS2 und CRA ergänzen sich, indem sie verschiedene Ebenen der Cybersicherheit abdecken.

An wen richten sich die Verpflichtungen?

Die Richtlinie bzw. in Folge das Gesetz, das die Richtlinie in Österreich umsetzt, richtet sich direkt an wesentliche und wichtige Einrichtungen im Anwendungsbereich der Richtlinie. Das sind vorwiegend mittlere und große Unternehmen bestimmter Sektoren (z.B. Energie, Gesundheit, Chemie, Lebensmittel), aber auch die Digitale Infrastruktur.

Testen Sie mit unserem Online-Ratgeber, ob Ihr Unternehmen betroffen ist.

Eine viel größere Anzahl von Unternehmen ist als Lieferant oder Dienstleister dieser wesentlichen und wichtigen Einrichtungen indirekt betroffen.

Was müssen Dienstleister und Lieferanten beachten?

Wenn Sie Dienstleister oder Lieferant eines NIS2-betroffenen Unternehmens sind, sind Sie indirekt betroffen. Ihr Kunde wird sich an Sie wenden und vertraglich festlegen, dass Sie – abhängig vom jeweiligen Risiko – bestimmte Sicherheitsvorgaben erfüllen.

Sie sollten sich daher rechtzeitig darauf vorbereiten.
Jedenfalls sollten Sie bestimmte Mindestvorgaben an Informationssicherheit – auch im eigenen Interesse – befolgen.

>> Informationen und Mustervorlagen

Darüber hinaus kann Ihr Kunde weitere Maßnahmen und Nachweise verlangen.

Wie kann der Nachweis der Sicherheit der Lieferkette erfolgen?

Der Nachweis der oben genannten Anforderungen kann auf verschiedene Weise erfolgen (z.B. Zertifizierungen, Ratings, Audits, individuelle Nachweise der Compliance und Sicherheitsanforderungen).

Die NIS-Behörde empfiehlt Betreibern wesentlicher Dienste auf Grundlage des derzeit geltenden NIS-Gesetzes bzw. der NIS-Verordnung folgende Informationssicherheitsstandards sowie Best Practises:

Ab wann gelten die NIS2-Regelungen?

Die NIS2-Richtlinie ist am 16. Jänner 2023 in Kraft getreten. Wann die Umsetzung in Österreich genau erfolgt, ist abhängig vom parlamentarischen Gesetzgebungsprozess und derzeit noch offen. Es ist im Laufe des Jahres 2025 damit zu rechnen.