Die Sicherheit der Lieferkette in der Cybersicherheits-Richtlinie NIS2
Supply-Chain im Fokus von Sicherheitsprävention
Lesedauer: 2 Minuten
Lieferketten werden zunehmend globaler und komplexer. Die enge Vernetzung mit Lieferanten und Dienstleistern birgt jedoch Sicherheitsrisiken. Wenn Schnittstellen nicht entsprechend gesichert und überwacht werden, können Cyberkriminelle Sicherheitslücken gezielt ausnutzen und sich Zugang verschaffen oder Schadsoftware einschleusen. Die Sicherheit der Lieferkette ist damit ein wesentlicher Teil eines Informationssicherheitsmanagementsystems.
>> Video NIS2 Lieferkette am EDAY
Was verlangt NIS2 in Bezug auf die Lieferkette?
Die Cybersicherheits-Richtlinie NIS2 verpflichtet betroffene Unternehmen zu umfassenden Risikomanagementmaßnahmen (weitere Informationen), darunter auch die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.
Dabei sind die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, zu berücksichtigen und entsprechende Sicherheitsmaßnahmen zu treffen.
Während NIS2 auf die Sicherstellung der Cybersicherheit in wesentlichen und wichtigen Sektoren abzielt, konzentriert sich der Cyber Resilience Act (CRA) auf die Sicherheitsaspekte von Produkten mit digitalen Elementen. Der Cyber Resilience Act zielt darauf ab, die Einhaltung der Anforderungen an die Lieferkette zu erleichtern, indem sichergestellt wird, dass Produkte mit digitalen Elementen auf sichere Weise entwickelt werden und der Zugang zu Sicherheitsupdates gewährleistet ist. NIS2 und CRA ergänzen sich, indem sie verschiedene Ebenen der Cybersicherheit abdecken.
An wen richten sich die Verpflichtungen?
Die Richtlinie bzw. in Folge das Gesetz, das die Richtlinie in Österreich umsetzt, richtet sich direkt an wesentliche und wichtige Einrichtungen im Anwendungsbereich der Richtlinie. Das sind vorwiegend mittlere und große Unternehmen bestimmter Sektoren (z.B. Energie, Gesundheit, Chemie, Lebensmittel), aber auch die Digitale Infrastruktur.
Testen Sie mit unserem Online-Ratgeber, ob Ihr Unternehmen betroffen ist.
Eine viel größere Anzahl von Unternehmen ist als Lieferant oder Dienstleister dieser wesentlichen und wichtigen Einrichtungen indirekt betroffen.
Was müssen Dienstleister und Lieferanten beachten?
Wenn Sie Dienstleister oder Lieferant eines NIS2-betroffenen Unternehmens sind, sind Sie indirekt betroffen. Ihr Kunde wird sich an Sie wenden und vertraglich festlegen, dass Sie – abhängig vom jeweiligen Risiko – bestimmte Sicherheitsvorgaben erfüllen.
Sie sollten sich daher rechtzeitig darauf vorbereiten.
Jedenfalls sollten Sie bestimmte Mindestvorgaben an Informationssicherheit – auch im eigenen Interesse – befolgen.
>> Informationen und Mustervorlagen
Darüber hinaus kann Ihr Kunde weitere Maßnahmen und Nachweise verlangen.
Wie kann der Nachweis der Sicherheit der Lieferkette erfolgen?
Der Nachweis der oben genannten Anforderungen kann auf verschiedene Weise erfolgen (z.B. Zertifizierungen, Ratings, Audits, individuelle Nachweise der Compliance und Sicherheitsanforderungen).
Die NIS-Behörde empfiehlt Betreibern wesentlicher Dienste auf Grundlage des derzeit geltenden NIS-Gesetzes bzw. der NIS-Verordnung folgende Informationssicherheitsstandards sowie Best Practises:
- Österreichisches Informationssicherheitshandbuch
- ISO/IEC 27001
- IEC 62443 2-1: Supply chain security
- CIS CSC v8.0
- KSÖ Cyber Risk Rating: Anforderungen für A bzw. B Rating
Ab wann gelten die NIS2-Regelungen?
Die NIS2-Richtlinie ist am 16. Jänner 2023 in Kraft getreten. Wann die Umsetzung in Österreich genau erfolgt, ist abhängig vom parlamentarischen Gesetzgebungsprozess und derzeit noch offen. Es ist im Laufe des Jahres 2025 damit zu rechnen.
Links
- Good practises for supply chain security - ENISA
- Threat Landscape for Supply Chain Attacks — ENISA (europa.eu)
- NIS.GV.AT – Fact Sheet 9/2022
- Österreichisches Informationssicherheitshandbuch
- CIS CSC v8.0
- ISO/IEC 27001
- KSÖ Cyber Risk Rating - Schema
- Selbst-Einschätzung anhand des KSÖ CRR Schemas
- KMU DIGITAL Förderung
- Cyber Resilience Act