Anforderungen an Lieferketten im Rahmen der NIS-2-Richtlinie
Veröffentlicht: 21. Mai 2024
aus
Steuern & Wirtschaft aktuell 2-2024
Die zunehmende Digitalisierung von Lieferketten in den kommenden Jahren bringt auch eine verstärkte Anforderung an Cybersicherheit mit sich, sodass durch das Lieferkettengesetz und die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union (sog. NIS-2-Richtlinie) weitere Vorgaben zur Überwachung der Lieferkettensicherheit definiert wurden, deren Umsetzung seitens betroffener Unternehmen zukünftig nachgewiesen werden muss.
In einer vernetzten Welt bilden Lieferketten das Rückgrat der globalen Wirtschaft. Doch die zunehmende Digitalisierung bringt auch neue Risiken mit sich, insb. für die Sicherheit sensibler Daten und Systeme entlang der Lieferkette. Schwachstellen in Informationssystemen können nicht nur einzelne Unternehmen, sondern die gesamte Lieferkette gefährden.
Die NIS-2-Richtlinie und das dazugehörige Umsetzungsgesetz setzen daher strenge Sicherheitsstandards, die Unternehmen verpflichten, umfassende Risikomanagementmaßnahmen zu ergreifen. Unternehmen müssen potenzielle Risiken in ihrer Lieferkette identifizieren, bewerten und bewältigen, um die Sicherheit sensibler Informationen zu gewährleisten und Betriebsunterbrechungen zu vermeiden. Ein zentraler Aspekt bei der Sicherung von Lieferketten ist die Überprüfung der Sicherheitsvorkehrungen der eigenen Lieferanten. Hierzu zählen beispielsweise auch Dienstleister wie Rechenzentren oder Business-Process-Outsourcing-Unternehmen, die Unternehmensdaten tagtäglich speichern und verarbeiten.
Im Hinblick auf die NIS-2-Anforderungen zur Einhaltung der eigenen Lieferkettensicherheit spielen vor allem Lieferanten-Audits sowie bestehende Bescheinigungen und Zertifikate eine entscheidende Rolle. Sie dienen als Nachweis dafür, dass Lieferanten bzw. auch Dienstleister den geltenden Sicherheitsstandards entsprechen und angemessene Sicherheitsmaßnahmen implementiert haben.
Lieferanten-Audits ermöglichen es, potenzielle Schwachstellen und Risiken in der Lieferkette zu identifizieren und zu bewerten, und fördern zugleich die Zusammenarbeit und das Bewusstsein für Cybersicherheitsrisiken entlang der gesamten Lieferkette. Seitens der Unternehmen sollte je Lieferant eine Risikobewertung erfolgen und dokumentiert werden. Es empfiehlt sich dabei, bestehende Fragebögen, die bereits für Lieferanten-Assessments oder -Audits erstellt und genutzt werden, hinsichtlich der NIS-2-Sicherheitsanforderungen zu erweitern, sodass Aufwände für Interviews und deren Organisation minimiert werden können.
Bescheinigungen oder Zertifikate dienen ebenfalls als wichtige Sicherheitsnachweise der Lieferkette und können zur Dokumentierung der eigenen Risikobewertung je Lieferant verwendet werden. Sie belegen, dass ein Lieferant bestimmte Sicherheitsmaßnahmen implementiert hat und den geltenden Standards entspricht. Folgende Standards und Rahmenwerke werden dabei u. a. als gängige Nachweise empfohlen:
- ISO/IEC 27001
- ISAE 3000 / ISAE 3402
- IDW PS 951
- CIS CSC
- NIST Cybersecurity Framework (CSF)
- IEC 62443-2-1
Wichtig ist, dass die Sicherheit der Lieferkette fortlaufend überwacht und bewertet wird. Hierzu müssen die genannten Audits, Assessments und Sicherheitsnachweise regelmäßig angefragt und bei den Lieferanten und Geschäftspartnern eingeholt werden, um den Nachweispflichten der NIS-2-Richtlinie nachzukommen.
HINWEIS
Im Rahmen von GAP-Analysen kann ein Reifegrad der NIS-2-Compliance bestimmt werden, um auf dessen Basis geeignete Maßnahmen zur Erfüllung der NIS-2-Anforderungen abzuleiten. Etwaige Schwachstellen können so frühzeitig identifiziert und bearbeitet werden.
Unsere Autorinnen und Autoren des Beitrags beraten Sie gerne zu Ihren persönlichen Fragen.
Mehr zum Bereich:
