Drei Personen mit gelben Schutzwesten inspizieren Kartonagen, eine Person trägt gelben Helm am Kopf, eine andere bedient ein Tablet
© WavebreakMediaMicro | stock.adobe.com

Die Sicherheit der Lieferkette in der Cybersicherheits-Richtlinie NIS2

Supply-Chain im Fokus von Sicherheitsprävention

Lesedauer: 2 Minuten

26.02.2024

Lieferketten werden zunehmend globaler und komplexer. Die enge Vernetzung mit Lieferanten und Dienstleistern birgt jedoch Sicherheitsrisiken. Wenn Schnittstellen nicht entsprechend gesichert und überwacht werden, können Cyberkriminelle  Sicherheitslücken gezielt ausnutzen und sich Zugang verschaffen oder Schadsoftware einschleusen. Die Sicherheit der Lieferkette ist damit ein wesentlicher Teil eines Informationssicherheitsmanagementsystems.

In Österreich wollen sich daher knapp ein Viertel der Unternehmen in den kommenden 12 Monaten gezielt mit Third Party Risk Management beschäftigen (Quelle: Cybersecurity in Österreich; KPMG/KSÖ-Studie 2023).

Laut einer europaweiten Studie der ENISA verlangen 61 % der Unternehmen eine Sicherheitszertifizierung von Lieferanten, 43 % nutzen Ratingdienste und 37 % weisen  Sorgfalts- oder Risikobewertungen auf andere Weise nach. Nur 9 % der befragten Organisationen geben an, dass sie die Sicherheitsrisiken in der Lieferkette gar nicht überprüfen.

Was verlangt NIS2 in Bezug auf die Lieferkette?

Die Cybersicherheits-Richtlinie NIS2 verpflichtet betroffene Unternehmen zu umfassenden Risikomanagementmaßnahmen (weitere Informationen), darunter auch die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.

Dabei sind die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, zu berücksichtigen und entsprechende Sicherheitsmaßnahmen zu treffen.

An wen richten sich die Verpflichtungen?

Die Richtlinie bzw. in Folge das Gesetz, das die Richtlinie in Österreich umsetzt, richtet sich direkt an wesentliche und wichtige Einrichtungen im Anwendungsbereich der Richtlinie. Das sind vorwiegend mittlere und große Unternehmen bestimmter Sektoren (z.B. Energie, Gesundheit, Chemie, Lebensmittel), aber auch die Digitale Infrastruktur.

Testen Sie mit unserem Online-Ratgeber, ob Ihr Unternehmen betroffen ist.

Eine viel größere Anzahl von Unternehmen ist als Lieferant oder Dienstleister dieser wesentlichen und wichtigen Einrichtungen indirekt betroffen.

Was müssen Dienstleister und Lieferanten beachten?

Wenn Sie Dienstleister oder Lieferant eines NIS2-betroffenen Unternehmens sind, sind Sie indirekt betroffen. Ihr Kunde wird sich an Sie wenden und vertraglich festlegen, dass Sie – abhängig vom jeweiligen Risiko – bestimmte Sicherheitsvorgaben erfüllen.

Sie sollten sich daher rechtzeitig darauf vorbereiten.
Jedenfalls sollten Sie bestimmte Mindestvorgaben an Informationssicherheit – auch im eigenen Interesse – befolgen.

>> Informationen und Mustervorlagen

Darüber hinaus kann Ihr Kunde weitere Maßnahmen und Nachweise verlangen.

Wie kann der Nachweis der Sicherheit der Lieferkette erfolgen?

Der Nachweis der oben genannten Anforderungen kann auf verschiedene Weise erfolgen (z.B. Zertifizierungen, Ratings, Audits, individuelle Nachweise der Compliance und Sicherheitsanforderungen).

Die NIS-Behörde empfiehlt Betreibern wesentlicher Dienste auf Grundlage des derzeit geltenden NIS-Gesetzes bzw. der NIS-Verordnung folgende Informationssicherheitsstandards sowie Best Practises:

Ab wann gelten die NIS2-Regelungen?

Voraussichtlich spätestens ab 18. Oktober 2024.

Die NIS2-Richtlinie ist am 16. Jänner 2023 in Kraft getreten. Die Mitgliedstaaten müssen die Richtlinie bis 17. Oktober 2024 umsetzen.

Weitere interessante Artikel
  • Rendering in türkis von unterschiedlich großen Zahlenreihen bestehend aus Einsern und Nullern
    Warnung: Große Gefährdung durch Sicherheitslücke „Log4shell“
    Weiterlesen
  • Default Veranstaltungsbild Artikelseite mit grafischen Elementen
    Warnsignale für Malware-Befall der Unternehmens-IT
    Weiterlesen
  • Default Veranstaltungsbild Artikelseite mit grafischen Elementen
    Mehr Sicherheit durch Mehr-Faktor-Authentifizierung
    Weiterlesen