Die NIS2-Richtlinie der Europäischen Union stellt eine wichtige Weiterentwicklung der Cybersicherheitsvorschriften dar. Sie zielt darauf ab, ein hohes Maß an Cybersicherheit in allen wesentlichen Wirtschaftssektoren zu gewährleisten. Hier sind die Kernpunkte der Richtlinie und ihre Auswirkungen auf Unternehmen und Lieferanten:
Betroffene Unternehmen
Unter die NIS2-Richtlinie fallen Unternehmen, die in kritischen Infrastrukturen und wichtigen Wirtschaftssektoren tätig sind. Die Richtlinie erweitert den Kreis der betroffenen Unternehmen im Vergleich zur vorherigen NIS-Richtlinie von 2016 deutlich. Zu den Sektoren, die unter die NIS2-Richtlinie fallen, gehören:
• Energie
• Verkehr, Transport
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Wasserversorgung, Trinkwasser, Abwasser
• Digitale Infrastrukturen
sowie
IKT-Dienstleistungsmanagement, Öffentliche Verwaltungen, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten, Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke), Forschung.
Unternehmen, die von der NIS2-Richtlinie ausgenommen sind, umfassen in der Regel kleinere Organisationen, die bestimmte Größen- und Umsatzschwellen nicht überschreiten. Die NIS2-Richtlinie gilt hauptsächlich für Unternehmen mit mehr als 50 Mitarbeitenden und einem Umsatz von über 10 Millionen Euro.
Erweiterte Sicherheitsanforderungen
Unternehmen, die unter die NIS2-Richtlinie fallen, müssen verstärkte Sicherheitsmaßnahmen gegen Cybergefahren ergreifen. Dazu gehören:
• Robuste Zugangskontrollen und Authentifizierungsverfahren, wie Multifaktor-Authentifizierung.
• Durchführung von regelmäßigen Sicherheitsaudits und Penetrationstests.
• Organisation von Schulungen für Mitarbeiter.
• Etablierung von Bewertungs- und Monitoringverfahren sowie eines Incident-Response-Plans.
Einbeziehung der Lieferkette
Die Richtlinie erkennt an, dass Lieferanten oft das Ziel von Cyberangriffen sind und daher ein integraler Bestandteil der Cybersicherheitsstrategie sein müssen. Die NIS2-Richtlinie:
• Erstreckt die Risikomanagementmaßnahmen auf die Sicherheit der Lieferkette.
• Verpflichtet Unternehmen, die Cybersicherheitspraktiken ihrer Lieferanten zu berücksichtigen.
• Fordert eine Bewertung der Gesamtqualität der Produkte und der Sicherheit der Entwicklungsprozesse der Lieferanten.
Vertragliche Anpassungen
• Unternehmen müssen sich auf Nachverhandlungen bestehender Verträge vorbereiten, um den neuen Anforderungen gerecht zu werden.
• Neue Verträge sollten Auskunfts-, Handlungs- und Mitwirkungspflichten des Lieferanten sowie Auditrechte enthalten.
• Es besteht die Möglichkeit, alternative Lieferanten zu evaluieren und gegebenenfalls zu wechseln, wenn bestehende Lieferanten nicht kooperativ sind.
Risikominimierung und Compliance
• Unternehmen müssen ein vollständiges Verzeichnis ihrer Lieferanten und Dienste führen und die Kritikalität der Dienste bewerten.
• Es besteht eine Pflicht zur Risikominimierung und zur Evaluierung von alternativen Lieferanten, falls erforderlich.
Wirtschaftliche Auswirkungen
• Der Aufbau einer parallelen IT-Infrastruktur kann erforderlich sein, wenn Lieferanten nicht den neuen Anforderungen entsprechen.
• Unternehmen müssen sich der möglichen Schadenersatzpflicht von Lieferanten bewusst sein und entsprechende Vorkehrungen treffen.
Die NIS2-Richtlinie stellt somit eine umfassende Antwort auf die wachsende Bedrohung durch Cyberangriffe dar und fordert von Unternehmen, ihre Cybersicherheitsmaßnahmen zu verstärken und auf die gesamte Lieferkette auszudehnen. Die Richtlinie tritt am 18. Oktober 2024 in Kraft, und Unternehmen sollten sich darauf vorbereiten, ihre Strategien und Verträge entsprechend anzupassen.
Alle Angaben ohne Gewähr