Die zunehmende Digitalisierung und die essenzielle Rolle der Lieferketten in einer vernetzten Welt und der globalen Wirtschaft machen Dienstleister und Lieferanten zu einem beliebten Ziel für Cyberangriffe. Unternehmen, die unter NIS2 fallen, haben laut Art. 21 der NIS2-Richtlinie daher zusätzlich die Aufgabe, potenzielle Risiken, die von direkten Zulieferern ausgehen, in ihr Risikomanagement aufzunehmen. Das bedeutet, sie müssen Gefahren identifizieren, bewerten und bewältigen, um die Sicherheit sensibler Informationen zu gewährleisten und Betriebsunterbrechungen vorzubeugen.
Unternehmen, die direkt von NIS2 betroffen sind, werden daher in vielen Fällen von ihren Zulieferern und Dienstleistern innerhalb der Lieferkette NIS2-konforme Sicherheitsstandards fordern. Üblicherweise wird diese Forderung in Verträgen verankert zu einer Verpflichtung und beinhaltet konkrete Maßnahmen zur Cybersicherheit, zur Handhabung von Daten und zu Meldeprozessen im Falle eines Sicherheitsvorfalls. Risiken und Haftung werden damit an die Lieferkette weitergegeben.
Zu den Maßnahmen zur Sicherheit der Lieferkette, die NIS2 von Unternehmen fordert und die durch entsprechende Dokumentation nachvollziehbar und nachweisbar sein müssen, zählen beispielsweise vertragliche Vereinbarungen mit Zulieferern und Dienstleistern zu:
- Risikomanagementmaßnahmen
- Einhaltung von Prinzipien wie „Security by Design“ oder „Security by Default“
- Patchmanagement
- Berücksichtigung von Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Bezug auf deren Produkte und Dienstleistungen.
Eine Lieferkette kann nur sicherer werden, wenn alle Kettenglieder ihre Sicherheitsmaßnahmen steigern.