Wichtige und besonders wichtige Einrichtungen nach BSIG gibt es – verglichen mit den Millionen von Unternehmen in Deutschland – nicht gar so viele.
Grade mal ca. 30.000 Unternehmen dürften direkt betroffen sein, sagen Schätzungen.
Aufatmen bei den nicht betroffenen Organisationen: „Puh, nicht schon wieder irgendwelche gesetzlichen Pflichten erfüllen!“
Da gibt es nur ein Problem:
Viele kleine und mittlere Unternehmen sind Lieferanten von NIS-2 betroffenen Organisationen. Und wenn in vermutlich sehr naher Zukunft die Umsetzung dort so richtig ins Rollen kommt, werden sich diese „Großkunden“ die Lieferkette ganz genau ansehen.
Denn in § 30 Abs. 2 Nr. 4 BSIG steht etwas für die Zulieferer/Dienstleister eher Unangenehmes:
„(2) … Die Maßnahmen müssen zumindest Folgendes umfassen:
… 4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern,“
Das BSI gibt den betroffenen Einrichtungen dazu unter https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Infopakete/NIS-2-Lieferkette/NIS-2-Lieferkette_node.html durchaus konkrete Hinweise, wie dies umsetzbar sein könnte:
„Wer ist wie betroffen?
- Das BSIG verpflichtet Einrichtungen zu umfassenden Risikomanagementmaßnahmen. Dazu zählt auch „die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern“.
- Das bedeutet für bwE und wE, dass sie bei ihren Risikomanagementmaßnahmen etwaige Schwachstellen bei der Cybersicherheitspraxis und den Entwicklungsprozessen ihrer Lieferanten und Dienstleister berücksichtigen müssen.
- Unter Umständen bedeutet es für bwE und wE, dass sie nicht mehr mit jedem Anbieter zusammenarbeiten können, ohne Pflichtverstöße zu riskieren.
- In jedem Fall sollten bwE und wE ihre Zulieferer vertraglich zur Einhaltung von Sicherheitsmaßnahmen verpflichten und sich dies auch nachweisen lassen.“
Das Damokles-Schwert für die Kleinen
Wenn Sie Kunden haben, die NIS-2 betroffen sind, diese Regelungen also umsetzen müssen, stellt sich die Frage „wie werden diese Ihre Anbieter in der Lieferkette verpflichten und was wollen sie als Nachweis haben?“.
Denn unter „was tun?“ empfiehlt das BSI den betroffenen Organisationen u.a. folgendes:
- „Vertragliche Vereinbarungen (Service Level Agreements) mit Zulieferern und Dienstleistern zu Risikomanagementmaßnahmen, Bewältigung von Cybersicherheitsvorfällen und Patchmanagement abschließen.
- Zulieferer und Dienstleister zur Einhaltung von grundsätzlichen Prinzipien wie Security by Design und Security by Default anhalten.
- Zulieferer und Dienstleister zur Berücksichtigung von Empfehlungen des BSI in Bezug auf ihre Lieferkette anhalten.“
Zu den Empfehlungen können Sie sich übrigens in der BSI-Checkliste einen Eindruck verschaffen. Den Link finden Sie am Ende des Artikels.
Und warum dürften sich Geschäftsführer und Vorstände von NIS-2 Unternehmen darum besonders kümmern? Weil das BSIGesetz in § 38 eine persönliche Haftung der Geschäftsführung vorsieht. Vorstände und Geschäftsführer von NIS-2-Unternehmen riskieren also bei Missachtung unter Umständen einiges.
Entsprechend rigoros dürften Sie den Druck an Unternehmen in der Lieferkette weitergeben.
Warum NIS-2 gut für den Datenschutz ist
Datenschutz wird oft als sehr spezifische Anforderung gesehen. Stimmt zum Teil, da es ja dort „nur“ um Verarbeitungen von personenbezogenen Daten geht.
Aber es gibt eben viele Überschneidungen mit der Informationssicherheit, was vor allem den Teil der „technischen & organisatorischen Maßnahmen“ (TOM) nach Art. 32 DSGVO betrifft.
NIS-2 zwingt voraussichtlich auch kleinere Organisationen über ihre betroffenen Kunden dazu, sich konkret Gedanken über Informationssicherheits- bzw. Cybersecurity-Konzepte zu machen.
Und ein nicht zu kleiner Teil der über solche Konzepte festgelegten (und hoffentlich dann auch umgesetzten) Maßnahmen deckt eben auch Datenschutz-Aspekte ab.
Fazit:
Vermutlich wird jetzt nicht jeder eine volle ISO 27001 oder BSI-Grundschutz Zertifizierung anstreben. Tatsache ist aber auch: Wenn man bereits jetzt ein funktionierendes Informationssicherheits-Managementsystem hat, ist man für NIS-2 Anforderungen (und auch TOM-Anforderungen) bereits in einigen Teilen gut aufgestellt.
Wer die „Checkliste“ des BSI aufmerksam durchliest wird feststellen, dass einige Punkte darin auch in den sogenannten Auftragsverarbeitungsverträgen (AVV) nach Art. 28 DSGVO vorkommen. Nur eben begrenzt auf die Verarbeitung personenbezogener Daten.
NIS-2 könnte dazu führen, dass zukünftig nicht nur Auftragsverarbeiter, sondern auch weitere Lieferanten mit AVV-ähnlichen (und ggf. sogar noch viel schärferen) Vorgaben ihrer Kunden zu tun haben werden.
Und wer jetzt Auftragsverarbeiter eines NIS-2 betroffenen Unternehmens ist, sollte stark damit rechnen, in Zukunft weitere Anforderungen seiner Kunden abdecken zu müssen.
TISAX lässt grüßen!
Kontakt aufnehmen
Sie haben NIS-2 betroffene Kunden und interessieren sich für die pragmatische Umsetzung der Anforderungen bei Ihnen als Zulieferer/Lieferant?
BSI-Checkliste NIS-2 Lieferkette: