Gratis-Download: Bausteine für Verträge mit IT-Dienstleistern und Zulieferern

Was verlangt die NIS-2-Richtlinie in Bezug auf die Lieferkette?

Die NIS-2-Richtlinie verpflichtet betroffene Unternehmen zu umfassenden Risikomanagementaufgaben.

So schreibt Artikel 21 vor, dass betroffene Unternehmen geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Lieferkette ergreifen müssen.

Im Fokus stehen dabei nicht nur die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter, sondern auch die Gesamtqualität der Produkte und der Cybersicherheitsstrategie ihrer Dienstleister und Zulieferer, inklusive der Sicherheit ihrer Entwicklungsprozesse. Außerdem schreibt Artikel 22 die Durchführung koordinierter Risikobewertungen kritischer Lieferketten vor. Ähnliches sehen branchenorientierte Regelwerke wie z.B. DORA vor, die für den Finanzdienstleistungssektor künftig den IT-sicherheitsrechtlichen Benchmark darstellen wird.

An wen richten sich die Verpflichtungen?

Die Anforderungen der NIS-2-Richtlinie richten sich an wesentliche und wichtige Einrichtungen im Anwendungsbereich der Richtlinie. Das sind vorwiegend mittlere und große Unternehmen bestimmter Sektoren (z.B. Energie, Gesundheit, Chemie, Lebensmittel), aber auch die Digitale Infrastruktur. Eine viel größere Anzahl von Unternehmen ist als Lieferant oder Dienstleister dieser wesentlichen und wichtigen Einrichtungen indirekt betroffen.

In persönlicher Hinsicht adressiert NIS-2 außerdem die Ebene der Geschäftsleitung direkt. Aufgrund entsprechender Haftungsregelungen wird diese künftig für eine ordnungsgemäße Auswahl in der Lieferkette Sorge tragen müssen.

Was müssen Dienstleister und Lieferanten beachten?

Unternehmen innerhalb einer Lieferkette von Einrichtungen können von ihren Kunden im Rahmen des Risiko- und Lieferkettenmanagements verpflichtet werden, NIS-2-konforme Sicherheitsstandards zu erfüllen. Für Dienstleister und Zulieferer bedeutet das, dass sie sich darauf vorbereiten und frühzeitig Basissicherheitsmaßnahmen im Unternehmen etablieren sollten. Hier spielen vor allem Lieferantenaudits sowie Bescheinigungen und Zertifikate eine große Rolle.