Cyberregeln treffen auch Lieferanten
Die NIS2-Vorschriften verpflichten Unternehmen zu mehr Schutzmaßnahmen gegen Cyberangriffe. Auch die Lieferkette wird einbezogen. Die Pflichten gelten deshalb für mehr Unternehmen als gedacht.
Die Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“, besser bekannt als „NIS2-Richtlinie“, sieht die Verschärfung der bisherigen CybersecurityVorschriften und deren Erweiterungen für Unternehmen in wesentlichen und wichtigen Wirtschaftssektoren vor. Betroffene Einrichtungen müssen gezielte Maßnahmen gegen Cybergefahren implementieren, zum Beispiel robuste Zugangskontrollen und Authentifizierungsverfahren (Multifaktor-Authentifizierung etc.), regelmäßige Sicherheitsaudits, Penetrationstests und Schulungen sowie Bewertungs- und Monitoringverfahren inklusive Incident-Response-Plan im Hinblick auf die Zusammenarbeit mit Dritten.
Das EU-Regelwerk und der österreichische Umsetzungsentwurf (NISG 2024) sehen unter anderem vor, dass erfasste Einrichtungen insbesondere die spezifischen Schwachstellen der einzelnen unmittelbaren (Dienste-)Anbieter sowie die Gesamtqualität ihrer Produkte und die Cybersicherheitspraxis berücksichtigen müssen – einschließlich der Sicherheit ihrer Entwicklungsprozesse. Die Risikomanagementmaßnahmen, die die unmittelbar von der NIS2-RL erfassten Einrichtungen treffen müssen, werden mit der neuen Richtlinie auf die Sicherheit der Lieferkette erstreckt.
Schwächstes Glied
Die Einbeziehung der Lieferkette macht durchaus Sinn, bedenkt man, dass sich ein signifikanter Teil der Cyberangriffe tatsächlich auf Lieferanten fokussiert. Dies gerade vor dem Hintergrund, dass Angreifer das „schwächste Glied“in der Zulieferkette gerne als Einfallstor nutzen. Das Regelwerk führt somit konsequent den „all-hazards approach“zu Ende, womit eben – für alle Ebenen – das gesamte Ausmaß potenzieller Vorfälle berücksichtigt werden soll, etwa höhere Gewalt, Naturkatastrophen, Pandemien, Stromausfälle oder Einbrüche. Freilich relativieren sich die Pflichten durch das eingezogene Verhältnismäßigkeitsprinzip, dass eine Abwägung zwischen der tatsächlichem Risikoexposition und der Wahrscheinlichkeit des Eintretens von bestimmten Sicherheitsvorfällen erlaubt.
Faktisch erfasst die Richtlinie also – zumindest teilweise – auch die in die Lieferkette involvierten, nicht direkt von der NIS2-Richtlinie bzw. dem NISG 2024 erfassten Unternehmen und verpflichtet sie dazu, ein gewisses Ausmaß an Cybersicherheit sicherzustellen, wenn sie mit unmittelbar erfassten Einrichtungen in Geschäftsbeziehungen treten oder solche aufrechterhalten wollen. Nicht unmittelbar erfasste Unternehmen innerhalb einer Lieferkette sollten sich deshalb nicht in vermeintlicher „Sicherheit“wiegen, die Anforderungen der NIS2-Richtlinie bzw. des NISG 2024 gänzlich ignorieren zu können. Sie müssen sich im Klaren sein, dass sie gegebenenfalls sehr wohl prophylaktische Maßnahmen setzen müssen, um wettbewerbsfähig zu bleiben, wenn Maßnahmen für Cyberresilienz nicht ohnedies im Eigeninteresse ergriffen werden. Auch die Frage der Schadenersatzpflicht von Lieferanten für typische/atypische Schäden wird wohl infolge der Rechtsprechung zu klären sein.
Unternehmen in der Zulieferkette sollten sich darauf einstellen, dass es wohl zu Nachverhandlungen bestehender Verträge mit direkt erfassten Einrichtungen kommen wird, da diese den neuen gesetzlichen Anforderungen – ab 18. Oktober 2024 – entsprechen müssen.
Umgekehrt müssen die Einrichtungen, die direkt von der Richtlinie erfasst sind, die Cybersecurity-Maßnahmen in die vertraglichen Vereinbarungen mit ihren direkten Lieferanten und Diensteanbietern einbeziehen. Auch bei der Auswahl neuer Lieferanten oder Anbieter oder bei vertraglichen Vereinbarungen sind die relevanten Cybersecurity-Aspekte zu berücksichtigen.
Vertragliche Überbindung
Der Aufwand zur Vertragsanpassung ist für die jeweilige Einrichtung enorm – je nach Menge der Lieferanten und IT-Dienste. Die (Prüfung der) Einbindung ins eigene Risikomanagementsystem setzt ein vollständiges, laufend aktuell gehaltenes Verzeichnis an Lieferanten und Diensten voraus, zumal auch die Kritikalität der jeweiligen Dienste laufend (intern) bewertet und immer wieder dokumentiert werden sollte. In den meisten Fällen bedarf es zudem der Mitwirkung des Lieferanten, um die Risikoexposition zu evaluieren. Nach Möglichkeit sollten deshalb in neuen Verträgen Auskunfts-, Handlungs- und Mitwirkungspflichten des Lieferanten sowie Auditrechte eingezogen werden, gepaart mit außerordentlichen Ausstiegsszenarien und Schadenersatz bei schuldhafter Verletzung.
Sollte der Lieferant nicht zu Vertragsanpassungen bereit sein, so ist aus den Regeln in NIS2-RL und NISG 2024 wohl eine Pflicht zur Risikominimierung (in der Sphäre der Einrichtung) und zur Evaluierung von alternativen Lieferanten ableitbar. Der Umstieg auf neue „NIS2-affine“Lieferanten und das Ausscheiden von kooperationsunwilligen sind für verpflichtete Einrichtungen – auch in Hinblick auf Sanktionen und Verwaltungsübertretungen – alternativlos. Wirtschaftlich einschneidend (für beide Seiten) sind wohl der Aufbau einer parallelen (eigenen) IT-Infrastruktur für die Einrichtung und ein Fading-out des Lieferanten.