NIS-2: Die Bedeutung der Richtlinie für die Lieferkette

ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS2-Richtlinie

[datensicherheit.de, 19.04.2024] Die NIS-2-Richtlinie bringt offensichtlich auch neue Anforderungen an die Lieferkette mit sich – laut ESET ein schwieriges Thema, denn schließlich sei der Begriff „Lieferkette“ nicht in dieser Richtlinie definiert. „Was kommt auf Unternehmen und ihre Zulieferer zu und wie können diese sich dafür wappnen?“ Dieser und weiteren Fragen widmet sich Christian Lueg in der aktuellen Episode von „WeTalkSecurity“ mit dem IT-Rechtsanwalt Stefan Sander – Sander ist demnach Fachanwalt für Informationstechnologierecht und gilt aufgrund seiner Doppelqualifikation (abgeschlossenes IT-Studium und Fachanwalt für IT-Recht) deutschlandweit als „gefragter Ansprechpartner für rechtliche Themen rund um IT und Datenschutz“.

Abbildung: ESET

ESET-Podcast „WETALKSECURITY“, Episode 21 vom 18.04.2024

Englischer Begriff der Supply Chain von der Bedeutung umfangreicher als das deutsche Wort Lieferkette

Im Podcast wird erläutert, dass der englische Begriff „Supply Chain“ sich als Teilbereich der Logistik über den Fluss von Waren oder Dienstleistungen – vom Rohmaterial-Lieferanten bis zum Endverbraucher – erstreckt, mithin alle Prozesse, Aktivitäten, Ressourcen und Organisationen umfasst, die daran beteiligt sind, Produkte oder Dienstleistungen von ihrer Entstehung bis zu ihrer Auslieferung an den Kunden zu bewegen. Im Unterschied zum klassischen deutschen Begriff „Lieferkette“ ist „Supply Chain“ also weiter gefasst und beinhaltet auch Aspekte wie Informationsfluss, Finanzierung, Koordination und Zusammenarbeit zwischen den verschiedenen Partnern entlang der Kette – also die gesamte Versorgung.

Die NIS-2-Richtlinie verknüpft nun ihre Pflichten nicht explizit mit der Zugehörigkeit eines Unternehmens zur Lieferkette – was überraschen könnte. Unternehmen, insbesondere „Managed Service Provider“ (MSPs), welche IT-Dienstleistungen bereitstellen, sind im Anwendungsbereich dieser Richtlinie. „Dies geschieht nicht aufgrund ihrer Position in der Lieferkette, sondern aufgrund einer spezifischen Regelung des Gesetzgebers für den MSP-Sektor.“

Betroffenheit von Unternehmen basiert nicht nur auf deren Rolle in der Lieferkette

Im Wesentlichen gebe es zwei Hauptvoraussetzungen zu beachten: Erstens müsse eine Wirtschaftstätigkeit in einen spezifischen Sektor fallen, wobei es irrelevant sei, ob es sich um eine Mutter-, Tochter- oder Schwestergesellschaft handelt – solange die Aktivität in einem regulierten Sektor stattfindet. Zweitens erwähne der Gesetzgeber in Anhang 1 der Richtlinie den IT-Sektor als „besonders kritisch“: Damit würden MSPs in diesem Sektor reguliert, während andere Sektoren wie das produzierende Gewerbe weniger streng reguliert seien. „Zusammengefasst bedeutet dies, dass die Betroffenheit von Unternehmen nicht nur auf deren Rolle in der Lieferkette basiert, sondern vielmehr darauf, ob ihre Aktivitäten in einen regulierten Sektor fallen.“

Spannend werde es vor allem für den deutschen Mittelstand: „Unternehmen, die zwischen 50 und 249 Mitarbeiter beschäftigen, gehören per definitionem dazu, alles was darüber ist, kann man als Großunternehmen bezeichnen. Es kommt aber ein weiteres Kriterium hinzu: Jahresumsatz und Jahresbilanzsumme.“ Unternehmen überschritten den Schwellenwert, „wenn sie beide Kriterien reißen oder nur eines davon, was dazu führt, dass sie nicht mehr als KMU gelten“. Die Mitarbeiteranzahl sei ein hartes Kriterium, während für die wirtschaftlichen Kennzahlen sowohl Jahresumsatz als auch Jahresbilanzsumme betrachtet würden. Das Ziel sei es, eine faire Behandlung zu gewährleisten. Die EU habe dazu einen Leitfaden herausgebracht, an dem Unternehmen sich orientieren könnten (s.u.).

Betroffene Unternehmen unter den Vorgaben von NIS-2 müssen geeignete Maßnahmen treffen, um die Lieferkette zu schützen

Um kleine Unternehmen (d.h. mit weniger als 50 Mitarbeitern) zu fördern, fielen diese nicht unter die NIS-2-Richtlinie – „außer sie gehören zu einem Konzern oder einer Konzerngruppe“ (die Gesamtzahl der Mitarbeiter addiere sich hier aus allen Mitarbeitern aller Unternehmen der Gruppe). „Wenn also das eigene Unternehmen nur 20 Mitarbeiter hat, die Muttergesellschaft aber 5.000, zählen diese 5.000 zu den eigenen hinzu – das Unternehmen fällt somit unter NIS-2 (bei einem Beteiligungsverhältnis von über 50 Prozent).“ Komplizierter werde es bei Partnerbeteiligungen, also Beteiligungen von 25 bis 50 Prozent. Entsprechend dieser Beteiligungsquote würden Kennzahlen wie Mitarbeiteranzahl und wirtschaftliche Zahlen mit zugerechnet.

„Nicht jedes Unternehmen, das als Zulieferer für ein großes fungiert, fällt automatisch unter NIS-2.“ Es könne aber vorkommen, dass größere Unternehmen von ihren Zulieferern erwarteten der Richtlinie zu entsprechen. „Wenn das eigene Unternehmen unter die Vorgaben von NIS-2 fällt, muss es automatisch geeignete Maßnahmen treffen, um die Lieferkette zu schützen.“ Im Umkehrschluss müssten sich Unternehmen auch vor Gefahren schützen, welche aus anderen Teilen der Lieferkette kommen könnten. Dies treffe insbesondere auf die IT-Sicherheit zu. Der Gedanke dahinter sei: „Die Volkswirtschaft und Arbeitsplätze vor Gefahren zu schützen, die aus der Störung der Lieferkette entstehen.“

Maßnahmen zur Sicherung der Lieferkette zu ergreifen bedeutet, sowohl eigene Systeme als auch die der Lieferanten zu schützen

„Wer keine Angst vor Gesetzestexten hat, kann in die Artikel 20, 21 und 23 der Richtlinie schauen.“ Artikel 21 beschreibe die Technischen und Organisatorischen Maßnahmen (TOM) in puncto Risikomanagement, „die mit der Richtlinie auf Unternehmen zukommen werden“. Im Kern gehe es darum, die größtmögliche Qualität vorzuweisen. Weitere Informationen dazu gebe es im ESET-Whitepaper zum Stand der Technik und zu NIS-2 (s.u.). Selbst regulierte Unternehmen seien gemäß Artikel 21 Absatz 2 verpflichtet, Maßnahmen zur Sicherung ihrer Lieferkette zu ergreifen. „Dies bedeutet, dass sie sowohl ihre eigenen Systeme als auch die ihrer Lieferanten schützen müssen.“

Aus Sanders Sicht reichen die Maßnahmen aus – „eine NIS-3-Richtlinie müssen Unternehmen in Europa erst einmal nicht befürchten“. Abschließend rät er dringend, sich rechtzeitig um die Umsetzung von NIS-2 kümmern – „nicht nur, um auf der sicheren Seite zu sein, sondern auch, weil eine starke IT-Sicherheit dem eigenen Unternehmen zugutekommt“.

Link zum Podcast und weitere Informationen zum Thema:

WETALKSECURITY, 18.04.2024
Die NIS2-Richtlinie und die Auswirkungen auf die Lieferkette / Herausforderungen und Möglichkeiten für Unternehmen

eSET, März 2024
WHITEPAPER: IT-Security auf dem Stand der Technik 2. Auflage / Wie sind Unternehmen, CISOs, Vorstände und Geschäftsführer in Zukunft sicher aufgestellt?

WETALKSECURITY, 14.06.2023
Stand der Technik in der IT-Sicherheit: Lösungsansätze und Tipps aus der Praxis

EUROPÄISCHE KOMMISSION
Benutzerleitfaden zur Definition von KMU

datensicherheit.de, 16.04.2024
NIS-2-Umsetzung: Bernhard Kretschmer warnt vor Chaos / Bis 17. Oktober 2024 müssen die EU-Mitgliedstaaten die Zweite Auflage der „Network and Information Security Directive“ (NIS-2) in nationales Recht umgesetzt haben

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen / Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden