Das Zusammenspiel zwischen der NIS2 und dem Lieferkettengesetz
Geschrieben von Laura Stöhr, veröffentlicht am 12.02.2024Stärkung der Cybersicherheit in globalen Lieferketten: In einer zunehmend digitalisierten und vernetzten Welt, in der Unternehmen ihre Lieferketten global ausdehnen, werden sowohl Cybersicherheit als auch die Einhaltung ethischer und nachhaltiger Standards zu zentralen Anliegen vieler Unternehmen. In diesem Kontext gewinnen zwei wichtige Rechtsvorschriften immer mehr an Bedeutung: die Richtlinie über Netz- und Informationssicherheit (NIS2) sowie das deutsche Lieferkettengesetz (LkSG). Diese beiden Regelungen arbeiten Hand in Hand, um die Integrität von globalen Lieferketten zu stärken und so die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu erhöhen.
Die Relevanz der NIS2
Die NIS2-Richtlinie dient der Gewährleistung der Cybersicherheit und zielt darauf ab, den Schutz und die Belastbarkeit wesentlicher Dienste in der EU sicherzustellen. Unternehmen in kritischen Branchen wie Energie, Verkehr, Gesundheitswesen und Finanzdienstleistungen sind verpflichtet, angemessene Sicherheitsmaßnahmen zu ergreifen, um so ihre Netzwerke und Informationssysteme zu schützen. Diese Unternehmen sind auch dazu verpflichtet, erhebliche Sicherheitsvorfälle zu melden.
Das deutsche Lieferkettengesetz in Bezug auf ethische Standards
Das deutsche Lieferkettengesetz, welches zum 01.01.2023 in Kraft trat, verpflichtet Unternehmen, die in Deutschland tätig sind, zur Einhaltung von Menschenrechts- und Umweltstandards entlang ihrer gesamten Lieferkette. Unternehmen sind nun gesetzlich verpflichtet sicherzustellen, dass ihre Geschäftspartner und Lieferanten diese Standards ebenfalls einhalten. Dadurch können Unternehmen ihre Verantwortlichkeit nicht mehr dadurch umgehen, dass sie Subunternehmer beauftragen.
Das Zusammenspiel zwischen NIS2 und dem Lieferkettengesetz
Die Verknüpfung beider Vorschriften wird klarer, wenn man die Relevanz der Cybersicherheit innerhalb globaler Lieferketten betrachtet. Unternehmen, welche zur Einhaltung des Lieferkettengesetzes verpflichtet sind, müssen zudem sicherstellen, dass ihre Geschäftspartner dieselben hohen Standards für die Sicherheit ihrer Informationssysteme erfüllen. Dies ist von entscheidender Bedeutung, da Schwachstellen in den Informationssystemen eines Unternehmens nicht nur die eigene Sicherheit gefährden, sondern auch die Sicherheit der gesamten Lieferkette beeinträchtigen können.
Die NIS2 verpflichtet daher die betroffenen Unternehmen zusätzlich zu umfassenden Risikomanagementmaßnahmen. Darunter auch solche, die die Sicherheit der Lieferkette betreffen (Erwägungsgrund 54 ff. NIS-2-RL). Dabei sind vor allem spezifische Schwachstellen der einzelnen Anbieter sowie die Cybersicherheitspraxis innerhalb der Entwicklungsprozesse zu berücksichtigen und entsprechende Sicherheitsmaßnahmen zu treffen (Art. 22 Abs. 1, 91 NIS-2-RL).
Wie erfolgt der Sicherheitsnachweis einer Lieferkette?
Es gibt verschiedene Möglichkeiten, die genannten Anforderungen nachzuweisen. Beispiele dafür sind Zertifizierungen, Bewertungen, Prüfungen oder individuelle Nachweise für die Einhaltung von Vorschriften und Sicherheitsanforderungen.
Basierend auf der aktuellen NIS2-Richtlinie erstellt die zuständige Behörde konkrete Leitlinien, um die Sicherheitsstandards in den Bereichen der Informationstechnologie sowie der Netz- und Informationssicherheit zu gewährleisten. In Deutschland wird diese Rolle vom “Bundesamt für Sicherheit in der Informationstechnik” (BSI) wahrgenommen. Das BSI fungiert dabei einerseits als Aufsichtsinstanz, die die Umsetzung der Richtlinie überwacht, andererseits als Ansprechstelle für etwaige Fragen im Zusammenhang mit der Umsetzung oder Einhaltung der Vorschriften.
Empfohlen wird Unternehmen die Nutzung folgender nationaler und internationaler Informationssicherheitsstandards sowie bewährter Praktiken, um diese Anforderungen zu erfüllen:
- ÖISHB: Zusammenarbeit mit Externen, Evaluierung von Zertifizierungen, Lieferantenbeziehungen
- ISO/IEC 27001: Information security in supplier relationships
- IEC 62443 2-1: Supply chain security
- CIS CSC v8.0: Service Provider Management
- KSÖ Cyber Risk Rating: Anforderungen für A bzw. B Rating
Wenn betroffene Unternehmen diese Maßnahmen umsetzen, können sie weitgehend sicherstellen, dass sie nicht nur die gesetzlichen Anforderungen des Lieferkettengesetzes erfüllen, sondern auch die Cybersicherheit innerhalb ihrer Lieferkette stärken. Dies wiederum trägt zur Risikominderung und zur Erhöhung der Widerstandsfähigkeit gegenüber Cyberbedrohungen bei.
Fazit
Die Verbindung zwischen der NIS2-Richtlinie und dem Lieferkettengesetz wird im Hinblick auf die zunehmende Globalisierung und der verstärkten Digitalisierung in den kommenden Jahren immer mehr an Relevanz gewinnen. Folglich wird künftig auch ein verstärkter Wert auf Cybersicherheit und die Einhaltung ethischer Standards gelegt werden müssen. Insgesamt verdeutlichen die NIS2 und das Lieferkettengesetz, wie wichtig die Zusammenarbeit zwischen Experten für Wirtschaft und Cybersicherheit ist und welcher enorme Beitrag so zu einer nachhaltigeren und sichereren Zukunft innerhalb der globalen Wirtschaft geleistet werden kann.