NIS2, DORA & Co: Sind wir nicht alle für irgendwen relevante Supply Chain?

Die aktuelle Cybersicherheitsregulierung der EU hat eine zentrale Schwachstelle für Cyberbedrohungen erkannt: Die Supply Chain. Angriffe erfolgen zunehmend indirekt über eingesetzte Lieferketten. Sei es, dass über die Supply Chain Malware verteilt wird oder benötigte Dienstleister oder Dienste nicht ausreichend verfügbar sind. Daher finden sich in der NIS-2-Richtlinie, der DORA-Verordnung, der Cyberresilienz-Verordnung, der neuen Produkthaftungsrichtlinie und zahlreichen weiteren Vorschriften vor allem Anforderungen zur Absicherung von Schnittstellen zu Lieferanten und Dienstleistern, sobald sich deren Tätigkeit auf eigene Netz- und Informationssysteme auswirken kann. Die Folgen sind weitreichend, denn letztlich ist doch nahezu jeder Teil einer für irgendwen relevanten Lieferkette.

Unabhängig von der nationalen Umsetzung hat die Europäische Union nahezu zeitgleich mit dem Inkrafttreten der NIS-2-Richtlinie die Durchführungsverordnung 2024/2690 erlassen. Darin wird festgelegt, welche Risikomanagementmaßnahmen im Bereich Cybersicherheit verpflichtend umzusetzen sind. Adressaten sind:

• DNS-Diensteanbieter,
• TLD-Namenregister,
• Anbieter von Cloud-Computing-Diensten,
• Anbieter von Rechenzentrumsdiensten,
• Betreiber von Inhaltszustellnetzen (d.h. Betreiber eines Netzes dezentraler Server zur Gewährleistung hoher Verfügbarkeit, Zugänglichkeit oder schnellen Zustellung digitaler Inhalte und Dienste für Internetznutzer),
• Anbieter verwalteter Dienste (d.h. Anbieter von Diensten im Zusammenhang mit Installation, Verwaltung, Betrieb oder Wartung von IKT-Produkten, Netzen, Infrastruktur, Anwendungen oder jeglicher anderer Netz- und Informationssysteme),
• Anbieter verwalteter Sicherheitsdienste (d.h. Anbieter verwalteter Dienste, die Unterstützung für Tätigkeiten im Zusammenhang mit dem Risikomanagement im Bereich Cybersicherheit durchführen oder erbringen),
• Anbieter von Online-Marktplätzen,
• Anbieter von Online-Suchmaschinen,
• Anbieter von Plattformen für Dienste sozialer Netzwerke und
• Vertrauensdiensteanbieter (d.h. Anbieter von Diensten zur Erstellung, Überprüfung und Validierung von elektronischen Signaturen, elektronischen Zeitstempeln, elektronischen Siegeln bzw. elektronischen Zertifikaten).

Die Besonderheit für diese Einrichtungen besteht darin, dass sie durch EU-Recht bereits eindeutig bestimmt sind, weshalb eine nationale Präzisierung nicht mehr erforderlich ist. Dieser Teil der Supply Chain ist folglich verpflichtet, die Vorgaben aus der Durchführungsverordnung unmittelbar umzusetzen. Diese ist seit dem 28.10.2024 in Kraft. Wer also eigene IT-Dienstleistungen erbringt und nicht nur Produkte mit digitalen Elementen bereitstellt, die der Nutzer anschließend selbst betreibt, ist seither zur Umsetzung NIS2-spezifischer Anforderungen verpflichtet.

Für die genannten Einrichtungen wurde in der Durchführungsverordnung im Einzelnen festgelegt, was genau umzusetzen ist:

• im Konzept für die Sicherheit von Netz- und Informationssystemen,
• im Konzept für das Risikomanagement,
• im Konzept zur Bewältigung von Sicherheitsvorfällen,
• im Betriebskontinuitäts- und Krisenmanagement,
• bei der Sicherheit der Lieferkette,
• bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen,
• im Konzept zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich Cybersicherheit,
• im Bereich der Cyberhygiene (d.h. Maßnahmen zur Cybersicherheit),
• bei Schulungen im Bereich Cybersicherheit,
• bei der Kryptografie,
• bei der Sicherheit des Personals,
• bei der Zugriffskontrolle,
• beim Anlagen- und Wertemanagement und
• bei der Sicherheit des Umfelds und physischer Sicherheit.

Im Wesentlichen entspricht das üblichen Anforderungen, wie sie sich bereits aus der ISO/IEC 27001 ergeben. In diesem Zusammenhang wurden jedoch detaillierte Kriterien festgelegt, ab wann ein erheblicher Sicherheitsvorfall vorliegt, der entsprechend kurzfristig zu melden ist. Da in begründeten Fällen Abweichungen von den Vorgaben zulässig sind, sofern diese dokumentiert werden, besteht hier ein interessanter Gestaltungsspielraum. Dieser sollte möglichst frühzeitig genutzt werden, damit sich diese Einrichtungen gegenüber Auftraggebern geeignet positionieren können. Das setzt aber umfassendes Erfahrungswissen voraus.

Bei der Sicherheit der Lieferkette der verpflichteten Einrichtungen sind insbesondere die Beziehungen zu den direkten (!) Anbietern und Dienstleistern hinsichtlich der damit verbundenen Risiken für Netz- und Informationssystemen zu minimieren. Hierzu sind besondere Verpflichtungen in Beauftragungen vorzunehmen.

Neben den genannten Einrichtungen betreffen die Anforderungen folglich auch deren unmittelbare Lieferkette!

NIS2 zum Zweiten: Weitere IT-bezogene Einrichtungen der Supply Chain

Im Rahmen der NIS-2-Richtlinie werden weitere Einrichtungen mit starkem IT-Bezug aus der Supply Chain adressiert. Für diese gelten, im Gegensatz zu den zuvor genannten Einrichtungen, „nur“ die allgemeinen NIS2-Anforderungen:

• Betreiber von Internet-Knoten,
• Anbieter öffentlicher elektronischer Kommunikationsdienste,
• Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste,
• Hersteller von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen (z.B. Hersteller von Mikroprozessoren, Druckern, Monitoren, Soundkarten, Grafikkarten, Netzwerkkarten, Desktop-Computern, Laptops, Mainframes, PDAs, Speichermedien, Servern, Scannern, Chipkartenlesern, Point-of-Sale-Terminals, Telefongeräten, Routern, Mobiltelefonen, Feuermeldern, Fernsehern, Stereoanlagen, Lautsprechern, Mikrofonen, Kopfhörern, Videospielgeräten, Zeiterfassungsgeräten, elektromedizinischen Geräten u.v.a.m.)

Gerade bei den aufgelisteten Herstellern werden i.d.R. Produkte mit digitalen Elementen eingesetzt. Diese unterliegen zusätzlich den Anforderungen der Cyberresilienz-Verordnung, die spätestens bis zum 11. Dezember 2027 umzusetzen sind. Bereits zum 9. Dezember 2026 müssen die EU-Mitgliedsstaaten zudem die neuen Vorgaben aus der EU-Produkthaftungsrichtlinie umsetzen, weshalb entsprechende Vorgaben ab dann auch sanktionierbar sind. Auch für diese Einrichtungen gilt: Das Warten auf ein nationales Umsetzungsgesetz ist nicht die beste Entscheidung. Anpassungen interner Abläufe sind unvermeidlich und benötigen erfahrungsgemäß Zeit.

Die übrigen drei Bereiche sind bereits heute durch das Telekommunikationsrecht entsprechend verpflichtet. Ergo sind hier die Hersteller die eigentliche Zielgruppe der neuen Anforderungen zur Cybersicherheit.

Für den Finanzsektor wurden die Anforderungen an die Lieferkette (hier „IKT-Drittdienstleister“ genannt) im Vergleich zu NIS2 verschärft. Neben der DORA-Verordnung selbst konkretisieren zahlreiche delegierte Verordnungen und Durchführungsverordnungen auf EU-Ebene, was verbindlich umzusetzen ist:

• bei der Gewährleistung der IKT-Betriebssicherheit,
• bei der Beschaffung, Entwicklung und Wartung von IKT-Systemen,
• bei den zu vereinbarenden Vertragsinhalten,
• bei der Meldung schwerwiegender IKT-bezogener Vorfälle als auch
• hinsichtlich eines Ausfalls eines relevanten IKT-Drittdienstleisters.

Im Rahmen von DORA müssen die vom IKT-Drittdienstleister eingesetzten Lieferanten und Dienstleister (Unterauftragnehmer) gegenüber der Einrichtung aus dem Finanzsektor (mit Angabe des jeweiligen obersten Mutterunternehmens) benannt und ins zugehörige Informationsregister eingetragen werden, das von der Finanzaufsichtsbehörde gezielt ausgewertet wird. Gilt ein IKT-Drittdienstleister oder dessen Unterauftragnehmer für den Finanzsektor als „kritisch“, da mindestens 10 % der Einrichtungen von einem Teil dieser Lieferkette bedient werden, dann unterliegt dieser zusätzlich der Kontrolle durch die Finanzaufsichtsbehörde.

Entsprechend verpflichtet sind:

• Dienstleister im Zusammenhang mit IKT-Projektmanagement,
• Dienstleister im Zusammenhang mit Unternehmensanalyse, Softwaredesign, -entwicklung, Tests von Software,
• Dienstleister im Zusammenhang mit Helpdesk-Support und First-Level-Support bei IKT-Vorfällen,
• Dienstleister im Zusammenhang mit Schutz, Erkennung, Reaktion bzw. Wiederherstellung von IKT-Sicherheit, einschließlich Umgang mit Sicherheitsvorfällen und Forensik,
• Bereitsteller von IKT-Infrastruktur, Betriebsmitteln bzw. Hostingdiensten,
• Bereitsteller digitaler Verarbeitungskapazitäten,
• Bereitsteller von Datenspeicherplattformen,
• Betreiber von Telekommunikationssystemen,
• Bereitsteller von Netzwerkinfrastruktur,
• Bereitsteller von Endgeräten, Servern und Datenspeichergeräten,
• Bereitsteller von lokal ausgeführter Software,
• Dienstleister im Zusammenhang mit Infrastrukturkonfiguration, Wartung, Installation, Kapazitätsmanagement, betriebliches Kontinuitätsmanagement und Anbietern verwalteter Dienstleistungen (Managed Service Provider),
• Erbringer von Know-how bzw. IKT-Fachwissen,
• Bereitsteller von Cloud-Diensten (IaaS, PaaS sowie SaaS) und
• Erbringer der Risikokontrollfunktion.

Die Anzahl der zur Umsetzung verpflichteten Stellen ist somit spürbar höher als unter NIS2! Und etliche davon sind sich vermutlich noch nicht bewusst, dass sie unter diese Regulierung fallen.

Informations- und Kommunikationstechnik durchdringt heute nahezu alle Lebensbereiche und muss daher besondere Anforderungen zur Cybersicherheit erfüllen. Das gilt faktisch für die gesamte IT-bezogene Lieferkette. In den bisherigen NIS2-Umsetzungsplänen wird das volle Ausmaß bedauerlicherweise heruntergespielt. Die Anzahl der umsetzungspflichtigen Einrichtungen ist wesentlich größer.

Im Laufe der Zeit wird das Erstaunen über eingehende Sicherheitsanforderungen zunehmen und allen beteiligten Stellen viel Zeit und Geld kosten. Da ist es von Vorteil, sich rechtzeitig auf die neue Cybersicherheitswelt einzustellen. Wir unterstützen Sie dabei: Mit unserem NIS2-Assessment haben wir die wesentlichen Anforderungen gebündelt, damit Sie handlungsrelevante Lücken fokussiert und priorisiert angehen können. Darin stecken unsere Praxiserfahrungen aus über 100 KRITIS-Audits. So erhalten Sie schnell Kenntnis darüber, worauf es bei der Cybersicherheit wirklich ankommt.