Datenschutz und NIS2 erfordern die Prüfung von Dienstleistern

Sind Sie vorbereitet?

Von Timo Springmann, Braunschweig | Anna Bauer, LL.M., Braunschweig

Timo Springmann
Diplom Informatiker

Auch wenn ein Unternehmen nach derzeitigen Vorgaben kein KRITIS-Unternehmen ist, könnte dieses zukünftig durch die neuen Regularien des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) dazu verpflichtet sein, die entsprechenden Sicherheitsstandards zu erfüllen. Durch das neue Gesetz wird der Anwendungsbereich vergrößert und viele Unternehmen, die vorher nicht unter die Regularien gefallen sind, werden sich zukünftig hiermit auseinandersetzen müssen.

Foto: Adobe Stock/ CROCOTHERY

Spannend wird es aber auch für diejenigen Unternehmen, welche nicht direkt die gesetzlichen Anforderungen umsetzen müssen, sondern deren Auftraggeber unter die Anforderungen des NIS2UmsuCG fallen. Dieser Artikel soll darüber informieren, warum Unternehmen auch bei einer nicht direkten Betroffenheit vorbereitet sein sollten und wie diese Vorbereitungen ausgestaltet sein können.

Der Regierungsentwurf des NIS2UmsuCG zur Umsetzung der europäischen NIS-Richtlinie wurde bereits verabschiedet; dieser muss allerdings noch verkündet werden. Das Gesetz tritt am Tag nach der Verkündung in Kraft. Über den aktuellen Status informiert unter anderem das Bundesministerium des Inneren und für Heimat auf der eigenen Webseite.

Rechtlicher Rahmen

Die Datenschutzgrundverordnung (DSGVO), die ISO/IEC 27001 und der IT-Grundschutz legen zwar derzeit schon Wert auf die Sicherheit von Lieferanten, jedoch werden diese oft nur als Teil der allgemeinen Risikobewertung betrachtet und bei einem Vertragsschluss werden allgemeine technische und organisatorische Maßnahmen aufgelistet. Das NIS2UmsuCG sieht für den § 30 Abs. 2 Nr. 4 des nach dem Entwurf dann neuen Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG-E) hingegen explizit die Verantwortung von Unternehmen vor, die gesamte Lieferkette hinsichtlich Cyberrisiken zu überwachen und sicherzustellen, sodass alle beteiligten Dienstleister und Partner vergleichbare Sicherheitsstandards einhalten. Dies umfasst nicht nur direkte Lieferanten, sondern auch deren Subunternehmer und Zulieferer.

Diese Vorgaben führen dazu, dass nicht nur diejenigen Unternehmen, welche direkt dem neuen BSIG-E unterliegen, sich mit den Anforderungen beschäftigen müssen, sondern auch etwaige Dienstleister, Lieferanten usw., welche derartigen Unternehmen zuarbeiten. Es ist davon auszugehen, dass direkt betroffene Unternehmen, ihre Anforderungen auch bei den Dienstleistern und Ähnlichen durchsetzen müssen.

Dementsprechend sollten auch Unternehmen, die bspw. als Dienstleister für von NIS2 betroffenen Unternehmen tätig sind, auf höchster Unternehmensführungsebene bereits die Anforderungen definieren und die erforderlichen Maßnahmen umsetzen.

Was ist konkret zu tun?

Wie bereits betont, reichen die bisher bekannten Standards zur Erfüllung der Vorgaben aus dem NIS2UmsuCG nicht aus.

Die ISO/IEC 27001 behandelt das Lieferkettenmanagement, doch das NIS2UmsuCG erweitert die Anforderungen an die Sicherheit von Drittparteien erheblich. Organisationen müssen sicherstellen, dass ihre Lieferanten und Dienstleister die NIS2-Standards und die eigenen Sicherheitsanforderungen einhalten.

Bisher wurde dies häufig in Form von statischen Fragebögen realisiert. Dies wird für das NIS2UmsuCG nicht mehr ausreichen. Folgefragen müssen dynamisch auf bereits gegebene Antworten angepasst werden können. Dies lässt sich häufig nur noch über Drittanbieter mit entsprechenden Onlineplattformen realisieren. Diese müssen wiederum nach ihrer Vertrauenswürdigkeit in Bezug auf die Speicherung und Verarbeitung der teils kritischen erhobenen Daten ausgewählt werden. 

Zusätzlicher Aufwand könnte entstehen, da das NIS2UmsuCG auch explizite Lieferantenaudits (insbesondere für kritische Dienste) vorsieht. Hierfür müssen entweder interne oder externe Ressourcen eingesetzt werden. Bei einer Vielzahl an Lieferanten entsteht so ein nicht unerheblicher Aufwand.

Des Weiteren werden betroffene Unternehmen aufgefordert, Ihre Dienstleister hinsichtlich ihrer Cybersicherheit zu überwachen, zum Beispiel durch Penetrationstests, Überwachung von Informationen zu Datenabflüssen und in Bezug auf Schwachstellen in eingesetzter Hard- und Software. Es muss ein klares Bild von der Position und Situation des Dienstleisters in der Cyberwelt geschaffen werden, um Risiken frühzeitig zu erkennen und Maßnahmen einleiten zu können. 

Dies alles erfordert nicht zuletzt auch eine Anpassung der Sicherheitsanforderungen in laufenden und zukünftigen Verträgen, um weiterhin beidseitig abgesichert zu sein. Hierbei ist sicherzustellen, dass die vertraglichen Verpflichtungen nicht bei der ersten Stufe der Lieferkette enden, sondern über die komplette Lieferkette gewährleistet werden. Spätestens hier entstehen auch auf Seiten der Dienstleister Aufwände, die denen der direkt von NIS2 betroffenen Unternehmen gleichstehen. 

Ein weiteres Unterscheidungsmerkmal ist die Meldepflicht: Während die ISO/IEC 27001 keine expliziten Anforderungen an Meldeprozesse stellt, verlangt das BSIG-E, dass Vorfälle nicht nur intern gemeldet, sondern auch ähnlich wie in der DSGVO an die zuständigen Behörden weitergeleitet werden. Das BISG-E sieht in § 32 dabei allerdings kürzere Fristen (24 Stunden) vor. Unternehmen müssen also effektive Meldeprozesse implementieren, um den gesetzlichen Vorgaben zu entsprechen.

Diese doppelte Prüfung – sowohl in Bezug auf die NIS2-Vorgaben als auch auf den Datenschutz – erfordert ein umfassendes Risikomanagement, das sowohl Sicherheits- als auch Datenschutzaspekte integriert. Ein Missachten dieser Vorgaben kann nicht nur zu Sicherheitslücken führen, sondern auch zu empfindlichen Bußgeldern.

Fazit

Das NIS2UmsuCG stellt Unternehmen vor neue Herausforderungen, insbesondere im Hinblick auf die Absicherung der Lieferkette. Die Unterschiede zur ISO/IEC 27001 liegen vor allem in der Tiefe der Überwachung und den erweiterten Berichtspflichten. In Kombination mit den datenschutzrechtlichen Anforderungen wird deutlich, dass Unternehmen ihre Risikomanagementsysteme anpassen müssen, um den neuen Anforderungen gerecht zu werden. Ein integrierter Ansatz, der sowohl Informationssicherheit als auch Datenschutz berücksichtigt, ist daher entscheidend für den zukünftigen Erfolg.