NIS2 und Risikomanagement für Drittparteien

Nutzen Sie diese bewährten Verfahren, um die Anforderungen der NIS2 an das Risikomanagement für Dritte zu erfüllen.

Dekoratives Bild

Die Europäische Union hat erkannt, dass Schwachstellen innerhalb von Lieferketten die Sicherheit wesentlicher Dienste gefährden können, und im Dezember 2022 die Richtlinie über die Netz- und Informationssicherheit 2 (NIS2 ) verabschiedet. Diese aktualisierte Version, die 2016 eingeführt wurde, schreibt vor, dass Organisationen robuste Maßnahmen zur Verwaltung und Minderung von Risiken im Zusammenhang mit ihren Beziehungen zu Dritten umsetzen müssen. Die NIS2-Richtlinie trat im Oktober 2024 in Kraft.

In diesem Beitrag wird untersucht, welche Arten von Organisationen die NIS2 einhalten müssen, welche Strafen bei Nichteinhaltung drohen und wie die in der NIS2 genannten Anforderungen an das Risikomanagement für Dritte erfüllt werden können.

Welche Arten von Organisationen müssen NIS2 einhalten?

Die NIS2-Richtlinie gilt für ein breites Spektrum von Organisationen in der Europäischen Union, wobei der Schwerpunkt auf Einrichtungen liegt, die wesentliche Dienstleistungen erbringen oder als wichtig für die Wirtschaft und die Gesellschaft angesehen werden.

Kategorien von Körperschaften in der EU

In NIS2 wird zwischen zwei Arten von Entitäten unterschieden: Wesentlich und wichtig.

Wesentliche Einrichtungen sind Organisationen, die Dienstleistungen erbringen, die für die öffentliche Sicherheit, die Sicherheit oder die Wirtschaft entscheidend sind. Beispiele hierfür sind Unternehmen in den folgenden Branchen:

  • Energie: Elektrizitäts-, Öl- und Gasanbieter
  • Transportwesen: Fluggesellschaften, Eisenbahnen, Schifffahrtsunternehmen
  • Bankwesen: Kreditinstitute
  • Gesundheit: Krankenhäuser, Kliniken und Gesundheitsdienstleister
  • Digitale Infrastruktur: Rechenzentren, Cloud-Anbieter, Netze zur Bereitstellung von Inhalten
  • Öffentliche Verwaltung: Behörden, die für wichtige staatliche Aufgaben zuständig sind

Für wesentliche Unternehmen gelten nach der Richtlinie strengere Anforderungen.

Wichtige Stellen spielen ebenfalls eine wichtige Rolle, gelten aber nicht als so kritisch wie wesentliche Stellen. Sie unterliegen einer weniger strengen Aufsicht, müssen aber dennoch die NIS2 einhalten. Beispiele für Branchen sind:

  • Lebensmittelproduktion und -vertrieb
  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemikalien
  • Herstellung kritischer Produkte (z. B. Pharmazeutika)

Im Allgemeinen gilt die NIS2 für Organisationen auf der Grundlage bestimmter Kriterien, wie Sektor und Dienstleistung (siehe oben), kritische Auswirkungen und Größe. Mittlere und große Unternehmen (laut EU-Definition mit mehr als 50 Mitarbeitern oder einem Umsatz von mehr als 10 Millionen Euro) sind automatisch eingeschlossen. Klein- und Kleinstunternehmen werden jedoch nicht automatisch erfasst, es sei denn, ihre Dienstleistungen sind äußerst wichtig (z. B. ein kleiner Energieversorger in einem abgelegenen Gebiet).

Einrichtungen außerhalb der EU

NIS2 kann auch für Nicht-EU-Unternehmen gelten, wenn sie Dienstleistungen für Kunden in der EU erbringen oder kritische Infrastrukturen für EU-Mitgliedstaaten betreiben. Solche Unternehmen müssen einen Vertreter in der EU benennen, um die Einhaltung der NIS2-Verpflichtungen zu gewährleisten.

NIS2 Ausnahmeregelungen

Die NIS2 gilt nicht für bestimmte nationale Sicherheitsfunktionen (z. B. militärische Operationen), Strafverfolgungsbehörden (in einigen Fällen) oder Klein- und Kleinstunternehmen (es sei denn, sie sind kritisch, wie bereits erwähnt).

Wie sich NIS2 aus NIS entwickelt hat

Die NIS2 legt großen Wert auf die Sicherheit von Lieferketten und Beziehungen zu Dritten. Organisationen müssen proaktiv mit Risiken umgehen, die von Dritten eingeführt werden, um die Einhaltung der Vorschriften zu gewährleisten und die Integrität ihrer Dienste zu erhalten. Zu diesem Zweck hat die NIS2 mehrere Aktualisierungen ihrer Richtlinien in Bezug auf den Geltungsbereich, die Rechenschaftspflicht und die Strafen bei Nichteinhaltung eingeführt.

Erweiterter Anwendungsbereich: Die NIS2 dehnt ihre Reichweite auf ein breiteres Spektrum von Sektoren und Dienstleistungen aus, was bedeutet, dass mehr Organisationen strenge Risikomanagementverfahren für Dritte einführen müssen.

Verstärkte Rechenschaftspflicht: Die oberste Führungsebene ist für die Einhaltung der NIS2 rechenschaftspflichtig, einschließlich der Aufsicht über das Risikomanagement Dritter. Dies unterstreicht die Notwendigkeit der Beteiligung von Führungskräften an Cybersicherheitsinitiativen.

Mögliche Strafen: Die Nichteinhaltung der NIS2 kann erhebliche Geldstrafen und eine verstärkte behördliche Kontrolle nach sich ziehen, was die Bedeutung der Einhaltung der Anforderungen an das Risikomanagement für Dritte unterstreicht.

Nichtkonformität mit NIS2

Die EU hat bestimmte Bereiche der Nichteinhaltung der NIS2 definiert, die zu Sanktionen führen können:

  • Versäumnis, Vorfälle zu melden: Nichtmeldung von Cybersicherheitsvorfällen innerhalb der ersten 24 Stunden und Nachverfolgung innerhalb von 72 Stunden.
  • Unzureichendes Risikomanagement: Versäumnis, angemessene Risikomanagementmaßnahmen durchzuführen, einschließlich des Risikomanagements für Dritte.
  • Verweigerung der Zusammenarbeit mit Behörden: Behinderung von Ermittlungen, Verweigerung von Prüfungen oder Zurückhalten von Informationen gegenüber Aufsichtsbehörden.
  • Schlechte Sicherheitspraktiken: Nichteinhaltung der erforderlichen technischen und organisatorischen Cybersicherheitsmaßnahmen.

Sanktionen bei Nichteinhaltung der NIS2

Die NIS2 sieht erhebliche Strafen für Organisationen vor, die die Anforderungen nicht erfüllen. Die Strafen sollen sicherstellen, dass die Unternehmen die Cybersicherheit ernst nehmen, insbesondere in kritischen und wichtigen Sektoren.

Arten von Sanktionen

Geldstrafen: Die Nichteinhaltung der NIS2 kann erhebliche Geldstrafen nach sich ziehen, die von der Schwere des Verstoßes und der Größe der Organisation abhängen. Bei schwerwiegenden Verstößen werden die Bußgelder in der Regel als Prozentsatz des weltweiten Jahresumsatzes der Organisation berechnet und betragen bis zu 10 Mio. EUR oder 2 %, je nachdem, welcher Wert höher ist.

Verwaltungssanktionen: Die Regulierungsbehörden können weitere Sanktionen verhängen, z. B. verbindliche Anweisungen zur Behebung von Mängeln, Anordnungen zur Einhaltung bestimmter Cybersicherheitsmaßnahmen oder im Extremfall die Aussetzung von Betriebsgenehmigungen.

Die Behörden berücksichtigen bei der Festsetzung der Strafe mehrere Faktoren, darunter die Art und Schwere des Verstoßes, Vorsatz oder Fahrlässigkeit oder ob es bereits früher Verstöße gab. Nachgewiesene Anstrengungen zur Risikominderung, wie die Umsetzung von Abhilfemaßnahmen oder die Zusammenarbeit mit den Behörden, können die Strafen mindern.

Insbesondere die NIS2 macht ausdrücklich die oberste Führungsebene für die Einhaltung der Vorschriften verantwortlich. Mangelnde Aufsicht oder Nachlässigkeit auf Führungsebene kann zu persönlicher Haftung führen, einschließlich möglicher rechtlicher Schritte.

Obwohl jeder EU-Mitgliedstaat für die Durchsetzung der NIS2 in seinem Zuständigkeitsbereich verantwortlich ist, besteht eine grenzüberschreitende Zusammenarbeit zwischen den nationalen Behörden für Unternehmen, die in mehreren Mitgliedstaaten tätig sind, um eine einheitliche Durchsetzung zu gewährleisten.

Um Strafen zu vermeiden, sollten Unternehmen regelmäßige Risikobewertungen durchführen, ihre Führungskräfte und den Vorstand einbeziehen, sich auf die Berichterstattung vorbereiten und ihre Mitarbeiter in soliden Cybersicherheitspraktiken schulen.

Bewährte Praktiken für das NIS2-Risikomanagement von Drittanbietern Hauptanforderungen

Die NIS2-Richtlinie enthält spezifische Empfehlungen und Anforderungen für Organisationen, um Risiken Dritter effektiv zu managen.

Einführung von Sicherheitsrichtlinien für die Lieferkette

Organisationen müssen umfassende Richtlinien aufstellen, die sicherheitsrelevante Aspekte in Bezug auf ihre Beziehungen zu direkten Lieferanten und Dienstleistern behandeln. Dazu gehört auch die Bewertung der Sicherheitslage von Dritten und die Gewährleistung, dass sie angemessene Cybersicherheitsstandards einhalten. Um dieser Anforderung gerecht zu werden, sollten Sie ein umfassendes Rahmenwerk für das Management von Risiken Dritter entwickeln, das folgende Punkte berücksichtigt

  • Identifizierung und Priorisierung von Risiken
  • Regelmäßige Sicherheitsbewertungen und Audits
  • Richtlinien, die sicherstellen, dass Dritte die Cybersicherheitsstandards Ihres Unternehmens einhalten

In diesem Zusammenhang sollten Sie Ihren Drittanbietern Schulungen und Ressourcen zur Verfügung stellen, damit sie die NIS2-Sicherheitsanforderungen verstehen und einhalten können. Fördern Sie die Zusammenarbeit und den Austausch von Wissen über neue Bedrohungen und bewährte Verfahren.

Durchführung von Risikoanalysen und -bewertungen

Unternehmen müssen eine gründliche Due-Diligence-Prüfung und Risikoanalyse durchführen, um potenzielle Schwachstellen zu ermitteln, die von Dritten eingeführt werden. Dazu gehört die Bewertung der Kritikalität von Drittanbieterdiensten und ihrer potenziellen Auswirkungen auf den Betrieb der Organisation. Beurteilen Sie die Cybersicherheitslage des Drittanbieters, die Einhaltung von Industriestandards und die Fähigkeiten zur Reaktion auf Vorfälle. Klassifizieren Sie dann die Anbieter auf der Grundlage ihrer Kritikalität für den Betrieb und der potenziellen Risikoauswirkungen.

Um den Prozess zu vereinfachen, sollten Sie nach Lösungen für das Risikomanagement von Drittanbietern (TPRM) Ausschau halten, die Bewertungen automatisieren und rationalisieren und ein zentrales Repository für Anbieterdaten, einschließlich Risikoeinstufungen, Konformitätsstatus und historischer Bewertungen, einrichten.

Sicherstellung solider Verfahren zur Behandlung und Meldung von Vorfällen

Organisationen sollten über klare Verfahren für den Umgang mit Vorfällen verfügen, an denen Dritte beteiligt sind. Dazu gehören die rechtzeitige Erkennung, Reaktion und Meldung von Vorfällen an die zuständigen Behörden, damit sichergestellt ist, dass Vorfälle bei Dritten mit der gleichen Strenge behandelt werden wie interne Vorfälle. Um dieser Anforderung gerecht zu werden, sollte ein einheitlicher Plan für die Reaktion auf Vorfälle erstellt werden, der die Koordination mit Dritten einschließt. Dies sollte Folgendes beinhalten:

  • Festgelegte Kommunikationskanäle für die Meldung von Vorfällen
  • Gemeinsame Ermittlungs- und Abwicklungsverfahren
  • Überprüfungen nach Unfällen zur Verbesserung der Risikomanagementverfahren

Ziehen Sie eine Cyberversicherung in Betracht, um Restrisiken bei Vorfällen mit Dritten zu bewältigen, und prüfen Sie, ob die Versicherungspolicen Dritter die Risiken der Lieferkette angemessen abdecken.

Kontinuierliche Überwachung und Evaluierung von Drittparteien

Eine kontinuierliche Überwachung der Sicherheitspraktiken Dritter ist unerlässlich. Unternehmen sollten regelmäßig die Wirksamkeit ihrer Maßnahmen zum Risikomanagement von Dritten bewerten und sie bei Bedarf anpassen, um den sich entwickelnden Bedrohungen zu begegnen. Um dieser Anforderung gerecht zu werden, sollten Sie eine laufende Überwachung der Aktivitäten Dritter einführen:

  • Regelmäßige Cybersicherheitsbewertungen oder Penetrationstests
  • Echtzeit-Überwachung auf abnormales Verhalten
  • Aktualisierungen der Risikobewertungen auf der Grundlage neuer Bedrohungen oder Änderungen in der Geschäftstätigkeit des Anbieters

Vertragliche Verpflichtungen durchsetzen

Aufnahme klarer, durchsetzbarer Cybersicherheitsanforderungen in Verträge mit Dritten. Wichtige Elemente können sein:

  • Konformitätsklauseln: Die Anbieter müssen sich an die geltenden NIS2-Sicherheitsanforderungen halten.
  • Verpflichtung zur Meldung von Vorfällen: Die Anbieter müssen Cybersicherheitsvorfälle unverzüglich melden.
  • Audit-Rechte: Ermöglichen Sie regelmäßige Audits der Sicherheitspraktiken Dritter.
  • Kündigungsklauseln: Ermöglichen Sie die Kündigung von Verträgen bei Nichteinhaltung oder schlechter Sicherheitsleistung.

Dadurch wird sichergestellt, dass Dritte vertraglich verpflichtet werden, angemessene Sicherheitsmaßnahmen zu ergreifen und Vorfälle unverzüglich zu melden.

Indem Sie diese Praktiken in die Risikomanagement-Strategie Ihres Unternehmens für Dritte einbeziehen, können Sie die Einhaltung von NIS2 sicherstellen und gleichzeitig die Risiken minimieren, die von externen Anbietern und Lieferanten ausgehen.

Wie Mitratech bei der Erfüllung der NIS2-Anforderungen für das Risikomanagement von Drittanbietern helfen kann

Als Teil der Mitratech Enterprise Risk Management Platform automatisiert die Prevalent TPRM-Lösung die Bewertung, Überwachung und Verwaltung von Risiken Dritter in Abstimmung mit Ihrem umfassenderen Cybersicherheits- und Enterprise Risk Management-Programm. Mit der Prevalent-Lösung kann Ihr Team:

  • Bauen Sie ein erstklassiges Risikomanagementprogramm für Drittanbieter auf, das durch engagierte Experten, Richtlinien, Arbeitsabläufe und spezielle NIS2-Berichte unterstützt wird.
  • Zentralisieren Sie die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Verträgen mit Dritten, um sicherzustellen, dass die wichtigsten Anforderungen enthalten, vereinbart und durchgesetzt sind.
  • Bewertung des inhärenten Risikos als Grundlage für die Erstellung von Profilen, die Einstufung und Kategorisierung von Drittparteien sowie zur Bestimmung des angemessenen Umfangs und der Häufigkeit laufender Due-Diligence-Aktivitäten.
  • Automatisieren Sie den Prozess der Risikobewertung und -behebung in jeder Phase des Lebenszyklus von Drittanbietern mithilfe einer umfangreichen Bibliothek mit mehr als 750 Fragebogenvorlagen, die auf mehrere Best-Practice-Frameworks und integrierte Anleitungen zur Behebung von Problemen abgestimmt sind.
  • Verfolgen und analysieren Sie kontinuierlich externe Bedrohungen für Dritte, indem Sie das Internet und das Dark Web auf Cyberbedrohungen und Schwachstellen überwachen und diese Erkenntnisse in die Validierung der Kontrollen von Drittanbietern einfließen lassen.
  • Automatisierte Reaktionsmöglichkeiten auf Vorfälle, um Vorfälle von Dritten zu entschärfen, bevor sie sich auf das Unternehmen auswirken.

Wenn Sie mehr darüber erfahren möchten, wie Mitratech die Einhaltung des NIS2-Risikomanagements für Dritte vereinfachen kann, fordern Sie noch heute eine Demonstration an.


Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.