NIS-2 in der Lieferkette
Die NIS-2-Richtlinie hat erhebliche Auswirkungen auf die Lieferketten. Besonders die vertragliche Überbindung von Cybersicherheitsmaßnahmen auf Akteure in der Lieferkette ist aus rechtlicher Sicht von entscheidender Bedeutung.
NIS-2 und Lieferkette: Anwendungsbereich und Verpflichtungen
Die NIS-2-Richtlinie (Network and Information Security Directive 2) der EU stellt eine bedeutende Weiterentwicklung der Cybersicherheitsgesetzgebung dar und erweitert den Anwendungsbereich im Vergleich zur ursprünglichen NIS-Richtlinie aus 2016 erheblich. Sie erfasst nun eine breitere Palette an Sektoren und setzt strengere Anforderungen an Unternehmen, die in „wesentlichen“ und „wichtigen“ Sektoren tätig sind (zB Energie, Verkehr, Gesundheitswesen, Abfall, Trinkwasser, Abwasser, Lebensmittelproduktion, verarbeitende Gewerbe, Digitale Infrastruktur, IKT etc).
Diese Unternehmen sind verpflichtet, geeignete technische, operative und organisatorische Maßnahmen zu ergreifen, um ihre Netz- und Informationssysteme vor Cyberbedrohungen zu schützen. Solche Maßnahmen können von physischen Maßnahmen, wie zB Zugangskontrollen, blickdichten Bildschirmfolien, über Schulungen und die Einstellung entsprechend befähigten Personals bis hin zur Implementierung versierter Firewall-Lösungen reichen. Zweck des Ganzen ist es, zu verhindern, dass Cyberangriffe zu bedrohlichen Einschnitten bzw gar einer Lahmlegung von für die Allgemeinheit relevanten Einrichtungen führen.
Aus diesem Grund sieht die NIS-2-Richtlinie strenge Durchsetzungsmechanismen und Sanktionen vor, um die Einhaltung der Cybersicherheitsanforderungen durch direkt betroffene Unternehmen sicherzustellen. Nationale Behörden haben hierbei weitreichende Befugnisse, um Unternehmen zu überwachen und Verstöße zu ahnden. Damit verbunden sind auch die in der Richtlinie vorgesehenen hohen Strafrahmen, die sich an Pflichtenverstöße durch direkt betroffene Unternehmen knüpfen und bis zu EUR 10 Mio bzw 2 % des weltweiten Jahresumsatzes betragen.
NIS-2: Vertragliche Überbindung in der Lieferkette
Lieferanten von Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“ sind unter bestimmten Voraussetzungen bereits direkt vom Anwendungsbereich der NIS-2-RL umfasst. Da aber gerade die Lieferkette erhebliche Cybersicherheitsrisiken birgt, beinhaltet die Richtlinie auch Regelungen dazu, dass sonstige Lieferanten, die nicht direkt vom Anwendungsbereich der Richtlinie umfasst sind, indirekt zur Umsetzung von Cybersicherheitsmaßnahmen verpflichtet werden können.
Ein wesentlicher Bestandteil der NIS-2-RL ist insofern die Verpflichtung zur vertraglichen Überbindung von Cybersicherheitsmaßnahmen. So müssen Unternehmen, die in den direkten Anwendungsbereich der Richtlinie fallen, gemäß Art 21 Abs 2 lit d insbesondere Risikomanagementmaßnahmen treffen, die den Bereich „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern“ umfassen. Ferner sind gem Art 21 Abs 3 „die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse“ zu berücksichtigen. Direkt betroffene Unternehmen müssen daher sicherstellen, dass auch ihre Lieferanten und Partner die jeweils erforderlichen Sicherheitsstandards einhalten, um der Cybersicherheitsbedrohungslage wirksam zu entgegnen. Dies erfolgt durch die vertragliche Verpflichtung in Vereinbarungen zwischen direkt betroffenen Unternehmen und ihren Lieferanten.
Mindesterfordernisse an Verträge
Verträge, die Cybersicherheitsmaßnahmen an Lieferanten überbinden, sollten klar definierte Verantwortlichkeiten und Pflichten enthalten. Dazu gehören beispielsweise:
- Risikomanagement: Vertragliche Verpflichtung zur Implementierung und Aufrechterhaltung von Risikomanagementsystemen, die potenzielle Bedrohungen identifizieren, bewerten und ggf abwehren.
- Sicherheitsüberprüfungen und Audits: Vertragliche Verpflichtung zu regelmäßigen Überprüfungen der Sicherheitsmaßnahmen durch unabhängige Stellen.
- Meldung von Sicherheitsvorfällen: Vertragliche Verpflichtung zur sofortigen Meldung von Sicherheitsvorfällen an Auftraggeber.
- Sanktionen: Festlegung von Sanktionen bei Nichteinhaltung der vertraglichen Sicherheitsanforderungen, um die Durchsetzung zu gewährleisten.
Herausforderungen und mögliche Lösungen
Die Einhaltung dieser vertraglichen Anforderungen stellt insbesondere kleine und mittlere Unternehmen (KMU) vor erhebliche Herausforderungen. Diese verfügen oft nicht über die gleichen Ressourcen und die gleiche Expertise wie ihre wirtschaftlich oft mächtigeren Vertragspartner. Frühzeitig für einen Basisschutz im eigenen Unternehmen zu sorgen, kann daher von entscheidender Bedeutung sein.
Für direkt in den Anwendungsbereich der NIS-2-RL fallende Unternehmen wird es hingegen erforderlich sein, sich einen Überblick über ihre Lieferanten zu verschaffen, die von diesen Lieferanten ausgehenden Cybersicherheitsrisiken für das eigene Unternehmen zu ermitteln und zu bewerten sowie entsprechende vertragliche und operative Maßnahmen zur Minimierung solcher Risiken zu treffen.
Fazit
Die NIS-2-Richtlinie stellt einen entscheidenden Schritt zur Stärkung der Cybersicherheit in der Europäischen Union dar. Insbesondere durch die vertragliche Überbindung von Cybersicherheitsmaßnahmen soll die Sicherheit in der Supply Chain erhöht werden. Dies erfordert eine verstärkte Zusammenarbeit aller direkt und indirekt Betroffenen und klare rechtliche Rahmenbedingungen durch den nationalen Gesetzgeber.
Derzeit (Stand November 2024) ist die grundsätzlich nicht unmittelbar anwendbare NIS-2-RL in Österreich noch nicht in nationales Recht umgesetzt und somit auch noch nicht verbindlich. Möglicherweise betroffene Einrichtungen sollten dennoch jetzt handeln und rechtlich prüfen lassen, ob sie – direkt oder indirekt – von den Regelungen der Richtlinie betroffen sind.