NIS2 Lieferkette

Wenn Sie als Anbieter in der Lage sein wollen, nachzuweisen, dass Sie sicher digital arbeiten, dann ist es NIS2-Gütesiegel für die Lieferkette verfügbar.

DigiTrust steht als ausgewählter Spezialist zur Verfügung, um Ihre Organisation zu prüfen und zu zertifizieren.

Die Bewertung Ihres Informationssicherheitsmanagementsystems ist unser Kerngeschäft. Wir verfügen über ein eigenes Auditorenteam, das sich den Kontext Ihrer Organisation genau ansieht.

Mehr als 600 Organisationen sind Ihnen bereits zuvorgekommen.

NIS2-Zertifizierung für die Lieferkette

Am 10. Oktober 2024 hat die Quality Innovation Foundation, die Inhaberin des NIS2-Gütezeichens, das NIS2-Gütezeichen europaweit eingeführt. Ab dem 01.06.2026 wurde das NIS2-Gütezeichen in NIS2 Supply Chain umbenannt.

Die NIS2-Gesetzgebung beschreibt, dass wesentliche und wichtige Unternehmen, auch NIS2-Unternehmen genannt, für die Cybersicherheit ihrer Lieferkette verantwortlich sind. Das bedeutet, dass sie von ihren direkten Zulieferern, meist KMU, den Nachweis verlangen müssen, dass sie digital sicher arbeiten. Ein NIS2-Siegel für die Lieferkette liefert diesen Nachweis.

In den Niederlanden wurde die europäische NIS2 in das Cyber Beveiligingswet (CBW) als Ersatz für das Wbni übersetzt. Jedes Land hat also seine eigene Übersetzung in seine eigene lokale Gesetzgebung vorgenommen. So hat jedes Land seine eigenen spezifischen Websites und Informationen.

NIS2-Organisationen und ihre Zulieferer

NIS2 Supply Chain hat 3 Stufen, die auf das Risiko der erbrachten Dienstleistung zugeschnitten sind.

NIS2-SC10 (Basis)
NIS2-SC20 (Erheblich)
NIS2-SC30 (Hoch)

Die verschiedenen Ebenen

Innerhalb der NIS2-Lieferkette gibt es 3 Ebenen.

NIS2-SC10 Grundstufe

Organisatorische Kontrollmaßnahmen
Auf den Menschen ausgerichtete Managementmaßnahmen
Physische Verwaltungsmaßnahmen
Technologische Managementmaßnahmen

NIS2-SC20 Erhebliche Ebene

Organisatorische Kontrollmaßnahmen
Auf den Menschen ausgerichtete Managementmaßnahmen
Physische Verwaltungsmaßnahmen
Technologische Managementmaßnahmen
OT-Management-Maßnahmen
IT-Management-Maßnahmen

NIS2-SC30 Hochrangig

Organisatorische Kontrollmaßnahmen
Auf den Menschen ausgerichtete Managementmaßnahmen
Physische Verwaltungsmaßnahmen
Technologische Managementmaßnahmen
OT-Management-Maßnahmen
IT-Management-Maßnahmen

Weitere Informationen über die NIS2-Lieferkette finden Sie auf der Website Website.

Welche NIS2-Lieferkette trifft auf Ihr Unternehmen zu?

Welche Art von Organisation sind Sie?

Viele KMU-Organisationen erbringen Dienstleistungen für so genannte NIS2-Unternehmen.

Um festzustellen, ob Sie selbst eine NIS2-Organisation sind oder nicht, hat die NCSC ein Poster und einen Online-Test zur NIS2-Selbstbewertung erstellt.

Organisationen, die als NIS2-Organisation eingestuft sind, müssen sich bei der NCSC registrieren lassen.

Im Rahmen der NIS2-Gesetzgebung wird unterschieden zwischen Wesentlich und wichtig Unternehmen, diese werden auch NIS2-Unternehmen genannt. Diese Unternehmen müssen die NIS2-Vorschriften selbst einhalten, ebenso wie ihre Lieferkette.

Das NIS2-Gütesiegel für die Lieferkette hilft dabei.

Anbieter

NIS2-Organisationen müssen von ihren Zulieferern, zumeist KMU-Organisationen, verlangen, dass sie die Einhaltung der NIS2-Vorschriften nachweisen können. Ein ISO27001-Zertifikat reicht für diesen Zweck nicht aus. Das NIS2-Siegel für die Lieferkette ist ein zusätzlicher Nachweis dafür.

Lieferkette 10 (SC10)

Wenn Ihre Organisation nicht registrierungspflichtig ist, Sie aber Dienstleistungen für eine NIS2-Organisation erbringen, muss auch Ihre Organisation die NIS2-Vorschriften erfüllen.

Für die meisten KMU-Organisationen ist die Lieferkettenstufe 10 (SC10) ausreichend, um zu zeigen, dass sie die Grundlagen beherrschen.

Lieferkette 20 (SC20)

Wenn Ihre Organisation jedoch IKT- oder OT-Dienste anbietet, kann Ihr Kunde SC20 oder sogar SC30 verlangen. Dies hängt natürlich stark von dem Risiko ab, das der Kunde in Bezug auf Ihre Dienstleistung hat, und von den Auswirkungen auf den IPI.

Verfügbarkeit (ist das System vorhanden oder nicht),
Integrität (sind die Daten in den Systemen korrekt) und die
Vertraulichkeit (ist es gut geregelt, wer was sehen darf und wer nicht)

Lieferkette 30 (SC30)

Wenn Ihre Organisation direkt unter die NIS2 fällt und Sie daher registrierungspflichtig sind, dann gilt für Ihre Organisation mindestens die NIS2-Lieferkettenstufe 30. Eine zusätzliche, akkreditierte Zertifizierung nach ISO27001/NEN7510/IEC 62443 wird dringend empfohlen.

Wie lange dauert ein Zertifizierungsaudit?

Es ist eine Tabelle verfügbar, aus der hervorgeht, wie viel Prüfungszeit pro Norm für jede Art von Organisation erforderlich ist. Je nach Kontext kann die Auditzeit innerhalb der Spanne niedriger oder höher sein.

Hinweis: Wenn Sie bereits über eine ISO27001/NEN7510-Zertifizierung verfügen, wird Ihnen eine Befreiung von bestimmten Anforderungen gewährt, die bereits in dieser Zertifizierung enthalten sind. Dadurch verringert sich die Anzahl der Auditstunden in der obigen Tabelle.

Wie beantragen Sie die Zertifizierung mit dem NIS2-Siegel für Lieferketten?

Wenn Sie der Meinung sind, dass Sie alle Anforderungen der NIS2-Lieferkette erfüllen, ist DigiTrust befugt, ein Audit in Ihren Räumlichkeiten durchzuführen. Setzen Sie sich mit uns in Verbindung, um diese Zertifizierung zu starten.

Wenn das Audit von DigiTrust positiv abgeschlossen wird, erstellt und veröffentlicht die Stiftung für Qualitätsinnovation das Zertifikat für Sie. Es wird ein zentrales Register darüber geführt.

Das Zertifikat ist 3 Jahre lang gültig.

Kontaktieren Sie uns für ein unverbindliches Angebot.