Neue Verpflichtungen im Rahmen der NIS2: Was müssen Sie als Anbieter wissen?

Die europäische NIS2-Richtlinie (Netz- und Informationssicherheit 2) stellt strengere Anforderungen an die digitale Widerstandsfähigkeit von Organisationen in lebenswichtigen und wichtigen Sektoren. Aber auch Lieferanten werden davon betroffen sein. In diesem Artikel erfahren Sie, wie sich NIS2 auf Lieferanten auswirkt und was Sie bereits tun können, um vorbereitet zu sein. 

Was ist NIS2? 

NIS2 ist der Nachfolger der ursprünglichen NIS-Richtlinie von 2016. Ihr Ziel ist es, die Cybersicherheit in der EU zu erhöhen. Während sich die NIS1 auf eine begrenzte Anzahl wichtiger Sektoren konzentrierte, wird der Anwendungsbereich der NIS2 deutlich erweitert. Die Richtlinie wird bald mehr Organisationen, strengere Anforderungen und ausdrückliche Verpflichtungen für Anbieter abdecken. 

Die Niederlande arbeiten derzeit an einem Gesetz zur Umsetzung der NIS2 in nationale Vorschriften. Dieses Gesetz wird voraussichtlich im Jahr 2025 in Kraft treten. 

Wann sind Sie als Lieferant beteiligt? 

Organisationen, die unter die NIS2 fallen (z. B. Einrichtungen des Gesundheitswesens, Trinkwasserversorger, Anbieter digitaler Dienste, Regierungen und Finanzdienstleister), müssen nachweisen können, dass ihre gesamte Kette widerstandsfähig ist. Das bedeutet, dass auch Anbieter von digitalen Diensten, IT-Systemen oder Sicherheitslösungen geprüft werden. 

Sobald Sie eine direkte oder indirekte Rolle bei der Bereitstellung kritischer Dienste oder digitaler Infrastrukturen spielen, wird auch von Ihnen erwartet, dass Sie bestimmte Informationssicherheitsstandards einhalten. 

Was sind die Verpflichtungen? 

Obwohl Lieferanten nicht immer direkt unter die NIS2 fallen, können sie dazu verpflichtet sein: 

• nachweislich Maßnahmen zur Informationssicherheit ergreifen; 

• Risikoanalysen durchführen; 

• Vorfälle rechtzeitig dem Schulleiter zu melden; 

• die (abgeleiteten) Anforderungen auf der Grundlage von ISO 27001, NEN 7510 oder anderen Normen erfüllen; 

• bei Audits oder Kettentests mitzuarbeiten; 

• ihr Sicherheitsniveau regelmäßig überprüfen und aktualisieren. 

Die Verträge werden zunehmend Bestimmungen enthalten, die diese Verpflichtungen formalisieren. 

Was sollten Sie als Anbieter jetzt tun? 

1. Kartieren Sie Ihre Kunden:
   Arbeiten Sie für Organisationen in kritischen oder lebenswichtigen Bereichen? Dann stehen die Chancen gut, dass NIS2 indirekt auf Sie zutrifft. 

1. Bewerten Sie Ihre eigene Informationssicherheit:
   Verfügen Sie über Strategien, Verfahren und technische Maßnahmen? Und können Sie dies nachweisen? 

1. Erwägen Sie eine Zertifizierung:
   Ein unabhängiges Audit, z. B. auf der Grundlage von ISO 27001 oder des CCV-Zertifizierungssystems, kann dazu beitragen, Ihre Zuverlässigkeit gegenüber den Kunden zu demonstrieren. 

1. Seien Sie auf vertragliche Anforderungen vorbereitet:
   Rechnen Sie mit strengeren Vereinbarungen über Sicherheit, Meldepflichten und Auditrechte. Stellen Sie sicher, dass Ihre Organisation entsprechend eingerichtet ist. 

1. Verfolgen Sie die Entwicklungen:
   Die nationale Umsetzung der NIS2 ist noch in der Entwicklung begriffen. Behalten Sie die Gesetzgebung und die branchenspezifischen Ausarbeitungen im Auge. 

Wie kann DigiTrust unterstützen? 

DigiTrust führt unabhängige Audits im Bereich der Informationssicherheit und des Datenschutzes durch. Wir sind nicht an der Umsetzung oder Beratung beteiligt, so dass unsere Prüfung objektiv und zuverlässig ist. So können Sie Ihre Kunden bei der Einhaltung der NIS2-Verpflichtungen unterstützen, ohne selbst Überraschungen zu erleben. 

Möchten Sie wissen, welche Zertifizierungssysteme oder Bewertungsrahmen für Ihre Organisation relevant sind? Dann kontaktieren Sie uns für weitere Informationen.