5.1. Konzept für die Sicherheit der Lieferkette
5.1.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe d der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen ein Konzept für die Sicherheit der Lieferkette fest, das die Beziehungen zu ihren direkten Anbietern und Diensteanbietern regelt, setzen es um und wenden es an, um die ermittelten Risiken für die Sicherheit von Netz- und Informationssystemen zu mindern.
Im Rahmen des Konzepts für die Sicherheit der Lieferkette legen die betreffenden Einrichtungen ihre Rolle in der Lieferkette fest und teilen sie ihren direkten Anbietern und Diensteanbietern mit.
5.1.2. Im Rahmen des in Nummer 5.1.1 genannten Konzepts für die Sicherheit der Lieferkette legen die betreffenden Einrichtungen Kriterien für die Auswahl von Anbietern und Diensteanbietern und die Auftragsvergabe an sie fest.
Diese Kriterien umfassen Folgendes:
a) die Cybersicherheitsverfahren der Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse;
b) die Fähigkeit der Anbieter und Diensteanbieter, die von den betreffenden Einrichtungen festgelegten Cybersicherheitsspezifikationen zu erfüllen;
c) die allgemeine Qualität und Resilienz der IKT-Produkte und -Dienste und die darin enthaltenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit, einschließlich der Risiken und der Klassifizierungsstufe der IKT-Produkte und -Dienste;
d) die Fähigkeit der betreffenden Einrichtungen, ihre Versorgungsquellen zu diversifizieren und – soweit anwendbar – ihre Abhängigkeit von bestimmten Anbietern zu begrenzen.
5.1.3. Bei der Erstellung ihres Konzepts für die Sicherheit der Lieferkette berücksichtigen die betreffenden Einrichtungen – soweit anwendbar – die Ergebnisse koordinierter Sicherheitsrisikobewertungen kritischer Lieferketten gemäß Artikel 22 Absatz 1 der Richtlinie (EU) 2022/2555.
5.1.4. Auf der Grundlage des Konzepts für die Sicherheit der Lieferkette und unter Berücksichtigung der Ergebnisse der gemäß Nummer 2.1 dieses Anhangs durchgeführten Risikobewertung stellen die betreffenden Einrichtungen sicher, dass in ihren Verträgen mit Anbietern und Diensteanbietern – soweit angemessen – im Rahmen von Leistungsvereinbarungen Folgendes festgelegt wird:
a) Cybersicherheitsanforderungen an die Anbieter oder Diensteanbieter, einschließlich der Anforderungen an die Sicherheit beim Erwerb von IKT-Diensten oder -Produkten gemäß Nummer 6.1;
b) Sensibilisierungs-, Qualifikations- und Ausbildungsanforderungen sowie – soweit angemessen – Zertifizierungen, die von den Mitarbeitenden der Anbieter oder Diensteanbieter verlangt werden;
c) Anforderungen an die Zuverlässigkeitsüberprüfungen der Mitarbeitenden der Anbieter und Diensteanbieter;
d) eine Verpflichtung der Anbieter und Diensteanbieter, den betreffenden Einrichtungen Sicherheitsvorfälle, die ein Risiko für die Sicherheit der Netz- und Informationssysteme dieser Einrichtungen darstellen, unverzüglich zu melden;
e) das Recht auf Prüfung oder das Recht auf Erhalt von Prüfberichten;
f) eine Verpflichtung der Anbieter und Diensteanbieter zur Behebung von Schwachstellen, die ein Risiko für die Sicherheit der Netz- und Informationssysteme der betreffenden Einrichtungen darstellen;
g) Anforderungen an die Unterauftragsvergabe und – sofern die betreffenden Einrichtungen die Vergabe von Unteraufträgen zulassen – Cybersicherheitsanforderungen an Unterauftragnehmer im Einklang mit den unter Buchstabe a genannten Cybersicherheitsanforderungen;
h) Pflichten der Anbieter und Diensteanbieter bei Vertragskündigung, z. B. Abruf und Entsorgung der Informationen, die die Anbieter und Diensteanbieter in Wahrnehmung ihrer Aufgaben erlangten.
5.1.5. Die betreffenden Einrichtungen berücksichtigen die in den Nummern 5.1.2 und 5.1.3 genannten Elemente im Rahmen des Auswahlverfahrens für neue Anbieter und Diensteanbieter sowie im Rahmen des Vergabeverfahrens gemäß Nummer 6.1.
5.1.6. Die betreffenden Einrichtungen überprüfen das Konzept für die Sicherheit der Lieferkette, überwachen und bewerten Änderungen der Cybersicherheitsverfahren von Anbietern und Diensteanbietern
- bei wesentlichen Änderungen
- der Betriebsabläufe oder
- der Risiken oder
- bei erheblichen Sicherheitsvorfällen
im Zusammenhang mit der Bereitstellung von IKT-Diensten oder mit Auswirkungen auf die Sicherheit der IKT-Produkte von Anbietern und Diensteanbietern und werden erforderlichenfalls im Hinblick auf diese Änderungen tätig.
5.1.7. Für die Zwecke von Nummer 5.1.6 müssen die betreffenden Einrichtungen
a) die Berichte über die Umsetzung der Leistungsvereinbarungen regelmäßig verfolgen – soweit anwendbar;
b) Sicherheitsvorfälle im Zusammenhang mit IKT-Produkten und -Diensten von Anbietern und Diensteanbietern überprüfen;
c) die Notwendigkeit außerplanmäßiger Überprüfungen prüfen und die Ergebnisse verständlich dokumentieren;
d) die Risiken, die sich aus Änderungen im Zusammenhang mit IKT-Produkten und -Diensten von Anbietern und Diensteanbietern ergeben, analysieren und – soweit angemessen – rechtzeitig Risikominderungsmaßnahmen ergreifen.
Ein effektives Konzept für die Sicherheit der Lieferkette stärkt die Resilienz von Organisationen gegenüber Risiken, die von Anbietern und Dienstleistern ausgehen. Mit klaren Auswahlkriterien, vertragsrechtlichen Regelungen und kontinuierlicher Überwachung können Organisationen die Anforderungen der NIS2-Richtlinie erfüllen und die Sicherheit ihrer Netz- und Informationssysteme gewährleisten.
Vereinfachte Erklärung der Anforderungen aus 5.1: Konzept für die Sicherheit der Lieferkette
5.1.1 Konzept für die Sicherheit der Lieferkette
Organisationen müssen ein Konzept entwickeln, um die Sicherheit der Beziehungen zu ihren Anbietern und Dienstleistern zu gewährleisten.
- Ziel: Reduzierung der Risiken für Netz- und Informationssysteme.
- Transparenz: Die eigene Rolle in der Lieferkette muss definiert und den direkten Anbietern und Dienstleistern mitgeteilt werden.
5.1.2 Auswahlkriterien für Anbieter und Dienstleister
Das Konzept muss Kriterien für die Auswahl und Vergabe an Anbieter umfassen, darunter:
a) Cybersicherheitsverfahren: Bewertung der Sicherheitsprozesse und Entwicklungsverfahren der Anbieter.
b) Erfüllung der Cybersicherheitsanforderungen: Anbieter müssen die definierten Spezifikationen erfüllen können.
c) Qualität und Resilienz: Beurteilung der Qualität und Widerstandsfähigkeit von IKT-Produkten und -Diensten sowie deren Sicherheitsmaßnahmen.
d) Diversifizierung: Sicherstellung, dass die Abhängigkeit von einzelnen Anbietern minimiert wird, soweit möglich.
5.1.3 Sicherheitsrisikobewertungen berücksichtigen
Organisationen sollten bei der Entwicklung ihres Lieferkettenkonzepts die Ergebnisse koordinierter Sicherheitsrisikobewertungen berücksichtigen, insbesondere für kritische Lieferketten.
5.1.4 Sicherheitsanforderungen in Verträgen
Verträge mit Anbietern und Dienstleistern sollten folgende Punkte regeln:
a) Cybersicherheitsanforderungen: Inklusive Sicherheit beim Erwerb von IKT-Produkten und -Diensten.
b) Schulungsanforderungen: Sensibilisierung und Qualifikation des Personals der Anbieter.
c) Zuverlässigkeitsüberprüfungen: Anforderungen an die Überprüfung des Personals.
d) Vorfallsmeldung: Verpflichtung der Anbieter, Sicherheitsvorfälle unverzüglich zu melden.
e) Prüfungsrechte: Das Recht, Prüfberichte einzufordern oder Prüfungen durchzuführen.
f) Schwachstellenbehebung: Verpflichtung zur Behebung sicherheitsrelevanter Schwachstellen.
g) Unteraufträge: Anforderungen an Unterauftragnehmer, insbesondere in Bezug auf Cybersicherheit.
h) Beendigungspflichten: Regeln zur Handhabung und Entsorgung von Daten bei Vertragsende.
5.1.5 Auswahl- und Vergabeverfahren
Die oben genannten Kriterien und Risikobewertungen müssen bei der Auswahl neuer Anbieter und während des Vergabeprozesses berücksichtigt werden.
5.1.6 Überprüfung und Anpassung des Konzepts
Das Konzept muss bei folgenden Ereignissen überprüft und angepasst werden:
- Wesentliche Änderungen der Betriebsabläufe oder Risiken.
- Sicherheitsvorfälle im Zusammenhang mit Anbietern oder deren IKT-Produkten/Diensten.
5.1.7 Überwachung der Lieferkette
Organisationen müssen folgende Maßnahmen umsetzen:
a) Berichte verfolgen: Regelmäßige Nachverfolgung der Leistungsvereinbarungen.
b) Vorfallsanalyse: Überprüfung sicherheitsrelevanter Vorfälle bei IKT-Produkten/Diensten.
c) Außerplanmäßige Überprüfungen: Notwendigkeit zusätzlicher Prüfungen evaluieren und dokumentieren.
d) Risikomanagement: Risiken durch Änderungen bewerten und rechtzeitig Maßnahmen ergreifen.
Fragenkatalog: Konzept für die Sicherheit der Lieferkette
1. Erstellung des Konzepts
- Gibt es ein dokumentiertes Konzept für die Sicherheit der Lieferkette, das die Beziehungen zu direkten Anbietern und Diensteanbietern regelt? (Bezug zu 5.1.1)
- Wird das Konzept angewendet, um Risiken für die Sicherheit von Netz- und Informationssystemen zu mindern? (Bezug zu 5.1.1)
- Ist die Rolle der Einrichtung in der Lieferkette klar definiert und den Anbietern und Diensteanbietern mitgeteilt worden? (Bezug zu 5.1.1)
2. Auswahlkriterien für Anbieter und Diensteanbieter
- Gibt es Kriterien für die Auswahl von Anbietern und Diensteanbietern, die Folgendes umfassen?
- Cybersicherheitsverfahren, einschließlich sicherer Entwicklungsprozesse (Bezug zu 5.1.2 a)
- Fähigkeit, Cybersicherheitsspezifikationen zu erfüllen (Bezug zu 5.1.2 b)
- Qualität und Resilienz von IKT-Produkten und -Diensten (Bezug zu 5.1.2 c)
- Möglichkeiten zur Diversifikation der Versorgungsquellen (Bezug zu 5.1.2 d)
3. Berücksichtigung von Risikobewertungen
- Berücksichtigt das Konzept die Ergebnisse koordinierter Sicherheitsrisikobewertungen kritischer Lieferketten? (Bezug zu 5.1.3)
- Wurden die Ergebnisse der Risikobewertung gemäß Nummer 2.1 in das Konzept integriert? (Bezug zu 5.1.4)
4. Anforderungen in Verträgen
- Enthalten Verträge mit Anbietern und Diensteanbietern die folgenden Punkte?
- Cybersicherheitsanforderungen (Bezug zu 5.1.4 a)
- Sensibilisierungs-, Qualifikations- und Ausbildungsanforderungen (Bezug zu 5.1.4 b)
- Anforderungen an Zuverlässigkeitsüberprüfungen (Bezug zu 5.1.4 c)
- Verpflichtung zur Meldung von Sicherheitsvorfällen (Bezug zu 5.1.4 d)
- Prüfrechte oder Berichtsanforderungen (Bezug zu 5.1.4 e)
- Verpflichtung zur Behebung von Schwachstellen (Bezug zu 5.1.4 f)
- Anforderungen an die Unterauftragsvergabe (Bezug zu 5.1.4 g)
- Pflichten bei Vertragskündigung (Bezug zu 5.1.4 h)
5. Überprüfung und Aktualisierung des Konzepts
- Wird das Konzept für die Sicherheit der Lieferkette regelmäßig überprüft und bei Bedarf aktualisiert? (Bezug zu 5.1.6)
- Werden Änderungen der Cybersicherheitsverfahren von Anbietern und Diensteanbietern überwacht und bewertet? (Bezug zu 5.1.6)
6. Sicherheitsvorfälle und Risiken
- Werden Berichte über die Umsetzung von Leistungsvereinbarungen regelmäßig verfolgt? (Bezug zu 5.1.7 a)
- Werden Sicherheitsvorfälle im Zusammenhang mit IKT-Produkten und -Diensten überprüft? (Bezug zu 5.1.7 b)
- Wird die Notwendigkeit außerplanmäßiger Überprüfungen geprüft und dokumentiert? (Bezug zu 5.1.7 c)
- Werden Risiken, die sich aus Änderungen bei Anbietern oder IKT-Produkten ergeben, analysiert und entsprechende Risikominderungsmaßnahmen ergriffen? (Bezug zu 5.1.7 d)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!