Die NIS2-Richtlinie und die Auswirkungen auf die Lieferkette | Folge 21

Shownotes

Die NIS2-Richtlinie bringt auch neue Anforderungen an die Lieferkette mit sich – ein schwieriges Thema, schließlich ist der Begriff Lieferkette nicht in der Richtlinie definiert. Was kommt auf Unternehmen und ihre Zulieferer zu und wie können diese sich dafür wappnen? Diese und weitere Fragen bespricht Christian Lueg in der aktuellen Folge von WeTalkSecurity mit dem IT-Rechtsanwalt Stefan Sander.

Über den Gast Stefan Sander ist Fachanwalt für Informationstechnologierecht. Aufgrund seiner Doppelqualifikation – abgeschlossenes IT-Studium und Fachanwalt für IT-Recht in einer Person – ist Stefan deutschlandweit gefragter Ansprechpartner für rechtliche Themen rund um IT und Datenschutz. Seit 2015 hat er zusammen mit Rechtsanwalt Heiko Schöning die Kanzlei SDS Rechtsanwälte in Duisburg (https://sds.ruhr/).

Stefan Sander ist Autor des aktuellen ESET Whitepapers "NIS2 und die Lieferkette", welches das Thema des Podcasts im Detail beleuchtet. Außerdem ist er Co-Autor des Whitepapers "Stand der Technik in der IT-Sicherheit".

Was ist eigentlich die Supply Chain bzw. Lieferkette?

Die Supply Chain ist ein Teilbereich der Logistik, der sich mit dem Fluss von Waren oder Dienstleistungen vom Rohmateriallieferanten bis zum Endverbraucher befasst. Sie umfasst alle Prozesse, Aktivitäten, Ressourcen und Organisationen, die daran beteiligt sind, Produkte oder Dienstleistungen von ihrer Entstehung bis zu ihrer Auslieferung an den Kunden zu bewegen.

Im Unterschied zur klassischen Lieferkette ist der Begriff „Supply Chain“ weiter gefasst und beinhaltet auch Aspekte wie Informationsfluss, Finanzierung, Koordination und Zusammenarbeit zwischen den verschiedenen Partnern entlang der Kette – also die gesamte Versorgung.

Die NIS2-Richtlinie verknüpft ihre Pflichten nicht explizit mit der Zugehörigkeit eines Unternehmens zur Lieferkette, was einige überraschen mag. Unternehmen, insbesondere Managed Service Provider (MSPs), die IT-Dienstleistungen bereitstellen, sind im Anwendungsbereich der Richtlinie. Dies geschieht nicht aufgrund ihrer Position in der Lieferkette, sondern aufgrund einer spezifischen Regelung des Gesetzgebers für den MSP-Sektor.

Bin ich von NIS2 betroffen?

Im Wesentlichen gibt es zwei Hauptvoraussetzungen zu beachten. Erstens muss eine Wirtschaftstätigkeit in einen spezifischen Sektor fallen, wobei es irrelevant ist, ob es sich um eine Mutter-, Tochter- oder Schwestergesellschaft handelt, solange die Aktivität in einem regulierten Sektor stattfindet. Zweitens erwähnt der Gesetzgeber in Anhang 1 der Richtlinie den IT-Sektor als besonders kritisch, was bedeutet, dass Managed Service Provider in diesem Sektor reguliert werden, während andere Sektoren wie das produzierende Gewerbe weniger streng reguliert sind. Zusammengefasst bedeutet dies, dass die Betroffenheit von Unternehmen nicht nur auf deren Rolle in der Lieferkette basiert, sondern vielmehr darauf, ob ihre Aktivitäten in einen regulierten Sektor fallen.

Spannend wird es vor allem für den deutschen Mittelstand: Unternehmen, die zwischen 50 und 249 Mitarbeiter beschäftigen, gehören per definitionem dazu, alles was darüber ist, kann man als Großunternehmen bezeichnen. Es kommt aber ein weiteres Kriterium hinzu: Jahresumsatz und Jahresbilanzsumme. Unternehmen überschreiten den Schwellenwert, wenn sie beide Kriterien reißen oder nur eines davon, was dazu führt, dass sie nicht mehr als KMU gelten. Die Mitarbeiteranzahl ist ein hartes Kriterium, während für die wirtschaftlichen Kennzahlen sowohl Jahresumsatz als auch Jahresbilanzsumme betrachtet werden. Das Ziel ist es, eine faire Behandlung zu gewährleisten. Die EU hat dazu einen Leitfaden herausgebracht, an dem Unternehmen sich orientieren können.

Um kleine Unternehmen (d. h. mit weniger als 50 Mitarbeitern) zu fördern, fallen diese nicht unter die NIS2-Richtlinie, außer sie gehören zu einem Konzern oder einer Konzerngruppe – die Gesamtzahl der Mitarbeiter addiert sich hier aus allen Mitarbeitern aus allen Unternehmen der Gruppe zusammen. Wenn also das eigene Unternehmen nur 20 Mitarbeiter hat, die Muttergesellschaft aber 5000, zählen diese 5000 zu den eigenen hinzu – das Unternehmen fällt somit unter NIS2 (bei einem Beteiligungsverhältnis von über 50 Prozent). Komplizierter wird es bei Partnerbeteiligungen, also Beteiligungen von 25 bis 50 Prozent. Entsprechend dieser Beteiligungsquote werden Kennzahlen wie Mitarbeiteranzahl und wirtschaftliche Zahlen mit zugerechnet.

Was bedeutet das für Unternehmen, die zur Lieferkette eines Unternehmens gehören?

Nicht jedes Unternehmen, das als Zulieferer für ein großes fungiert, fällt automatisch unter NIS2. Es kann aber vorkommen, dass größere Unternehmen von ihren Zulieferern erwarten, dass sie der Richtlinie entsprechen. Wenn das eigene Unternehmen unter die Vorgaben von NIS2 fällt, muss es automatisch geeignete Maßnahmen treffen, um die Lieferkette zu schützen. Im Umkehrschluss müssen sich Unternehmen auch vor Gefahren schützen, die aus anderen Teilen der Lieferkette kommen. Das trifft insbesondere auf die IT Security zu. Der Gedanke dahinter: Die Volkswirtschaft und Arbeitsplätze vor Gefahren zu schützen, die aus der Störung der Lieferkette entstehen.

Was müssen Unternehmen umsetzen, insbesondere im Hinblick auf den Stand der Technik, der in der NIS2-Richtlinie erwähnt wird?

Wer keine Angst vor Gesetzestexten hat kann in die Artikel 20, 21 und 23 der Richtlinie schauen. Artikel 21 beschreibt die technischen und organisatorischen Maßnahmen in puncto Risikomanagement, die mit der Richtlinie auf Unternehmen zukommen werden. Im Kern geht es darum, die größtmögliche Qualität vorzuweisen. Weitere Informationen dazu gibt es im ESET Whitepaper zum Stand der Technik und NIS2 und in Folge 17 von WeTalkSecurity. Unternehmen, die selbst reguliert sind, sind gemäß Artikel 21 Absatz 2 verpflichtet, Maßnahmen zur Sicherung ihrer Lieferkette zu ergreifen. Dies bedeutet, dass sie sowohl ihre eigenen Systeme als auch die ihrer Lieferanten schützen müssen.

Wenn diese Maßnahmen kommen, reicht das aus?

Aus Stefan Sanders Sicht reichen die Maßnahmen aus, eine NIS3-Richtlinie müssen Unternehmen in Europa erst einmal nicht befürchten. Der Rat vom Experten: Sich rechtzeitig um die Umsetzung von NIS2 kümmern – nicht nur, um auf der sicheren Seite zu sein sondern auch, weil eine starke IT-Sicherheit dem eigenen Unternehmen zugutekommt.

Mehr Informationen zur NIS2-Richtlinie und wie Organisationen Ihre IT-Security NIS2-READY machen können, finden Sie auf unserer NIS2-Schwerpunktseite.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.