Das deutche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird voraussichtlich im Frühjahr 2025 in Deutschland in Kraft treten. Diese neue Regelung hat erhebliche Auswirkungen auf Dienstleisterverträge und die Cybersicherheit. Unternehmen sollten sich nicht zurücklehnen, sondern sich aktiv auf die Einhaltung der gesetzlichen Anforderungen vorbereiten. In diesem Artikel erfahren Sie, welche Auswirkungen NIS2 für künftige Dienstleisterverträge von NIS2-regulierten Unternehmen hat und welche Maßnahmen in diesem Zusammenhang ergriffen werden müssen.
Dringlichkeit der NIS2-Umsetzung
In der Praxis spielt es für die künftig NIS2-regulierten Unternehmen keine Rolle, wie viel Verspätung das deutsche NIS2-Gesetz am Ende hat. Zwar können vor Inkrafttreten keine Bußgelder oder Zwangsmaßnahmen verhängt werden, aber es ist fraglich, ob entsprechende Cyberversicherungen nach dem 17. Oktober 2024 noch für Vorfälle zahlen, wenn ein Unternehmen die NIS2-Vorgaben ignoriert. An diesem Tag endete die Frist zur Umsetzung von NIS2 in nationales Recht. Bei Unternehmen, die grenzüberschreitend operieren, entsteht zusätzliche Rechtsunsicherheit. Wer haftet bei Vorfällen in einem anderen europäischen Land, das NIS2 pünktlich umgesetzt hat, wenn das für die Schäden verantwortliche Unternehmen im unregulierten Deutschland beheimatet ist?
Wer muss sich vorbereiten?
Gegen solche Unwägbarkeiten wappnet man sich mit einer einfachen Grundregel: Jedes nach der NIS2-Richtlinie regulierte Unternehmen sollte sich unverzüglich auf die Einhaltung der gesetzlichen Anforderungen vorbereiten. Dies sind, wie schon in unserem ersten NIS2 Blog-Artikel aufgeführt, bis zu 30.000 Firmen in Deutschland. Doch durch eine der Mindestsicherheitsanforderungen von NIS2, der sogenannten Lieferkettensicherheit, ist völlig unklar, wie viele Dienstleister und Lieferanten dieser Unternehmen ebenfalls betroffen sind.
Lieferkettensicherheit
Die Lieferkettensicherheit im Rahmen von NIS2 verlangt von den betroffenen Unternehmen, mit allen externen Partnern die Einhaltung von Sicherheitsvorgaben vertraglich zu vereinbaren. Und zwar immer dann, wenn das Outsourcing, die Drittdienstleistung oder auch Hard- und Softwareprodukte die geschäftsrelevanten Prozesse berühren. Ist das der Fall, müssen sich die Auftragnehmer verpflichten, dieselben Anforderungen zu erfüllen, die das regulierte Unternehmen selbst einzuhalten hat.
Abbildung 1: NIS2 Auswirkungen auf Dienstleister und Lieferanten
Für viele Dienstleister ist ein solcher Anspruch seitens ihrer Kunden nicht neu. Immer dann, wenn ein Unternehmen eine Zertifizierung nach ISO 27001 oder dem BSI IT-Grundschutz anstrebt, taucht die Frage nach Lieferantenaudits und vertraglichen Grundlagen der Ausfallsicherheit, Integrität und Vertraulichkeit der Drittanbieter auf. Rechenzentrumsbetreiber sind daran gewöhnt, dass insbesondere Kunden mit besonderem Schutzbedarf ihrer Datenverarbeitung regelmäßig überprüfen wollen, ob die Voraussetzungen erfüllt sind.
NIS2 Auswirkungen auf Dienstleister
Dass die Richtlinienkonformität von den Drittdienstleistern nicht direkt, sondern praktisch „über Bande“ erzwungen wird, ist das eigentlich neue Phänomen von NIS2. Hinzu kommt die paradoxe Wirkung, dass die bloßen Zulieferer eines regulierten Unternehmens lange vor diesem in dieser Verpflichtung landen. Für die direkt von der Regulierung betroffenen Unternehmen gelten die Übergangsfristen von NIS2. Selbst die oberste Regulierungskategorie (Betreiber kritischer Anlagen) muss frühestens nach drei Jahren nachweisen, dass sie die Vorgaben einhält. Einen solch zeitlich komfortablen Puffer haben Outsourcing-Dienstleister und andere Lieferanten nicht. Obwohl sie außerhalb des unmittelbaren Anwendungsbereichs tätig sind – und die Richtlinie noch gar nicht in Kraft getreten ist –, kann für die Vertragspartner der regulierten Unternehmen die Anpassung an die Cybersicherheitsregeln der NIS2 schon jetzt anstehen. Die meisten Dienstleistungsverträge sind befristet und müssen spätestens alle zwei bis vier Jahre verlängert oder neu ausgeschrieben werden. Auftraggeber müssen nun alles unter den Vorbehalt der NIS2-Regeln stellen.
Sobald die Vertragslaufzeit einer Lieferbeziehung in den Geltungszeitraum der Richtlinie ragt, bleibt den NIS2-regulierten Unternehmen nichts anderes übrig, als die wichtigsten Glieder ihrer Lieferkette zur Compliance zu verpflichten. In den nächsten Verhandlungsrunden über eine Fortsetzung des Vertragsverhältnisses wird das Lieferantenmanagement beim Einkauf von Dienstleistungen für alle wesentlichen Prozesse auf entsprechende Nachweise bestehen. Das Risikomanagement der Auftraggeber lässt gar nichts anderes zu, als ausschließlich solche Lieferbeziehungen zu unterhalten, die den gesetzlichen Cybersicherheitsvorgaben genügen.
Maßnahmen für Dienstleister
Was können Auftragnehmer von NIS2-regulierten Einrichtungen jetzt tun? Eine Möglichkeit ist die Umsetzung des im NIS2 Artikel 21 aufgeführten Katalogs von Mindestsicherheitsanforderungen (Sicherheitskonzepte, Verschlüsselung etc.). Nur wenig davon ist neu oder ungewöhnlich. Gerade bei Plattformbetreibern, Rechenzentren oder Softwareentwicklern, die für regulierte Auftraggeber tätig sind, ist zu erwarten, dass sie sich mit den meisten dieser Vorgaben längst auseinandergesetzt haben. Und es gibt keinen Anspruch auf Vollständigkeit. Geprüft werden muss nur, was zur Sicherstellung der betriebsrelevanten Prozesse beim Kunden unabdingbar ist.
Ein guter Indikator für den Umfang der zu erwartenden Maßnahmen können auch die Fragebögen von Cyberversicherungen sein. So wie die Versicherungsunternehmen prüfen, ob das Krisenmanagement, die Netzwerksicherheit oder IT-Nutzerprivilegien auf akzeptablem Stand sind, ist die Tendenz bei Auftraggebern bezüglich Prüfungen in einer Lieferbeziehung ähnlich.
Auftraggeber erwarten weiterhin mindestens eine Bereitschaft zu regelmäßigen Audits, Pentests oder Übungen. Explizite Cybersicherheitsanforderungen können als Zusatz zu Service-Level-Agreements hinzukommen. Auch ein Schriftstück, in dem der Auftragnehmer dem Kunden versichert, dass er die Regeln des IT-Grundschutzes einhält, könnte Pflicht werden. In öffentlichen Vergabeverfahren sind solche Nachweise häufig bereits ein Eignungskriterium.
Fazit: NIS2 – Auswirkungen auf die Lieferkette
Die gestiegenen Ansprüche an die IT-Sicherheit zu ignorieren, wird sich niemand mehr leisten können. Dies gilt insbesondere für Dienstleister von NIS2-regulierten Unternehmen. Aufträge bekommen in Zukunft nur diejenigen, die vertraglich ein angemessenes Cybersicherheitsniveau nachweisen können. Die Zielgruppe für Cybersicherheitspflichten ist durch NIS2 viel größer als je zuvor. Tausende von Unternehmen müssen den gestiegenen Anforderungen ihrer Kunden umgehend gerecht werden. Wer am Markt bleiben möchte, sollte ein großes Interesse daran haben, alle geforderten Sicherheitsmaßnahmen zu erfüllen. Compliance könnte sogar zum Verkaufsargument werden, wenn man hohe Resilienz und Sicherheit bei der Vermarktung hervorhebt.
