NIS2 Auswirkungen auf die Supply Chain
Quelle: mixmagic/Shutterstock.com
Warum Security-Regularien jetzt für viele KMUs zum brennenden Thema werden – für Technologieanbieter genauso wie für Technologienutzer
Die europäische ICT-Landschaft ist derzeit einem tiefgreifenden Wandel ausgesetzt. Mit der bevorstehenden Ratifizierung der NIS2-Richtlinie durch die Mitgliedsstaaten, die bis zum 17. Oktober 2024 durchgeführt werden muss, erleben wir eine der markantesten Veränderungen in der Cybersicherheitslandschaft Europas. Für Technologieanbieter und -nutzer, die sich auf internationalen Märkten bewegen, ist es jetzt mehr denn je unerlässlich, die Details dieser neuen Gesetzgebung und ihre potenziellen Auswirkungen auf die Supply Chain zu verstehen.
Was ist NIS2?
Die NIS2-Richtlinie, eine Fortsetzung der vorherigen NIS-Richtlinie, befasst sich insbesondere mit der Verbesserung der Cybersicherheit in der gesamten EU. Ein zentrales Element dieser Richtlinie sind Standards zur Bewertung der Supply Chain-Sicherheit, insbesondere für als systemkritisch eingestuften Unternehmen mit einer gewissen Mindestgröße. Die praktische Umsetzung dieser Standards könnte jedoch Herausforderungen mit sich bringen, insbesondere in Bezug auf die Supply Chain die von zentraler Bedeutung für den internationalen Technologieaustausch ist. Dadurch geraten auch kleinere Unternehmen die nicht als systemkritisch gelten rasch in den Wirkungsbereich der NIS2 Richtlinie.
Herausforderungen und Unsicherheiten
Die NIS2-Richtlinie führt drei Mechanismen ein, um die Sicherheit der Lieferkette zu gewährleisten:
• Ein koordiniertes Risikobewertungsverfahren auf EU-Ebene.
• Ein nationales Risikobewertungsverfahren, das es den Mitgliedstaaten ermöglicht, den Anwendungsbereich der Richtlinie zu erweitern.
• Eine interne Risikobewertung, die spezifische Schwachstellen und die Qualität der Cybersicherheitsprodukte und -praktiken von Lieferanten und Dienstleistern bewertet.
Diese Mechanismen, insbesondere die koordinierte Risikobewertung, könnten zu Unsicherheiten führen. Die Kriterien für diese Bewertung, einschließlich der Einbeziehung nicht-technischer Aspekte, könnten zu Kontroversen führen.
Das Problem hierbei ist nicht nur die Unsicherheit über die genauen Kriterien der Bewertung, sondern auch die möglichen finanziellen Strafen, die Unternehmen drohen, wenn sie als nicht konform angesehen werden, selbst wenn sie alle anderen Anforderungen der NIS2 erfüllen.
Die Supply Chain im Fokus
Für Unternehmen, die im Bereich des internationalen Technologieaustauschs tätig sind, ist die Versorgungskette ein zentrales Element ihrer Geschäftstätigkeit. Die NIS2 legt besonderen Wert darauf, wie Unternehmen ihre Lieferketten bewerten und sicherstellen, dass sie den neuesten Cybersicherheitsstandards entsprechen.
Für Unternehmen wie die in unserer Zielgruppe wird es daher unerlässlich sein, die Versorgungskette aus einer ganzheitlichen Perspektive zu betrachten. Dies bedeutet, dass sie nicht nur die Cybersicherheitspraktiken ihrer direkten Lieferanten und Dienstleister bewerten müssen, sondern auch diejenigen deren Lieferanten.
Das Fazit: Auch internationale Supply Chain darf auf Seiten des Technologienutzers nicht gegen nationales Recht verstoßen
Die NIS2-Richtlinie muss national ratifiziert werden – und es bieten sich große Gestaltungsräume für Nationalstaaten. NIS2 zeigt dadurch deutlich: selbst im internationalen Geschäft innerhalb der EU ist das Wissen über lokale Gesetzgebungen unerlässlich. Unternehmen müssen über die neuesten Entwicklungen und Anforderungen in jedem Mitgliedstaat informiert sein, in dem sie tätig sind oder Geschäfte tätigen möchten.
Supply Chains sind vermehrt international aufgestellt, und dürfen dennoch nicht gegen nationales Recht des Technologienutzers verstoßen. Es gilt daher diese beiden Bereiche der Internationalität einerseits und der lokalen Regularien andererseits zu verstehen, richtig zu interpretieren und zu orchestrieren. Unternehmen denen das gelingt werden besser positioniert sein, um von den Vorteilen des internationalen Technologieaustauschs zu profitieren.