Die Umsetzung der NIS2-Richtlinie ist in vollem Umfang in Kraft getreten und wird die Art und Weise, wie Unternehmen in den kommenden Jahren mit dem Lieferantenrisiko umgehen müssen, erheblich beeinflussen.
Die Richtlinie ist seit 2016 in Arbeit, als sie erstmals von der Vizepräsidentin der Europäischen Kommission vorgeschlagen wurde Andrus Ansip und der Kommissar für den digitalen Binnenmarkt Marija Gabriel während einer Rede auf einer Veranstaltung der Europäischer Wirtschafts- und Sozialausschuss (EWSA). In ihrer Präsentation skizzierten Ansip und Gabriel ihre Vision einer aktualisierten Version der Richtlinie über die Sicherheit von Netzinformationen (NISD)die 2010 eingeführt wurde, aber nicht besonders wirksam war, weil es keinen Mechanismus zur Einhaltung der Vorschriften gab.
Die Auswirkungen der NIS2 auf kleine und mittlere Unternehmen
Die NIS2-Richtlinie zielt darauf ab, die Sicherheit der Informationssysteme und -netze der EU zu verbessern.
Sie verlangt, dass Unternehmen, die wesentliche Dienstleistungen erbringen, ein "umfassendes System" für das Risikomanagement einrichten:
- Menschen (Angestellte)
- Physische Vermögenswerte (Computer, Server usw.)
- Systeme und Daten
Außerdem sind alle Unternehmen verpflichtet, ein Risikomanagementverfahren für seine Lieferkette.
Das bedeutet, dass jedes in der EU tätige Unternehmen eine klare Strategie für die Zusammenarbeit mit Drittanbietern haben muss.
Die Richtlinie gilt für alle Unternehmen (einschließlich Banken), die im Rahmen ihrer täglichen Arbeit Produkte oder Dienstleistungen Dritter nutzen.
Das häufigste Beispiel ist der Kauf von Computersystemen von einem anderen Unternehmen, aber es gibt noch viele weitere Beispiele. Neben Computern können Sie auch Software oder Cloud-Dienste nutzen, die von anderen Unternehmen bereitgestellt werden: Alles, was Sie direkt von diesen Unternehmen erwerben, wird für die Zwecke der NIS2 als Teil Ihrer Lieferkette eingestuft.
Die Auswirkungen werden für Tausende von Organisationen weitreichend sein: Schätzungen zufolge werden mehr als 30 Millionen Unternehmen in ganz Europa davon betroffen sein.
NIS2 und Lieferantenmanagement
Darüber hinaus ist einer der wichtigsten Bestandteile dieser Richtlinie die Betonung der Cyber-Risikomanagement in Bezug auf Drittanbieter.
Es ist wichtig zu verstehen, was die NIS2 unter dem Begriff "Drittanbieter" versteht und wie er sich von anderen Arten von Geschäftsbeziehungen unterscheidet.
Der Begriff "Drittanbieter" bezieht sich auf jedes Unternehmen, von dem Sie Waren oder Dienstleistungen beziehen (mit Ausnahme von Unterauftragnehmern oder Mitarbeitern).
Ein Unternehmen, mit dem Sie zusammenarbeiten, ist also ein "Drittanbieter", wenn Sie ein Produkt oder eine Dienstleistung von ihm kaufen.
Lieferanten sind die Ursache von Angriffen
Einem aktuellen Bericht des Ponemon Institute, Deloitte und des Shared Assessments Program zufolge sind die 61% aller IT-Sicherheitsverletzungen in den letzten zwei Jahren wurden direkt von Drittanbietern verursacht.
Mit anderen Worten, die Externe Anbieter sind mehr als doppelt so häufig für Datenschutzverletzungen verantwortlich wie interne Nutzer. Darüber hinaus werden diese Verstöße häufig durch Sicherheitsprobleme verursacht, die zuvor bei einer Prüfung übersehen wurden.
Laut einer Umfrage von Forrester Consulting Inc. sind nur die 27% der Organisationen führen Risikobewertungen von Lieferanten durchi und fast die Hälfte (48%) hat kein formelles Verfahren für das Risikomanagement gegenüber Dritten.
Das bedeutet, dass viele Unternehmen ohne Schutz vor Cyberangriffen ihrer Zulieferer arbeiten, oder sogar ohne sich bewusst zu sein, dass solche Angriffe stattfinden könnten!
Aus diesem Grund legt die NIS2-Richtlinie besonderen Wert auf die Identifizierung und Abschwächung der mit diesen Lieferanten verbundenen Risiken.
Wie bei jedem anderen Aspekt des Lieferkettenmanagements ist es wichtig, sicherzustellen, dass Dritte ordnungsgemäß verwaltet werden. Dritte erbringen oft wichtige Dienstleistungen wie Lagerhaltung, Logistik und Transport.
Wie bei jedem anderen Aspekt des Lieferkettenmanagements ist es wichtig, sicherzustellen, dass Dritte ordnungsgemäß verwaltet werden. Dies liegt daran, dass Dritte häufig wichtige Dienstleistungen wie Lagerhaltung, Logistik und Transport erbringen.
Diese Dienste können von Unternehmen genutzt werden, um ihren Verpflichtungen im Rahmen der NIS2-Richtlinie nachzukommen, aber sie können auch von Cyberkriminellen genutzt werden, die Schwachstellen in Ihrer Lieferkette ausnutzen oder Ihre Daten stehlen wollen.
Aus diesem Grund legt die NIS2-Richtlinie großen Wert darauf, die mit diesen Lieferanten verbundenen Risiken zu ermitteln und zu mindern.
Wie man mit dem Management von Cyberrisiken bei Lieferanten beginnt
Doch wie können Unternehmen das Cyber-Risiko ihrer Zulieferer effektiv managen?
Eine Lösung ist dieNutzung einer Plattform für das Risikomanagement von Lieferanten.
Im Allgemeinen ermöglicht eine Plattform für das Risikomanagement von Lieferanten den Unternehmen die Festlegung und Durchsetzung von Richtlinienanforderungen, die Durchführung von Due-Diligence-Prüfungen bei Lieferanten, die Überwachung der Einhaltung dieser Richtlinien und Standards und die Bereitstellung einer zentralen Stelle für die Rechenschaftslegung für alle relevanten Informationen.
Für das spezifische Cyber-Risiko können Unternehmen die Plattform nutzen, um das Cyber-Risiko ihrer Lieferanten zu bewerten und zu verwalten, indem sie Daten aus verschiedenen Quellen sicher sammeln, analysieren und gemeinsam nutzen.
Dies ermöglicht eine eine ganzheitliche Sicht auf ihre Lieferkette, einschließlich der Ermittlung von Schwachstellen auf jeder Ebene.
Schlussfolgerungen
Die NIS2-Richtlinie ist ein wichtiger Schritt im Kampf gegen Cyberkriminalität und Datenschutzverletzungen.
Auch wenn es auf den ersten Blick überwältigend erscheinen mag, kann die Befolgung einiger einfacher Schritte Ihrer Organisation helfen, ihre Verpflichtungen zu erfüllen und zukünftige Risiken zu mindern.
Durch die Einführung einer Plattform für das Risikomanagement von Lieferanten können Unternehmen nicht nur die NIS2-Richtlinie einhalten, sondern auch die allgemeine Sicherheit ihrer Organisation verbessern. Davon profitieren beide Seiten: Einhaltung der Vorschriften und erhöhte Sicherheit.
Sie können noch heute damit beginnen, das mit Ihren Lieferanten verbundene Cyber-Risiko zu bewerten, indem Sie einen kostenlosen Zugang zu unserer neuen Lösung anfordern: Cyberangels' Portal für Lieferantenrisiken.
