NIS2: Wie der Einkauf Mehrwert generiert

Schutz der digitalen Achillessehnen: NIS2

Verbesserung der digitalen Resilienz in der EU

Unternehmen und Lieferketten sind im modernen Wirtschaftsleben digital stark miteinander verwoben. Cyberattacken auf ein Unternehmen können sich daher auf viele auswirken. Die staatliche Organisation von Cybercrime verschärft die Bedrohungslage weiter. Mit NIS2 pocht die EU-Kommission auf schärfere Maßnahmen der Unternehmen zum Schutz der Unternehmensdaten als wirtschaftliche Kernwerte. Ein weitaus größerer Anwenderkreis und eine aktivere Kontrolltätigkeit der Behörden unterscheiden NIS2 markant von der Vorgängerregelung.

Cybercrime läge als Volkswirtschaft an dritter Stelle.

Alle Cybercrime-Aktivitäten zusammen machten im Jahr 2025 einen Schaden von geschätzt 10,5 Billionen USD aus. Das entspricht schon fast den Bruttoinlandsprodukten der USA und Chinas. Länder wie Nordkorea nutzen kriminelle Aktivitäten im Umfeld auf Kryptowährungen gezielt zur Devisenbeschaffung. In diesem Szenario ist es unabdingbar zu wissen, wie es um das digitale Risikoprofil der Partnerunternehmen bestellt ist. SLM bietet dafür automatisierte Lösungen.

29500

deutsche Unternehmen fallen schätzungsweise unter NIS2 (bis zu 5.000 sind es in Österreich).

Prozent der Unternehmen reihen Cyberattacken und Datenlecks als größtes Geschäftsrisiko ein.

Mio. Euro beträgt der Strafrahmen für die Nichteinhaltung der unterschiedlichen Cybersicherheitsmaßnahmen.

Die alte NIS aus 2016 betraf vor allem Betreiber wesentlicher Dienste in verschiedenen Bereichen (u.a. Gesundheit, Verkehr, digitale Infrastruktur). Betroffene Unternehmen wurden aktiv informiert. Das ändert sich mit NIS2 grundlegend.

NIS2 kennt zwei Kategorien von Unternehmen, die unter die nationalen Gesetze fallen (in Österreich: NISG; NIS2 ist eine Richtlinie!):

- wesentliche Einrichtungen: das sind große Unternehmen (ab 250 MA oder Jahresumsatz ab € 50 Mio. und über € 43 Mio. Bilanzsumme) aus kritischen Sektoren (Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser usw.)

- wichtige Einrichtungen: das sind mittlere Unternehmen aus diesen Sektoren - außerdem große und mittlere Unternehmen aus sonstigen kritischen Sektoren (Abfall, Chemie, Digitale Dienste usw.)

- auch Klein- und Kleinstunternehmen können unter NIS2 fallen (z.B. Toplevel-Domainanbieter und Anbieter für Cloudcomputing)

Die Kriterien für die Anwendbarkeit von NIS2 sind also komplex - Sie wollen wissen ob Ihr Unternehmen darunter fällt?

In unserem Whitepaper stehen alle Details zur NIS2!
Je nach Klassifizierung des Unternehmens als wesentlich oder wichtig (sh. oben, "Wann fällt ein Unternehmen unter NIS2?") werden unterschiedliche Sanktionen und aufsichtsrechtliche Maßnahmen anwendbar.

Für wesentliche Einrichtungen sind folgende Maßnahmen vorgesehen:

- regelmäßige gezielte Sicherheitsüberprüfungen (auch ohne Anlass)

- Stichprobenkontrollen

- Bußgeldrahmen von € 10 Mio. oder 2 Prozent des weltweiten Umsatzes (je nachdem, was höher ist)

Wichtige Einrichtungen können von folgenden Maßnahmen betroffen sein:

- Überprüfungen nur bei begründetem Verdacht

- Vor-Ort-Kontrollen und externe nachträgliche Aufsichtsmaßnahmen

- Bußgeldrahmen von € 7 Mio. oder 1,4 Prozent des weltweiten Umsatzes (je nachdem, was höher ist)

Holen Sie hier Ihre kostenlose Guideline zu NIS2, EUDR, CBAM und CSDDD
Im Wesentlichen pocht die Richtlinie auf mehr Eigenverantwortung hinsichtlich

- regelmäßige Risikobewertungen

- persönliche Verantwortlichkeit des Managements

- konkrete Berichtspflichten

In unserer kostenlosen Guideline haben wir alle Handlungspflichten übersichtlich dargestellt!

Einerseits ist im Sinne der Governance die Mitwirkung der Leitungsorgane sicherzustellen: also Risikomanagement-Maßnahmen zu setzen, zu überwachen, an Schulungen teilzunehmen usw. Ebenso werden technische und operative Maßnahmen zur Beherrschung der Risiken und zur Minimierung der Folgen eines Sicherheitsvorfalls gefordert. Ein ganz wesentlicher Punkt ist die Risikobewertung kritischer Lieferanten. Hierbei können automatisierte Abfragen merklich zur Entlastung der Verantwortlichen beitragen. Im Falle von Sicherheitsvorfällen sind schließlich detaillierte Berichtspflichten vorgesehen.

Lesen Sie in unserer kostenlosen Guideline mehr darüber.
Kontrolle und Risikobewertung haben bei den unmittelbaren Anbietern bzw. Lieferanten und Dienstleistern zu erfolgen. Hierbei sind spezifische Schwachstellen zu evaluieren und die Gesamtqualität der Cybersicherheitspraxis zu beurteilen.

Lesen Sie mehr zu den geforderten konkreten Maßnahmen und zu den einzuhaltenden Fristen im Meldeverfahren!
Das ist natürlich eine Frage der jeweiligen Unternehmensorganisation. Doch auch, wenn man das Thema aus dem Bauch heraus in der IT verorten möchte, zeigen viele Gespräche, dass die Einholung der Angaben für die Risikoprofile der Lieferanten wohl eher im Einkauf liegen wird. Schließlich ist er der direkte Ansprechpartner und hat auch die Macht, die Abgabe der gewünschten Informationen zu forcieren.

Mit automatisierten Abfragen, die je nach Kritikalität des Lieferanten in Abstimmung mit IT oder auch externen Beratern entwickelt werden, lässt sich jedoch für massive Entlastung sorgen. Ein ganz wichtiger Punkt dabei ist es, den Supplier nicht zu überfordern! Im Sinne der Partnerschaft sollte darauf geachtet werden, nur notwendige Angaben abzufragen. Überbordende Fragebögen sind schon aus Gründen der Ressourcen kaum zu beantworten.

NIS 2, EUDR, CSDDD und CBAM

Systematische Darstellung und Einführung für die NIS 2 Richtlinie mit Bezug auf den aktuellen Stand der nationalen Umsetzungen in Deutschland und Österreich. Außerdem drei weitere essenzielle EU-Regularien kompakt dargestellt.