Beratungstermin vereinbaren
Sie planen, eine unserer Lösungen neu einzuführen oder zu erweitern?
Wir beraten Sie gerne!
Schließen Sie sich über 15.000 Lesern an!
Melden Sie sich jetzt für unseren Newsletter an und bleiben Sie stets up-to-date zu ERP, Best Practices und Business-News!
Unternehmen und Lieferketten sind im modernen Wirtschaftsleben digital stark miteinander verwoben. Cyberattacken auf ein Unternehmen können sich daher auf viele auswirken. Die staatliche Organisation von Cybercrime verschärft die Bedrohungslage weiter. Mit NIS2 pocht die EU-Kommission auf schärfere Maßnahmen der Unternehmen zum Schutz der Unternehmensdaten als wirtschaftliche Kernwerte. Ein weitaus größerer Anwenderkreis und eine aktivere Kontrolltätigkeit der Behörden unterscheiden NIS2 markant von der Vorgängerregelung.
Alle Cybercrime-Aktivitäten zusammen machten im Jahr 2025 einen Schaden von geschätzt 10,5 Billionen USD aus. Das entspricht schon fast den Bruttoinlandsprodukten der USA und Chinas. Länder wie Nordkorea nutzen kriminelle Aktivitäten im Umfeld auf Kryptowährungen gezielt zur Devisenbeschaffung. In diesem Szenario ist es unabdingbar zu wissen, wie es um das digitale Risikoprofil der Partnerunternehmen bestellt ist. SLM bietet dafür automatisierte Lösungen.
Die alte NIS aus 2016 betraf vor allem Betreiber wesentlicher Dienste in verschiedenen Bereichen (u.a. Gesundheit, Verkehr, digitale Infrastruktur). Betroffene Unternehmen wurden aktiv informiert. Das ändert sich mit NIS2 grundlegend.
NIS2 kennt zwei Kategorien von Unternehmen, die unter die nationalen Gesetze fallen (in Österreich: NISG; NIS2 ist eine Richtlinie!):
- wesentliche Einrichtungen: das sind große Unternehmen (ab 250 MA oder Jahresumsatz ab € 50 Mio. und über € 43 Mio. Bilanzsumme) aus kritischen Sektoren (Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser usw.)
- wichtige Einrichtungen: das sind mittlere Unternehmen aus diesen Sektoren - außerdem große und mittlere Unternehmen aus sonstigen kritischen Sektoren (Abfall, Chemie, Digitale Dienste usw.)
- auch Klein- und Kleinstunternehmen können unter NIS2 fallen (z.B. Toplevel-Domainanbieter und Anbieter für Cloudcomputing)
Die Kriterien für die Anwendbarkeit von NIS2 sind also komplex - Sie wollen wissen ob Ihr Unternehmen darunter fällt?
Je nach Klassifizierung des Unternehmens als wesentlich oder wichtig (sh. oben, "Wann fällt ein Unternehmen unter NIS2?") werden unterschiedliche Sanktionen und aufsichtsrechtliche Maßnahmen anwendbar.
Für wesentliche Einrichtungen sind folgende Maßnahmen vorgesehen:
- regelmäßige gezielte Sicherheitsüberprüfungen (auch ohne Anlass)
- Stichprobenkontrollen
- Bußgeldrahmen von € 10 Mio. oder 2 Prozent des weltweiten Umsatzes (je nachdem, was höher ist)
Wichtige Einrichtungen können von folgenden Maßnahmen betroffen sein:
- Überprüfungen nur bei begründetem Verdacht
- Vor-Ort-Kontrollen und externe nachträgliche Aufsichtsmaßnahmen
- Bußgeldrahmen von € 7 Mio. oder 1,4 Prozent des weltweiten Umsatzes (je nachdem, was höher ist)
Holen Sie hier Ihre kostenlose Guideline zu NIS2, EUDR, CBAM und CSDDD
Im Wesentlichen pocht die Richtlinie auf mehr Eigenverantwortung hinsichtlich
- regelmäßige Risikobewertungen
- persönliche Verantwortlichkeit des Managements
- konkrete Berichtspflichten
In unserer kostenlosen Guideline haben wir alle Handlungspflichten übersichtlich dargestellt!
Einerseits ist im Sinne der Governance die Mitwirkung der Leitungsorgane sicherzustellen: also Risikomanagement-Maßnahmen zu setzen, zu überwachen, an Schulungen teilzunehmen usw. Ebenso werden technische und operative Maßnahmen zur Beherrschung der Risiken und zur Minimierung der Folgen eines Sicherheitsvorfalls gefordert. Ein ganz wesentlicher Punkt ist die Risikobewertung kritischer Lieferanten. Hierbei können automatisierte Abfragen merklich zur Entlastung der Verantwortlichen beitragen. Im Falle von Sicherheitsvorfällen sind schließlich detaillierte Berichtspflichten vorgesehen.
Kontrolle und Risikobewertung haben bei den unmittelbaren Anbietern bzw. Lieferanten und Dienstleistern zu erfolgen. Hierbei sind spezifische Schwachstellen zu evaluieren und die Gesamtqualität der Cybersicherheitspraxis zu beurteilen.
Das ist natürlich eine Frage der jeweiligen Unternehmensorganisation. Doch auch, wenn man das Thema aus dem Bauch heraus in der IT verorten möchte, zeigen viele Gespräche, dass die Einholung der Angaben für die Risikoprofile der Lieferanten wohl eher im Einkauf liegen wird. Schließlich ist er der direkte Ansprechpartner und hat auch die Macht, die Abgabe der gewünschten Informationen zu forcieren.
Mit automatisierten Abfragen, die je nach Kritikalität des Lieferanten in Abstimmung mit IT oder auch externen Beratern entwickelt werden, lässt sich jedoch für massive Entlastung sorgen. Ein ganz wichtiger Punkt dabei ist es, den Supplier nicht zu überfordern! Im Sinne der Partnerschaft sollte darauf geachtet werden, nur notwendige Angaben abzufragen. Überbordende Fragebögen sind schon aus Gründen der Ressourcen kaum zu beantworten.
Die NIS 2 ist eine wesentliche Regulierung mit einer Fülle an Pflichten und ernsthaften Sanktionsdrohungen. In unserem Whitepaper stellen wir diese detailliert dar - und skizzieren außerdem die aktuell relevanten Regulierungen CBAM, CSDDD und EUDR.
Mit diesem kostenlosen Download sichern Sie sich das nötige Knowhow!
NIS2 erfordert eine Bewertung der Cyberrisiken der Lieferanten. Dazu werden Auskünfte benötigt. Mit flexibel gestaltbaren Formularen, komplett automatisierter Durchführung und ERP-Schnittstellenkompetenz bietet DIG die passende Lösung, um im Einkauf einen Wertbeitrag zur Cybersicherheit zu leisten - ohne die eigenen Ressourcen zu sehr zu belasten.
Wälder schützen, EUDR umsetzen
Worauf es ankommt, welche Produkte es betrifft und wie die Sorgfaltspflicht effizient erfüllt wird.
Verantwortung in der Lieferkette: CSDDD
Die Chancen fairer Einkaufspraktiken und sauberer Lieferketten für die Wertschöpfung nutzen.
Drittlandimporte: CBAM praktikabel umsetzen
Das CO2-Ausgleichssystem CBAM ist eine Herausforderung. Wir zeigen, wie Sie diese bewältigen.
NIS 2: für mehr digitale Sicherheit in den Lieferketten
Wie können Risiken in der Lieferkette bewertet, persönliche Verantwortung wahrgenommen und Berichtspflichten erfüllt werden.