NIS-2: Was Unternehmen wissen sollten, die nicht direkt betroffen sind

04.10.2024 RA Nils Volmer, LL.M.

Die NIS-2-Richtlinie (Netz- und Informationssicherheit) der Europäischen Union ist ein umfassendes Regelwerk, das mit dem Ziel entwickelt wurde, die Cybersicherheitsstandards in der EU zu verbessern und die Resilienz kritischer Sektoren gegenüber Cyberangriffen zu stärken. Sie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 und weitet ihren Geltungsbereich sowie die Anforderungen erheblich aus. Unternehmen und Organisationen, die als Betreiber wesentlicher oder wichtiger Dienste gelten, müssen umfangreiche Sicherheitsmaßnahmen implementieren und unterliegen strengeren Meldepflichten bei Cybervorfällen.

Doch auch Unternehmen, die auf den ersten Blick nicht direkt unter die NIS-2-Richtlinie fallen, sollten sich nicht in falscher Sicherheit wiegen. Die Auswirkungen dieser neuen Regelungen erstrecken sich über die direkten Verpflichtungen hinaus und schaffen neue Pflichten und Erwartungen entlang der gesamten Lieferkette.

In diesem Artikel beleuchten wir die versteckten Folgen der NIS-2-Richtlinie für Unternehmen, die formal nicht als „wesentliche“ oder „wichtige“ Einrichtungen gelten, aber durch ihre Rolle in der Lieferkette und durch veränderte Marktanforderungen doch von NIS-2 betroffen sein könnten. Ein besonderes Augenmerk liegt dabei auf den Pflichten und Risiken, die sich entlang der Lieferkette ergeben, sowie auf den Maßnahmen, die Unternehmen ergreifen sollten, um zukünftige Herausforderungen zu bewältigen.

Inhalt

Überblick: NIS-2 und ihr Geltungsbereich
1. Pflichten entlang der Lieferkette: Wie NIS-2 auch „unbeteiligte“ Unternehmen betrifft
1.1 Vertragliche Sicherheitsanforderungen und Compliance
1.2 Kaskadierende Sicherheitsanforderungen innerhalb der Lieferkette
1.3 Erhöhte Sorgfaltspflichten und neue Compliance-Verpflichtungen
2. Risiken durch Drittparteien und Haftungsfragen
3. Veränderte Marktanforderungen und indirekter Wettbewerbsdruck
Fazit: Die richtige Vorbereitung als Schlüssel zur Compliance

Überblick: NIS-2 und ihr Geltungsbereich

Die NIS-2-Richtlinie unterscheidet zwischen zwei Hauptkategorien von betroffenen Organisationen:

Wesentliche Einrichtungen: Diese umfassen Sektoren wie Energie, Verkehr, Gesundheitswesen, Wasser- und Abwasserwirtschaft, Lebensmittelversorgung, Banken, Finanzmärkte und die öffentliche Verwaltung. Für diese Unternehmen gelten besonders strenge Sicherheitsvorgaben, und ihre Einhaltung wird von den Mitgliedstaaten eng überwacht.
Wichtige Einrichtungen: Diese Kategorie umfasst digitale Infrastrukturen (z. B. Internet-Backbones, Cloud-Dienste, Domain-Registrare), Post- und Kurierdienste, Abfallwirtschaft und einige Produktionsunternehmen, die als systemrelevant gelten.

Unternehmen in diesen Kategorien müssen spezifische Sicherheitsmaßnahmen umsetzen, ein systematisches Risikomanagement betreiben und sind verpflichtet, Sicherheitsvorfälle innerhalb eines bestimmten, sehr kurzen Zeitraums an die zuständigen Behörden zu melden. Unternehmen außerhalb dieser Kategorien sind zwar formell nicht direkt betroffen, aber durch den starken Fokus der Richtlinie auf die Sicherung der gesamten Lieferkette können indirekte Verpflichtungen und neue Erwartungen auch für diese Unternehmen relevant werden.

1. Pflichten entlang der Lieferkette: Wie NIS-2 auch „unbeteiligte“ Unternehmen betrifft

Ein zentrales Element der NIS-2 ist der verstärkte Fokus auf die Sicherheit entlang der gesamten Wertschöpfungskette. Unternehmen, die unter die NIS-2 fallen, tragen die Verantwortung für die Sicherheit ihrer Lieferkette und müssen sicherstellen, dass auch ihre Dienstleister und Zulieferer ein angemessenes Sicherheitsniveau gewährleisten. Für Unternehmen, die als Lieferanten oder Subunternehmer fungieren, können daraus erhebliche Pflichten und Anpassungskosten resultieren.

Hier sind die wichtigsten Auswirkungen im Detail:

1.1 Vertragliche Sicherheitsanforderungen und Compliance

Eine der zentralen Änderungen, die sich durch die NIS-2-Richtlinie ergeben, betrifft die vertraglichen Anforderungen an Lieferanten und Partnerunternehmen. Organisationen, die der NIS-2 unterliegen, müssen sicherstellen, dass alle Drittparteien, die Zugriff auf sensible Informationen oder Systeme haben, strenge Sicherheitsstandards einhalten. Dies führt in der Praxis zu umfangreichen Anpassungen der vertraglichen Vereinbarungen entlang der gesamten Lieferkette.

Technische Sicherheitsmaßnahmen: Partnerunternehmen werden vertraglich verpflichtet, eine Reihe technischer Schutzmaßnahmen einzuhalten, darunter die Verwendung von Verschlüsselung, Zugangskontrollmechanismen, Netzwerksicherheit (z. B. Firewalls und Intrusion-Prevention-Systeme) und die regelmäßige Aktualisierung von Software und Systemen.
Risikomanagement und Sicherheitsprotokolle: Betroffene Unternehmen fordern von ihren Lieferanten zunehmend umfassende Risikomanagement-Prozesse, die detaillierte Sicherheitsprotokolle, regelmäßige Sicherheitsbewertungen und eine lückenlose Dokumentation der getroffenen Maßnahmen beinhalten. Diese Dokumentationen müssen den Vorgaben der NIS-2 entsprechen und auf Verlangen vorgelegt werden.
Verpflichtende Auditierungen: Nicht betroffene Unternehmen könnten vertraglich dazu verpflichtet werden, sich regelmäßigen externen Audits durch Cybersicherheitsunternehmen zu unterziehen. Diese Audits prüfen, ob die vereinbarten Sicherheitsanforderungen eingehalten werden, und ermitteln potenzielle Schwachstellen, die das gesamte Netzwerk gefährden könnten.

1.2 Kaskadierende Sicherheitsanforderungen innerhalb der Lieferkette

Die Anforderungen der NIS-2 haben eine kaskadierende Wirkung, die alle Beteiligten einer Lieferkette erfasst. Wenn ein großes Unternehmen, das der NIS-2 unterliegt, von einem kleinen IT-Dienstleister abhängig ist, muss dieser Dienstleister möglicherweise ähnliche Sicherheitsstandards umsetzen wie das größere Unternehmen selbst. Diese Anforderungen werden oft auf Subunternehmer und weitere Partner entlang der Lieferkette übertragen:

Lieferketten-Compliance: Unternehmen könnten verpflichtet sein, detaillierte Sicherheitsnachweise und Zertifikate nicht nur für sich selbst, sondern auch für alle in die Wertschöpfungskette eingebundenen Subunternehmer zu erbringen. Dies erfordert eine umfassende Überwachung der gesamten Lieferkette, regelmäßige Überprüfungen und die Einführung von Risikomanagement-Prozessen entlang aller relevanten Schnittstellen.
Informationsaustausch und Berichtspflichten: Eine weitere Anforderung könnte die Einrichtung von Informationsaustauschkanälen sein, die es dem Hauptunternehmen ermöglichen, Informationen über potenzielle Bedrohungen und Sicherheitsvorfälle schnell an alle Beteiligten der Lieferkette zu kommunizieren. Unternehmen, die diese Kommunikationswege nicht implementieren, riskieren Vertragsstrafen oder den Ausschluss aus der Lieferkette.

1.3 Erhöhte Sorgfaltspflichten und neue Compliance-Verpflichtungen

Eine wesentliche Anforderung der NIS-2 ist die Verpflichtung zu erhöhter Sorgfalt entlang der Lieferkette. Dies bedeutet, dass Unternehmen umfassende Maßnahmen implementieren müssen, um die Sicherheit der Lieferanten zu gewährleisten:

Etablierung eines umfassenden Risikomanagements: Unternehmen müssen nicht nur ihre eigenen Systeme, sondern auch die ihrer Lieferanten und Partner regelmäßig auf potenzielle Risiken überprüfen. Hierbei kann es sich um technische Risiken (z. B. ungesicherte Schnittstellen) oder organisatorische Schwachstellen (z. B. unzureichend geschulte Mitarbeiter) handeln.
Risikobewertungen bei neuen Partnern: Unternehmen, die neue Lieferanten oder Dienstleister in ihre Wertschöpfungskette integrieren wollen, müssen eine gründliche Sicherheitsbewertung durchführen. Dies bedeutet, dass das Sicherheitsniveau eines potenziellen Partners bereits vor Vertragsabschluss detailliert geprüft wird.
Notfallpläne und Incident Response-Strategien: Unternehmen könnten verpflichtet werden, Notfallpläne und Incident Response-Strategien zu entwickeln, die auch Szenarien umfassen, in denen ein Partnerunternehmen Opfer eines Cyberangriffs wird. Diese Pläne müssen regelmäßig aktualisiert und mit den Partnern abgestimmt werden.

2. Risiken durch Drittparteien und Haftungsfragen

Die NIS-2-Richtlinie betont die gemeinsame Verantwortung für die Sicherheit entlang der gesamten Lieferkette. Dies führt zu einem signifikanten Anstieg der rechtlichen Risiken für Unternehmen, die nicht direkt betroffen sind, aber als Subunternehmer oder Partner für betroffene Organisationen fungieren:

Haftung für Sicherheitslücken: Wenn ein nicht direkt betroffenes Unternehmen eine Sicherheitslücke aufweist, die zu einem Cybervorfall bei einem NIS-2-pflichtigen Partner führt, kann es haftbar gemacht werden. Dies könnte nicht nur finanzielle Sanktionen nach sich ziehen, sondern auch den Verlust von Geschäftsbeziehungen und langfristigen Partnerschaften bedeuten.
Regressforderungen und Schadensersatz: Unternehmen, die durch mangelhafte Sicherheitsvorkehrungen einen Schaden bei ihren Partnern verursachen, müssen möglicherweise mit Regressforderungen und Schadensersatzansprüchen rechnen. Dies könnte insbesondere dann der Fall sein, wenn das Unternehmen die vereinbarten Sicherheitsanforderungen nicht erfüllt hat oder grob fahrlässig gehandelt hat.
Verantwortungsübernahme bei Subunternehmen: Viele Unternehmen könnten dazu übergehen, Haftungsklauseln in ihre Verträge einzufügen, die Subunternehmen verpflichten, bei einem Sicherheitsvorfall die volle Verantwortung für alle entstehenden Kosten und Schäden zu übernehmen. Dies führt zu einer erhöhten Belastung für kleinere Partnerunternehmen, die nicht über die gleichen finanziellen Ressourcen wie große Organisationen verfügen.

3. Veränderte Marktanforderungen und indirekter Wettbewerbsdruck

Die Cybersicherheit entwickelt sich zunehmend zu einem entscheidenden Wettbewerbsfaktor. Unternehmen, die als unsicher oder unzuverlässig wahrgenommen werden, könnten in Zukunft erhebliche Wettbewerbsnachteile erfahren:

Marktzugang als Cyber-Gatekeeper: Große Organisationen werden immer häufiger Sicherheitsstandards als Kriterium für den Marktzugang festlegen. Unternehmen, die diese Standards nicht erfüllen, könnten vom Wettbewerb ausgeschlossen werden, selbst wenn sie wirtschaftlich attraktive Konditionen anbieten.
Langfristige Vertrauensverluste: Ein schlechter Ruf im Bereich Cybersicherheit kann nachhaltige Schäden anrichten. Unternehmen, die wiederholt Schwachstellen aufweisen oder Sicherheitsanforderungen nicht nachkommen, riskieren den Verlust ihrer Reputation und das Vertrauen potenzieller Kunden und Partner.

Fazit: Die richtige Vorbereitung als Schlüssel zur Compliance

Für Unternehmen, die nicht direkt von der NIS-2-Richtlinie betroffen sind, ist es entscheidend, proaktiv zu handeln. Ein hohes Maß an Cybersicherheit und ein solides Management der Lieferkette sind zentrale Faktoren, um sich gegen die indirekten Auswirkungen der Richtlinie abzusichern. Unternehmen sollten daher:

ihre eigenen Sicherheitsprozesse kritisch prüfen und anpassen,
sich über die Sicherheitsanforderungen der Partnerunternehmen informieren und diese in ihre internen Prozesse integrieren und
gezielte Schulungen für Mitarbeiter und Partner anbieten, um das Sicherheitsbewusstsein zu schärfen.

Nur durch eine ganzheitliche Sicherheitsstrategie können Unternehmen sicherstellen, dass sie auch in einem zunehmend regulierten Umfeld erfolgreich bleiben.

Über den Autor

Nils Volmer, LL.M. ist Rechtsanwalt und Externer Datenschutzbeauftragter (TÜV). Er berät und vertritt bundesweit Unternehmen im gewerblichen Rechtsschutz, Urheber- & Medienrecht, Datenschutzrecht und IT-Recht. www.kanzlei-meibers.de