NIS2 Compliance sichert resiliente Lieferketten

Unmittelbar von NIS2 betroffene KRITIS-Unternehmen sollten sich daher spätestens jetzt damit auseinandersetzen. Mithilfe von Risk Assessments können Unternehmen Schwachstellen in ihrer Lieferkette identifizieren, beheben und im Falle eines erfolgreichen Angriffs den Schaden begrenzen. Aber auch von NIS2 nur mittelbar betroffenen Zulieferer und Partner sollten sich gut vorbereiten. it-security hat dazu mit Sudhir Ethiraj, Global Head of Cybersecurity Office (CSO) & CEO Business Unit Cybersecurity Services bei TÜV SÜD, gesprochen.

NIS2 rückt auch die Absicherung der Lieferkette in den Fokus. Warum ist das für den Gesetzgeber so wichtig?

Sudhir Ethiraj: Sogenannte Supply-Chain-Angriffe zielen darauf ab, Schwachstellen in der Lieferkette auszunutzen, um Zugang zu sensiblen Daten und Systemen zu erlangen. Ob durch das Einfügen von Schadsoftware in legitime Software-Updates, durch das Kompromittieren von Drittanbietern, die Zugang zu den Netzwerken eines Unternehmens haben, einen Insider-Angriff oder gar infizierte Hardware – die Wege für Cyberkriminelle über die Lieferkette sind vielfältig. Das bekannte Beispiel SolarWinds, bei dem die Angreifer über ein Software-Update in die Netzwerke zahlreicher Organisationen eindringen konnten, hat gezeigt, dass die Gefahr von Supply-Chain-Angriffen in ihrer Heimtücke und der Schwierigkeit, sie zu erkennen, liegt.

Da die Angriffe oft über vertrauenswürdige Partner oder Lieferanten erfolgen, können sie lange unentdeckt bleiben und erheblichen Schaden anrichten. Deshalb verlangt NIS2 von Unternehmen, Maßnahmen zu ergreifen, um ihre Lieferketten sorgfältig zu überwachen. So sollen potenzielle Bedrohungen frühzeitig erkannt und abgewehrt und Vorkehrungen für den Fall eines erfolgreichen Angriffs ergriffen werden.

Was genau schreibt NIS2 und der aktuelle Stand des deutschen NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz vor?

Sudhir Ethiraj: Die europäische Network-and-Information-Security-Richtline, kurz NIS2, schreibt in Artikel 21 Absatz 2 vor, dass sich besonders wichtige und wichtige Einrichtungen mit Cybersicherheitsrisiken ihrer Lieferketten befassen müssen. Der Entwurf für das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz greift das in §30 auf. Dort heißt es, dass besonders wichtige und wichtige Einrichtungen zu bestimmten Risikomanagementmaßnahme verpflichtet sind. Diese Maßnahmen betreffen unter anderem auch die Sicherheit der Lieferkette. Im Fokus stehen dabei die sicherheitsbezogenen Aspekte der Beziehung zwischen den einzelnen Einrichtungen und ihren direkten Anbietern und Dienstleistern.

Im Gesetzesentwurf heißt es, dass KRITIS-Betreiber dazu verpflichtet sind, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen. Das Ziel ist dabei natürlich, die Cyberresilienz dieser Einrichtungen zu erhöhen und die Auswirkungen von Sicherheitsvorfällen gering zu halten.

Was bedeutet das nun konkret für die IT-Manager der KRITIS-Betreiber?

Sudhir Ethiraj: Unternehmen sollten mittlerweile herausgefunden haben, ob sie zu den sogenannten „besonders wichtigen“ und „wichtigen“ Einrichtungen nach NIS2 zählen. Wenn nicht, ist das der erste, längst überfällige Schritt. Und dann müssen IT-Manager ihre Lieferkette genau in den Blick nehmen.

Der Gesetzentwurf für das NIS2 Umsetzungsgesetz verlangt auch, die Verhältnismäßigkeit der Risikomanagementmaßnahmen zu prüfen. Folgende Kriterien müssen in diese Betrachtung einfließen: das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen.

Das vollständige Interview lesen Sie auf it-daily.net