Die gesetzlichen Vorschriften zur Cybersicherheit in der digitalen Lieferkette setzen hohe Anforderungen für den Schutz von Daten und Informationssystemen. Der Beitrag liefert Ihnen einen Überblick zum aktuellen Stand bzgl. DSGVO, NIS2, DORA und CRA.
Durch DSGVO, NIS2, DORA etc. werden Unternehmen verpflichtet, umfassende Sicherheitsmaßnahmen zu implementieren und kontinuierlich zu überwachen. Die Vorschriften zielen darauf ab, die digitale Widerstandsfähigkeit zu stärken, Datenschutz zu gewährleisten und Risiken in der Lieferkette zu minimieren.
Rechtsvorschrift
Die DSGVO ist eine Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Sie in allen ihren Teilen verbindlich und gilt unmittelbar in allen Mitgliedsländern.
Ziel
Schutz der personenbezogenen Daten der EU-Bürger vor missbräuchlicher Verwendung und Verarbeitung.
Betroffene Einrichtungen:
In der EU ansässige Unternehmen: wenn sie personenbezogene Daten verarbeiten, unabhängig davon, wo die tatsächliche Datenverarbeitung stattfindet.
Außerhalb der EU ansässige Organisationen: bspw. wenn sie Produkte oder Dienstleistungen für Einzelpersonen in der EU anbieten oder deren Verhalten überwachen.
Anforderungen
Die Verordnung verpflichtet datenverarbeitende Unternehmen, geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit zu ergreifen. Dazu zählt auch das Management von Dritten in der Lieferkette. Im Hinblick auf den Artikel 28 DSGVO macht es Sinn, beauftragte Auftragsverarbeiter in der Lieferkette auf den ordnungsgemäßen Schutz personenbezogener Daten und die Einhaltung der Datenschutzgesetze zu prüfen. Nicht zuletzt auch, um im Fall der Fälle einen Nachweis liefern zu können. Gut zu wissen: Wer als Auftraggeber beweisen kann, dass er sich von der DSGVO-konformen Arbeitsweise eines Verarbeiters überzeugt hat, kann einer Haftung aus einem Verstoß durch den Auftragsverarbeiter häufig entgehen.
Gültigkeit: Seit 25. Mai 2018
Rechtsvorschrift
NIS 2 ist eine Richtlinie zur Cybersicherheit in der EU. Die Mitgliedsländer müssen die erforderlichen Maßnahmen zur Einhaltung der Richtlinie innerhalb einer Frist in nationales Recht umsetzen.
Ziel
NIS 2 zielt darauf ab, das Sicherheitsniveau in den EU Mitgliedstaaten zu harmonisieren und zu verbessern.
Betroffene Einrichtungen
Öffentliche und private Organisationen, die ihre Dienste in der EU erbringen. Unterscheidung in zwei Kategorien, aus denen sich unterschiedliche Verpflichtungen ergeben.
1) Besonders wichtige Einrichtungen · §28 (1)
Große Unternehmen der Sektoren: Energie, Transport/Verkehr, Finanzwesen, Gesundheit, Wasser/Abwasser, Digitale Infrastruktur, Weltraum sowie Sonderfälle unabhängig ihrer Größe.
2) Wichtige Einrichtungen · §28 (2)
Große und mittlere Unternehmen zahlreicher Sektoren.
Anforderungen
Einrichtungen, die unter die Vorgaben der NIS 2 Verordnung fallen, sind unter anderem verpflichtet, Maßnahmen zur Sicherung ihrer Lieferkette zu ergreifen. Im Umkehrschluss bedeutet das, sich auch vor Gefahren zu schützen, die aus anderen Teilen der Lieferkette kommen könnten. Betroffene Unternehmen sind gefordert, sich ihre Geschäftspartner- und Lieferantenbeziehungen genau anzuschauen und hinsichtlich der IT-Sicherheitsanforderungen zu überprüfen.
Gültigkeit:
Seit 16. Januar 2023 in Kraft und nun von den Mitgliedsstaaten in nationales Recht umzusetzen.
Das Gesetz liegt in Deutschland als Referentenentwurf NIS2UmsuCG (Juni 2024) vor und muss bis Oktober 2024 die Gesetzgebung auf Bundesebene durchlaufen. Die Beitragsinformationen sind Stand Juli 2024. Änderungen nicht ausgeschlossen. Es wird damit gerechnet, dass die Vorgabe im Frühjahr 2025 in Deutschland zur Anwendung kommt.
Rechtsvorschrift
DORA ist eine Verordnung über digitale operationale Resilienz im Finanzsektor. Sie in allen ihren Teilen verbindlich und gilt unmittelbar in allen Mitgliedsländern.
Ziel
DORA schafft einen einheitlichen Rahmen für ein umfassendes Cybersicherheits- und IKT-Risiko-Management im EU-Finanzsektor. Ziel der Verordnung ist es, die digitale Widerstandsfähigkeit und Sicherheit der in der EU-tätigen Finanzinstitute zu verbessern. Dies umfasst die Stärkung der Informations- und Kommunikationstechnologie (IKT) der Finanzunternehmen ebenso wie das Drittparteienrisikomanagement.
Betroffene Einrichtungen
DORA gilt für alle in der EU tätigen Finanzinstitute, darunter Banken, Zahlungsdienstleister, Wertpapierfirmen, Versicherungsgesellschaften, Handelsplätze und Anbieter von Datenübermittlungsdiensten. Darüber hinaus fallen unter die Regulierung Unternehmen, die Dienstleistungen für die Finanzindustrie bereitstellen, wie Softwareanbieter, Managed IT Services, Hardware-as-a-Service-Anbieter, Cloud-Computing-Dienstleister und Rechenzentren.
Anforderungen
Im Hinblick auf das Management des IKT-Drittparteirisiko sind die Finanzinstitute unter anderem gefordert, bereits vor Vertragsabschluss eine Risikoanalyse und Due-Diligence bei dem jeweiligen IKT-Drittdienstleister durchzuführen. Im Verlauf der Geschäftsbeziehung sind die Einhaltung der IT- und DSGVO-Compliance sowie die Wirksamkeit der Sicherheitsmaßnahmen kontinuierlich zu testen. Das Management des IKT-Drittparteirisikos wird von DORA in Kapitel 5 geregelt.
Gültigkeit:
DORA ist seit Januar 2023 mit einer Umsetzungsfrist von zwei Jahren in Kraft. Damit sind die Anforderungen ab Januar 2025 zu erfüllen.
Mehr zum Thema DORA Digital Operational Resilience Act
Rechtsvorschrift
Der Cyber Resilience Act (CRA) ist der Entwurf einer Verordnung. Sie gilt bei Inkrafttreten automatisch und in einheitlicher Weise in allen EU-Ländern.
Ziel:
Der Cyber Resilience Act ist eine neue EU-Vorgabe, die Hersteller und Händler dazu verpflichtet, digitale Produkte während ihres gesamten Lebenszyklus vor unbefugtem Zugriff und Manipulation zu schützen. Vorrangiges Ziel ist es, die Cybersicherheit in der EU durch die Schaffung eines standardisierten Rechtsrahmens für diese Produkte zu stärken.
Betroffene Einrichtungen
Alle in der EU aktiven Hersteller, Importeure und Händler von Hardware- und Softwareprodukten (Geräte, Lösungen und Komponenten) aus dem Verbraucher- oder dem Industriesektor.
Anforderungen:
Im Rahmen der neuen Vorschriften müssen Hersteller und Händler regelmäßige Risikobewertungen durchführen und detaillierte Unterlagen über die Sicherheitsmerkmale und Funktionen ihrer Produkte und Dienstleistungen führen. Es wird erwartet, dass etwa 90 Prozent der auf dem europäischen Markt erhältlichen Produkte in die Standardkategorie fallen.
Gültigkeit:
Die Verordnung ist noch nicht in Kraft getreten; die endgültige Entscheidung des EU Parlaments wird bis Juni 2024 erwartet, gefolgt von einer Übergangszeit von bis zu zwei Jahren.
LocateRisk unterstützt mit automatisierten IT-Risikoanalysen und digitalen Fragebögen bei der Erfüllung Ihrer Sorgfaltspflicht in der Lieferkette. Das sorgt für die notwendige Transparenz und beschleunigt Ihren Sicherheitsprozess.
Mehr zum Thema Lieferanten-Risikomanagement für komplexe Lieferketten – leicht gemacht
Erkennen und reduzieren Sie Ihre Cyberrisiken durch einen vergleichbaren und verständlichen Überblick Ihrer IT-Sicherheit. Lassen Sie sich von unseren Experten beraten und finden Sie heraus, wie LocateRisk Ihnen bei der Lösung Ihrer Cyberrisiken helfen kann.
Deutsch 
English 
Français