Goodpods logo
Goodpods

Anmelden

goodpods headphones icon

Um auf alle unsere Funktionen zuzugreifen

Öffne die Goodpods App
Close icon
WeTalkSecurity - der ESET Podcast - Die NIS2-Richtlinie und die Auswirkungen auf die Lieferkette | Folge 21

Die NIS2-Richtlinie und die Auswirkungen auf die Lieferkette | Folge 21

04/18/24 • 44 min

WeTalkSecurity - der ESET Podcast
Herausforderungen und Möglichkeiten für Unternehmen

Die NIS2-Richtlinie bringt auch neue Anforderungen an die Lieferkette mit sich – ein schwieriges Thema, schließlich ist der Begriff Lieferkette nicht in der Richtlinie definiert. Was kommt auf Unternehmen und ihre Zulieferer zu und wie können diese sich dafür wappnen? Diese und weitere Fragen bespricht Christian Lueg in der aktuellen Folge von WeTalkSecurity mit dem IT-Rechtsanwalt Stefan Sander.

Über den Gast Stefan Sander ist Fachanwalt für Informationstechnologierecht. Aufgrund seiner Doppelqualifikation – abgeschlossenes IT-Studium und Fachanwalt für IT-Recht in einer Person – ist Stefan deutschlandweit gefragter Ansprechpartner für rechtliche Themen rund um IT und Datenschutz. Seit 2015 hat er zusammen mit Rechtsanwalt Heiko Schöning die Kanzlei SDS Rechtsanwälte in Duisburg (https://sds.ruhr/).

Stefan Sander ist Autor des aktuellen ESET Whitepapers "NIS2 und die Lieferkette", welches das Thema des Podcasts im Detail beleuchtet. Außerdem ist er Co-Autor des Whitepapers "Stand der Technik in der IT-Sicherheit".

Was ist eigentlich die Supply Chain bzw. Lieferkette?

Die Supply Chain ist ein Teilbereich der Logistik, der sich mit dem Fluss von Waren oder Dienstleistungen vom Rohmateriallieferanten bis zum Endverbraucher befasst. Sie umfasst alle Prozesse, Aktivitäten, Ressourcen und Organisationen, die daran beteiligt sind, Produkte oder Dienstleistungen von ihrer Entstehung bis zu ihrer Auslieferung an den Kunden zu bewegen.

Im Unterschied zur klassischen Lieferkette ist der Begriff „Supply Chain“ weiter gefasst und beinhaltet auch Aspekte wie Informationsfluss, Finanzierung, Koordination und Zusammenarbeit zwischen den verschiedenen Partnern entlang der Kette – also die gesamte Versorgung.

Die NIS2-Richtlinie verknüpft ihre Pflichten nicht explizit mit der Zugehörigkeit eines Unternehmens zur Lieferkette, was einige überraschen mag. Unternehmen, insbesondere Managed Service Provider (MSPs), die IT-Dienstleistungen bereitstellen, sind im Anwendungsbereich der Richtlinie. Dies geschieht nicht aufgrund ihrer Position in der Lieferkette, sondern aufgrund einer spezifischen Regelung des Gesetzgebers für den MSP-Sektor.

Bin ich von NIS2 betroffen?

Im Wesentlichen gibt es zwei Hauptvoraussetzungen zu beachten. Erstens muss eine Wirtschaftstätigkeit in einen spezifischen Sektor fallen, wobei es irrelevant ist, ob es sich um eine Mutter-, Tochter- oder Schwestergesellschaft handelt, solange die Aktivität in einem regulierten Sektor stattfindet. Zweitens erwähnt der Gesetzgeber in Anhang 1 der Richtlinie den IT-Sektor als besonders kritisch, was bedeutet, dass Managed Service Provider in diesem Sektor reguliert werden, während andere Sektoren wie das produzierende Gewerbe weniger streng reguliert sind. Zusammengefasst bedeutet dies, dass die Betroffenheit von Unternehmen nicht nur auf deren Rolle in der Lieferkette basiert, sondern vielmehr darauf, ob ihre Aktivitäten in einen regulierten Sektor fallen.

Spannend wird es vor allem für den deutschen Mittelstand: Unternehmen, die zwischen 50 und 249 Mitarbeiter beschäftigen, gehören per definitionem dazu, alles was darüber ist, kann man als Großunternehmen bezeichnen. Es kommt aber ein weiteres Kriterium hinzu: Jahresumsatz und Jahresbilanzsumme. Unternehmen überschreiten den Schwellenwert, wenn sie beide Kriterien reißen oder nur eines davon, was dazu führt, dass sie nicht mehr als KMU gelten. Die Mitarbeiteranzahl ist ein hartes Kriterium, während für die wirtschaftlichen Kennzahlen sowohl Jahresumsatz als auch Jahresbilanzsumme betrachtet werden. Das Ziel ist es, eine faire Behandlung zu gewährleisten. Die EU hat dazu einen Leitfaden herausgebracht, an dem Unternehmen sich orientieren können.

Um kleine Unternehmen (d. h. mit weniger als 50 Mitarbeitern) zu fördern, fallen diese nicht unter die NIS2-Richtlinie, außer sie gehören zu einem Konzern oder einer Konzerngruppe – die Gesamtzahl der Mitarbeiter addiert sich hier aus allen Mitarbeitern aus allen Unternehmen der Gruppe zusammen. Wenn also das eigene Unternehmen nur 20 Mitarbeiter hat, die Muttergesellschaft aber 5000, zählen diese 5000 zu den eigenen hinzu – das Unternehmen fällt somit unter NIS2 (bei einem Beteiligungsverhältnis von über 50 Prozent). Komplizierter wird es bei Partnerbeteiligungen, also Beteiligungen von 25 bis 50 Prozent. Entsprechend dieser Beteiligungsquote werden Kennzahlen wie Mitarbeiteranzahl und wirtschaftliche Zahlen mit zugerechnet.

Was bedeutet das...

plus icon
bookmark
Herausforderungen und Möglichkeiten für Unternehmen

Die NIS2-Richtlinie bringt auch neue Anforderungen an die Lieferkette mit sich – ein schwieriges Thema, schließlich ist der Begriff Lieferkette nicht in der Richtlinie definiert. Was kommt auf Unternehmen und ihre Zulieferer zu und wie können diese sich dafür wappnen? Diese und weitere Fragen bespricht Christian Lueg in der aktuellen Folge von WeTalkSecurity mit dem IT-Rechtsanwalt Stefan Sander.

Über den Gast Stefan Sander ist Fachanwalt für Informationstechnologierecht. Aufgrund seiner Doppelqualifikation – abgeschlossenes IT-Studium und Fachanwalt für IT-Recht in einer Person – ist Stefan deutschlandweit gefragter Ansprechpartner für rechtliche Themen rund um IT und Datenschutz. Seit 2015 hat er zusammen mit Rechtsanwalt Heiko Schöning die Kanzlei SDS Rechtsanwälte in Duisburg (https://sds.ruhr/).

Stefan Sander ist Autor des aktuellen ESET Whitepapers "NIS2 und die Lieferkette", welches das Thema des Podcasts im Detail beleuchtet. Außerdem ist er Co-Autor des Whitepapers "Stand der Technik in der IT-Sicherheit".

Was ist eigentlich die Supply Chain bzw. Lieferkette?

Die Supply Chain ist ein Teilbereich der Logistik, der sich mit dem Fluss von Waren oder Dienstleistungen vom Rohmateriallieferanten bis zum Endverbraucher befasst. Sie umfasst alle Prozesse, Aktivitäten, Ressourcen und Organisationen, die daran beteiligt sind, Produkte oder Dienstleistungen von ihrer Entstehung bis zu ihrer Auslieferung an den Kunden zu bewegen.

Im Unterschied zur klassischen Lieferkette ist der Begriff „Supply Chain“ weiter gefasst und beinhaltet auch Aspekte wie Informationsfluss, Finanzierung, Koordination und Zusammenarbeit zwischen den verschiedenen Partnern entlang der Kette – also die gesamte Versorgung.

Die NIS2-Richtlinie verknüpft ihre Pflichten nicht explizit mit der Zugehörigkeit eines Unternehmens zur Lieferkette, was einige überraschen mag. Unternehmen, insbesondere Managed Service Provider (MSPs), die IT-Dienstleistungen bereitstellen, sind im Anwendungsbereich der Richtlinie. Dies geschieht nicht aufgrund ihrer Position in der Lieferkette, sondern aufgrund einer spezifischen Regelung des Gesetzgebers für den MSP-Sektor.

Bin ich von NIS2 betroffen?

Im Wesentlichen gibt es zwei Hauptvoraussetzungen zu beachten. Erstens muss eine Wirtschaftstätigkeit in einen spezifischen Sektor fallen, wobei es irrelevant ist, ob es sich um eine Mutter-, Tochter- oder Schwestergesellschaft handelt, solange die Aktivität in einem regulierten Sektor stattfindet. Zweitens erwähnt der Gesetzgeber in Anhang 1 der Richtlinie den IT-Sektor als besonders kritisch, was bedeutet, dass Managed Service Provider in diesem Sektor reguliert werden, während andere Sektoren wie das produzierende Gewerbe weniger streng reguliert sind. Zusammengefasst bedeutet dies, dass die Betroffenheit von Unternehmen nicht nur auf deren Rolle in der Lieferkette basiert, sondern vielmehr darauf, ob ihre Aktivitäten in einen regulierten Sektor fallen.

Spannend wird es vor allem für den deutschen Mittelstand: Unternehmen, die zwischen 50 und 249 Mitarbeiter beschäftigen, gehören per definitionem dazu, alles was darüber ist, kann man als Großunternehmen bezeichnen. Es kommt aber ein weiteres Kriterium hinzu: Jahresumsatz und Jahresbilanzsumme. Unternehmen überschreiten den Schwellenwert, wenn sie beide Kriterien reißen oder nur eines davon, was dazu führt, dass sie nicht mehr als KMU gelten. Die Mitarbeiteranzahl ist ein hartes Kriterium, während für die wirtschaftlichen Kennzahlen sowohl Jahresumsatz als auch Jahresbilanzsumme betrachtet werden. Das Ziel ist es, eine faire Behandlung zu gewährleisten. Die EU hat dazu einen Leitfaden herausgebracht, an dem Unternehmen sich orientieren können.

Um kleine Unternehmen (d. h. mit weniger als 50 Mitarbeitern) zu fördern, fallen diese nicht unter die NIS2-Richtlinie, außer sie gehören zu einem Konzern oder einer Konzerngruppe – die Gesamtzahl der Mitarbeiter addiert sich hier aus allen Mitarbeitern aus allen Unternehmen der Gruppe zusammen. Wenn also das eigene Unternehmen nur 20 Mitarbeiter hat, die Muttergesellschaft aber 5000, zählen diese 5000 zu den eigenen hinzu – das Unternehmen fällt somit unter NIS2 (bei einem Beteiligungsverhältnis von über 50 Prozent). Komplizierter wird es bei Partnerbeteiligungen, also Beteiligungen von 25 bis 50 Prozent. Entsprechend dieser Beteiligungsquote werden Kennzahlen wie Mitarbeiteranzahl und wirtschaftliche Zahlen mit zugerechnet.

Was bedeutet das...

Vorherige Episode

undefined - NIS2: Was Geschäftsführer und CEOs jetzt umtreiben sollte | Folge 20

NIS2: Was Geschäftsführer und CEOs jetzt umtreiben sollte | Folge 20

Bei Verstoß Gefängnis? IT-Sicherheit muss bei Führungskräften Priorität haben.

Mit der NIS2-Richtlinie müssen Geschäftsführer und CEOs betroffener Unternehmen IT-Sicherheit auf der Agenda eine höhere Priorität einräumen. Was müssen diese beachten? Wie sieht es mit der Haftung aus und welche Strafen drohen? Diese und weitere Fragen bespricht Christian Lueg in der aktuellen Folge von WeTalkSecurity mit dem IT-Rechtsanwalt Stefan Sander.

Über den Gast Stefan Sander ist „Fachanwalt für Informationstechnologierecht“. Aufgrund seiner Doppelqualifikation – abgeschlossenes IT-Studium und Fachanwalt für IT-Recht in einer Person – ist Stefan deutschlandweit gefragter Ansprechpartner für rechtliche Themen rund um IT und Datenschutz. Seit 2015 hat er zusammen mit Rechtsanwalt Heiko Schöning die Kanzlei SDS Rechtsanwälte in Duisburg (https://sds.ruhr/).

In Zusammenarbeit mit Stefan Sander hat ESET ein Whitepaper zum Thema "Stand der Technik in der IT-Sicherheit" herausgebracht. Das Paper gibt es hier zum kostenlosen Download: https://www.eset.com/de/stand-der-technik/

Generell ist die NIS2-Richtlinie eine Richtlinie der Europäischen Union. Die Richtlinie ist eine Art von Gesetz. Im Gegensatz zu einer Verordnung ist eine Richtlinie ein Gesetz, was sich an den Nationalstaat richtet. Deutschland hat in diesem Fall die Aufgabe ein nationales Gesetz zu erlassen, was im Einklang mit dieser Richtlinie steht. Es geht bei der NIS2-Richtlinie thematisch um die Vereinheitlichung und Erhöhung des Sicherheitsniveaus bei Netzwerk- und Informationstechnik. Die Ziffer 2 verrät, dass es bereits eine NIS1-Richtlinie gab. Der Gesetzgeber will in diesem Fall die Gesetzgebung komplett überarbeiten und reagiert auf die fortschreitende Digitalisierung. Aus dem kommenden deutschen Gesetz ergibt sich dann die Vorgaben für Unternehmen und andere Teilnehmer des Rechtsverkehrs. Die Gesetzgeber (Bund und Länder) haben aber die Option über die Richtlinie hinauszugehen und höhere Standards zu definieren. Das bedeutet, dass die Richtlinie lediglich einen gemeinsamen Nenner innerhalb der Europäischen Union bildet. Gerade beim Thema Haftung sind die bisher bekannten Vorlagen deutlich schärfer gefasst. Mitte Oktober 2024 soll diese Richtlinie in Kraft treten und die Vorschriften sind anzuwenden. Eine Übergangsphase wird es nicht geben. Bisher hat das förmliche Gesetzgebungsverfahren noch nicht begonnen. Bisher sind nur Referentenentwürfe bekannt, was aber bei weitem noch nicht dieses Verfahren berührt. Stefan Sander ist guter Dinge, dass das Gesetz bis Oktober verabschiedet wird und so klare Vorgaben für alle Betroffenen definiert. Unternehmen können derzeit noch nicht endgültig bestimmen, ob sie betroffen sind. Dennoch lässt die NIS2-Richtlinie erste Schlüsse zu, ob man betroffen ist. Hierbei sind bereits Sektoren definiert. Von der Europäischen Kommission gibt es einen Benutzerleitfaden für eine KMU-Empfehlung. Diesen gibt es hier: https://www.bmwk.de/Redaktion/DE/Textsammlungen/Mittelstand/europaeische-mittelstandspolitik.html#:~:text=Nach%20der%20Empfehlung%20der%20Europ%C3%A4ischen,Jahresumsatz%20von%20h%C3%B6chstens%2050%20Mio. Der Benutzerleitfaden ist in deutscher Sprache hier erhältlich: https://ec.europa.eu/docsroom/documents/42921/attachments/1/translations/de/renditions/native Wichtig ist es, dass dort nicht nur Einzelunternehmen beachtet werden, sondern auch Tochterfirmen. Spannend wird es, wie die Lieferkette in diesen Prozess eingebunden wird. Gerade, wenn NIS regulierte Unternehmen Systeme haben, die mit anderen Betrieben verbunden sind. Daher wird das Thema technische Sicherheit Einzug halten in die Vertragswerke mit der Lieferkette. Aber wie sieht es mit dem Management eines Betriebes aus? Bereits heute gibt es eine Haftungsgrundlage für Geschäftsführer beispielsweise bei einer GmbH, auch bei der IT-Sicherheit. Mit NIS2 wird die technische Grundlage für die IT-Sicherheit klar definiert. Vorstände und Geschäftsführer müssen Pflichten beachten und diesen nachgehen. Im Referentenentwurf wird der interne Haftungsanspruch gegen Geschäftsführer härter ausgelegt. Es darf dann nicht mehr zu Vergleichen kommen, d.h. Regressansprüche bei Schäden durch Cyberangriffe können nicht mehr über einen Kompromiss geregelt werden, sondern müssen vor Gericht gehen. Stefan geht davon aus, dass diese zu einer deutlichen Mehrbelastung der Gerichte führen wird. Auch Versicherer werden Schäden dann erst regulieren, wenn ein klarer Verursacher feststeht. Es bleibt hier abzuwarten wie der Gesetzgeber das final ...

Nächste Episode

undefined - NIS2: Wie ist der aktuelle Stand? | Folge 22

NIS2: Wie ist der aktuelle Stand? | Folge 22

NIS2 ist wichtig zur Stärkung der Cybersicherheit, aber wieso lahmt die Umsetzung?

Über den Gast

Der studierte Betriebswirt Maik Wetzel verfügt über mehr als 30 Jahre Berufserfahrung in der IT Industrie. Seit 2009 liegt sein beruflicher Fokus im Bereich IT-Sicherheit. Bei ESET verantwortet Maik Wetzel seit 2020 die strategische Geschäftsentwicklung in der DACH-Region. In dieser Rolle fokussiert er sich auf die Identifikation und Erschließung neuer Geschäftsfelder und vertikaler Märkte sowie auf die Entwicklungen nachhaltiger, strategischer Partnerschaften für ESET in der DACH-Region. Er vertritt ESET in den Gremien wichtiger Verbände und tritt regelmäßig als Speaker auf Konferenzen und als Spezialist und Experte in Panels oder Roundtables in Erscheinung.

Der aktuelle Stand der NIS2-Richtlinie

Christian Lueg und Maik Wetzel beleuchten in Folge 22 von WeTalkSecurity die aktuellen Verzögerungen und Herausforderungen bei der Umsetzung der NIS2-Richtlinie in Deutschland. Maik Wetzel betont, dass trotz der geplanten Umsetzung bis zum 17. Oktober 2024 noch kein offizieller Gesetzentwurf vorliegt. Es gab bisher mehrere geleakte Referentenentwürfe, aber interne Schwierigkeiten innerhalb der Bundesregierung verzögern den Prozess erheblich. Es besteht auch Uneinigkeit über die finanziellen Auswirkungen und den erforderlichen Personalaufwand für die Umsetzung.

Was ist mit der kommunalen Ebene?

Ein weiteres Thema ist die Auswirkung auf die kommunale Ebene. Einige Länder erwägen eigene Landesgesetze oder Verordnungen, um die Mindeststandards auf kommunaler Ebene umzusetzen. Dies könnte zu einem Flickenteppich unterschiedlicher Anforderungen führen. Maik Wetzel betont die Dringlichkeit, Cybersicherheit in Deutschland auf allen Ebenen zu stärken, insbesondere auf kommunaler Ebene, wo die Auswirkungen von Cyberangriffen direkte Konsequenzen für Bürger und Unternehmen haben können.

Ist der Umsetzungstermin zu halten?

Die Frage, ob die Bundesregierung die Richtlinie bis zum 17. Oktober umsetzen wird, bleibt nach jetzigem Stand aber offen. Es ist jedoch klar, dass Unternehmen sich bereits jetzt auf die Umsetzung vorbereiten sollten. Denn diese macht nicht nur aufgrund der gesetzlichen Anforderungen Sinn, sondern ist schon alleine aus Selbstschutz wichtig. Zudem ist die Steigerung der eigenen Cybersicherheit bereits zum Abschluss von Cyberversicherungen Voraussetzung. Wer also bereits heute mit der Umsetzung beginnt, der minimiert zukünftige Risiken.

Mehr Informationen zur Umsetzung der NIS2-Richtlinie

Auf unserer Schwerpunktseite zu NIS2 stehen Ihnen viele weitere Informationen zur Umsetzung der Richtlinie zur Verfügung.

  • Erfahren Sie welche Branchen und welche Unternehmen von der Richtlinie betroffen sind.
  • Lesen Sie unsere Whitepaper zur den IT-Security-Anforderungen für betroffene Organisationen und deren Partner und Dienstleister in der Lieferkette.
  • Bringen Sie sich mit unseren NIS2-Webinaren auf den neuesten Stand
  • Aufzählungs-TextKontaktieren Sie unsere NIS2-Experten

Zur NIS2-Schwerpunktseite von ESET: https://www.eset.com/de/nis2/

Wenn dir diese Episode gefällt, wirst du lieben
ITSPmagazine Podcasts

ITSPmagazine Podcasts

Joomla Beat Podcast | Web design, development, online marketing, social media & website management

Joomla Beat Podcast | Web design, development, online marketing, social media & website management

Beetle Moment Marketing Podcast

Beetle Moment Marketing Podcast

The Art of Product

The Art of Product

Channels with Peter Kafka

Channels with Peter Kafka

Kommentare zur Episode

Badge generieren

Erhalte ein Badge für deine Webseite, das auf diese episode

Typ & Größe auswählen
Open dropdown icon
share badge image

<a href="https://goodpods.com/podcasts/wetalksecurity-der-eset-podcast-552598/die-nis2-richtlinie-und-die-auswirkungen-auf-die-lieferkette-folge-21-70723678"> <img src="https://storage.googleapis.com/goodpods-images-bucket/badges/generic-badge-1.svg" alt="listen to die nis2-richtlinie und die auswirkungen auf die lieferkette | folge 21 on goodpods" style="width: 225px" /> </a>

Kopieren