Informationssicherheit in der Lieferantenkette
Viele Unternehmen werden es bemerkt haben, die Anfragen Richtung Informationssicherheit und der Drang zu einer Zertifizierung haben zugenommen. In diesem Beitrag nehmen wir den Grund der Anforderungen mal unter die Lupe.
Gesetzliche Anforderungen an die Informationssicherheit
Gesetz zum Schutz der kritischen Infrastruktur (KRITIS V)
Angefangen hat es mit dem Gesetz zum Schutz der kritischen Infrastrukturen. Die einzelnen Sektoren
- Versorgung (Energie, Elektrizität, Gas, Mineralöl);
- Wasser (Öffentliche Wasserversorgung und Abwasserbeseitigung);
- Ernährung (Ernährungswirtschaft, Lebensmittelhandel);
- Informationstechnik und Telekommunikation;
- Gesundheit (Medizinische Versorgung, Arzneimittel, Impfstoffe, Labore);
- Finanz- und Versicherungswesen (Kreditinstitute, Börsen, Versicherungen, Finanzdienstleister);
- Transport und Verkehr (Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik).
Ab einer gewissen Größe werden diese Unternehmen seit 2016 zur Einhaltung der Informationssicherheit nach Branchenstandard B3S, IT-Grundschutz oder ISO 27001 gezwungen.
Veränderung des §75 SGB V
Seit 2022 sind alle Krankenhäuser gezwungen, die Informationssicherheit sichert zu stellen. Auch hier ist es den Krankenhäusern freigestellt, wie Sie dies anstellen. Entweder B3S, IT-Grundschutz oder ISO 27001.
DORA
DORA (Digital Operational Resilience Act) ist eine EU-Verordnung, die die digitale Widerstandsfähigkeit des Finanzsektors stärken soll. Sie trat am 16. Januar 2023 in Kraft und ist ab dem 17. Januar 2025 umzusetzen. DORA zielt darauf ab, den Finanzsektor vor Cyberbedrohungen und IKT-Vorfällen zu schützen, indem sie einen einheitlichen Rahmen für das Risikomanagement und die operative Widerstandsfähigkeit schafft.
Umsetzung der NIS 2
Die NIS-2-Richtlinie (Directive (EU) 2022/2555) ist eine EU-weite Richtlinie zur Netzwerk- und Informationssicherheit, die das Cybersicherheitsniveau in der EU stärken soll. Sie erweitert die Anforderungen und Sanktionen im Vergleich zur ursprünglichen NIS-Richtlinie (2016) und betrifft nicht nur kritische Infrastrukturen, sondern auch andere Sektoren und Unternehmen. Die Richtlinie differenziert zwischen „wesentlichen Einrichtungen“ (größere Unternehmen und kritische Infrastrukturen) und „wichtigen Einrichtungen“ (kleinere Unternehmen) und legt verschiedene Sicherheitsmaßnahmen und Meldepflichten fest. Diese Richtlinie wird in Deutschland sehr wahrscheinlich im Jahr 2025 umgesetzt und ist verpflichtend einzuhalten.
Weitergabe in die Lieferantenkette
Da die betroffenen Unternehmen nicht alle Prozesse selbst lösen können, haben Sie Bereiche an Lieferanten ausgelagert. Diese Auslagerung ist nicht ohne Risiko und muss überwacht werden. Wenn in der Lieferantenkette ein Informationssicherheitsvorfall aufkommt, so muss der Auftraggeber diesen ggf. auch mit betrachten und auch melden. Um das Risiko zu mindern, verpflichten die Auftraggeber Ihre Kunden zur Einhaltung der Informationssicherheit und verlangen teilweise eine Zertifizierung. Je nach Kritikalität reicht die Zertifizierung nicht aus, wird zusätzlich durch ein Lieferantenaudit geprüft.
Fazit
Wenn Sie Kunden haben, aus den Sektoren der kritischen Infrastruktur oder von der NIS 2 betroffen sind, werden Sie eine Zertifizierung bzw. über einen Nachweis eines ISMS nach ISO 27001 nachweisen müssen.
Wir bieten für die folgenden Managementsysteme Dienstleistungen im Bereich der Beratung und Auditierung an.
Informationssicherheit: → ISO 27001, TISAX
Qualitätsmanagement: → ISO 9001
Compliance Management: → ISO 37301
Datenschutz: → DSGVO, ISO 27701
Business Continuity Management: → ISO 22301
IT-Service Management: → ISO 20000-1
Unser Partner ↗ IT-Richtlinien.de bietet Vorlagen für Managementsysteme an.
Diese Vorlagen sind für die Zertifizierung geeignet.