NIS2 als Chance: Wie können Unternehmen die EU-Richtlinie für sich nutzen?
In diesem Gastbeitrag von Philipp Garra aus unserem comp/lex Netzwerk erfahren Sie, wie Sie die NIS2-Richtlinie zu Ihrem Vorteil gereichen lassen, und welche Prozesse Sie dabei optimal unterstützen. Herr Garra ist studierter Betriebswirt und arbeitet als freiberuflicher Berater in München. Er ist darauf spezialisiert, Unternehmen dabei zu unterstützen, Transparenz, Sicherheit und Kontrolle in ihre IT-Kosten zu bringen. Wir wünschen viel Spaß beim Lesen!
Am 17. Oktober 2024 tritt die NIS2-Richtlinie in Kraft und erweitert die
Anforderungen an die Cybersicherheit für fast 30.000 Unternehmen erheblich. Das sorgt in vielen Unternehmen für Unsicherheiten ob der Umsetzung der NIS2-Richtlinie. Wir zeigen Ihnen in diesem Beitrag die Vorteile von Software-Asset-Management (SAM) und Contract-Lifecycle-Management (CLM) und wieso wir der Meinung sind, dass dadurch NIS2 zur Chance werden kann. Eine inhaltliche Übersicht und juristische Einschätzung zu NIS2 haben wir Ihnen hier zusammengefasst.
Wen betrifft NIS2?
Neben den Betreiber:innen von kritischer Infrastruktur werden nun Unternehmen aus insgesamt 18 Industriesektoren zur Einhaltung der verschärften Sicherheitsmaßnahmen verpflichtet – darunter Unternehmen aus dem Finanz-/Versicherungswesen, Hersteller:innen von Lebensmitteln und Anbieter:innen von Informationstechnik und Telekommunikation.
Die strengeren Meldepflichten und der Aufbau eines integrierten Risikomanagement werden oftmals als bürokratische, finanzielle und organisatorische Belastung empfunden. Sie lösen in vielen Führungsetagen ähnliche Sorgen aus wie 2018 schon die Datenschutzgrundverordnung (DSGVO): Kann das eigene Fachpersonal die hohen Anforderungen von NIS2 umsetzen? Wie hoch liegen die Kosten? Müssen die eigenen Digitalisierungsinitiativen revidiert und angepasst werden?
Welche Risiken und Vorteile birgt NIS2?
Denn auch wenn für die sogenannten wichtigen und besonders wichtigen Unternehmen nur eine anlassbezogen beziehungsweise risikobasierte Überprüfung der Umsetzung der Richtlinie vorgesehen ist – und dies auch erst ab 2027 – sind bei Nichteinhaltung empfindliche Strafen vorgesehen. So führt NIS2 neben Bußgeldern, die bis zu zwei Prozent des weltweiten Jahresumsatzes reichen, auch die persönliche Geschäftsführungshaftung ein. Entsprechend scheint Wegducken in diesem Fall keine sinnvolle Herangehensweise zu sein.
Dabei ist es für Unternehmen durchaus möglich, die Umsetzung der Richtlinie als strategische Initiative zu begreifen. NIS2 kann als Antrieb für transparente und letztlich auch kostenoptimierte IT-Prozesse verstanden werden. Neben der Einführung automatisierter Compliance-Plattformen lässt insbesondere der Auf- und Ausbau eines fachgerechten Software-Asset-Managements in Verbindung mit einem wohlstrukturierten Vertragsmanagement einen Großteil der Anforderungen von NIS2 kostenneutral umsetzen.
NIS2 und Software-Asset-Management – die perfekte Synergie?
Die Kernanforderungen der NIS2-Richtlinie – wie die Meldung von Vorfällen innerhalb 72h oder die Bewertung von Risiken und die Durchführung von Sicherheitsupdates – setzen vollständige Transparenz und Kontrolle über IT-Assets in Unternehmen voraus. Hier setzt Software Asset Management an, indem es eine ganzheitliche Sicht auf die eingesetzte Software und deren Nutzung und Einhaltung von Lizenzvorschriften schafft.
Es handelt sich um einen Prozess, der den gesamten Lebenszyklus von Software in einem Unternehmen aufgreift – von der Beschaffung, über die Nutzung und Optimierung bis zur Ausmusterung. Im Rahmen von NIS2 wird entsprechend sichergestellt, dass alle eingesetzten Softwarelösungen – vom eigenen Laptop, über das Rechenzentrum bis in die Cloud – den Sicherheitsstandards entsprechend und auf dem neuesten Stand gehalten werden. Für NIS2 wie Software-Asset-Management gilt: Man kann nur sichern, was man auch kontrolliert.
Zentral sind an dieser Stelle drei Aspekte, mit denen Unternehmen durch Software-Asset-Management, den Anforderungen von NIS2 gerecht werden:
1 Sicherheitsrisiken minimieren: Nicht unterstützte oder veraltete Software ist eine der häufigsten Schwachstellen, die von Angreifer:innen ausgenutzt wird. Mit SAM lässt sich sicherstellen, dass alle Softwarelösungen regelmäßig gepatcht werden und den Sicherheitsanforderungen entsprechen.
2. Kostenkontrolle und Compliance sicherstellen: SAM hilft nicht nur bei der Lizenzverwaltung, sondern sorgt auch dafür, dass Unternehmen nur die Lizenzen nutzen, die tatsächlich notwendig sind. Das reduziert Kosten und minimiert Risiken von Überlizenzierung oder Nichteinhaltung von Lizenzverträgen.
3. Vorfallreaktion beschleunigen: Im Fall eines Cybersicherheitsvorfalls müssen Unternehmen gemäß NIS2 schnell reagieren. SAM bietet eine zentrale Übersicht über alle eingesetzten Softwarelösungen, so können Verantwortliche schnell und präzise handeln.
Trotz der vielen Synergien, die sich aus der Integration von Software-Asset-Management und NIS2 ergeben, gibt es auch klare Abgrenzungen. Der Fokus des Software-Asset-Managements liegt auf der Transparenz, Verwaltung und Compliance von Software. NIS2 Aspekte, wie der Aufbau von Krisen- und Notfallmanagement, können zwar auf SAM aufbauen, gehen aber deutlich über die Basiskompetenzen in den internationalen Standards hinaus (ISO 19770). Auch Schulungen beziehungsweise die geforderte Sensibilisierung der Geschäftsführung für sicherheitsrelevante Themen sind nicht vorgesehen.
Contract Lifecycle Management (CLM) als weiterführender Baustein?
Eine ähnlich hinreichende Betrachtungsweise fällt damit auch dem Vertragsmanagement zu. Während SAM die Kontrolle über die technischen Ressourcen eines Unternehmens sicherstellt, geht Contract Lifecycle Management (CLM) einen Schritt weiter und sorgt dafür, dass vertragliche Verpflichtungen gemanagt werden. So stellt die NIS2-Richtlinie Anforderungen an Sicherheitsmaßnahmen, die von Partner:innen und Dienstleister:innen eingehalten werden müssen – die an dieser Stelle abgedeckt werden können.
Eine der bewährten Methoden im IT-Vertragsmanagement ist die Implementierung robuster Protokolle zum Risikomanagement von Lieferant:innen während der Beschaffungsphase. So können Unternehmen sicherstellen, dass in Verträgen die erforderlichen Sicherheitsmaßnahmen abgedeckt sind und die Erwartungen an Datenschutz und Vorfallsberichterstattung dargelegt werden. Dazu gehört exemplarisch, dass Lieferant:innen zu regelmäßigen Audits verpflichtet werden und Zertifizierungen nachweisen müssen (ISO27001, NIST, PCI DSS etc.).
Contract Lifecycle Management umfasst alle Phasen des Vertragsprozesses – von der Verhandlung bis zur Terminierung. Durch die Einbindung von CLM in den NIS2-Compliance-Prozess können Unternehmen sicherstellen, dass:
1. Verträge auf dem neuesten Stand der Sicherheitsanforderungen sind: Durch regelmäßige Überprüfungen und Anpassungen von Verträgen kann sichergestellt werden, dass alle Lieferant:innen und Dienstleister:innen verpflichtet sind, die neuesten Sicherheitsstandards einzuhalten. Diese Standards sollten explizit in den Verträgen festgelegt und regelmäßig aktualisiert werden, um den Anforderungen der NIS2-Richtlinie gerecht zu werden.
2. Audit- und Nachweispflichten erfüllt werden: Verträge sollten nicht nur Anforderungen definieren, sondern auch klare Regelungen für Audits und Sicherheitsnachweise enthalten. So wird gewährleistet, dass Dienstleister:innen und Partner:innen regelmäßige Überprüfungen ihrer Sicherheitsmaßnahmen durchführen und die Ergebnisse an das Unternehmen kommunizieren.
3. Risikomanagement gewährleistet wird: Durch detaillierte Vertragsklauseln, die Sicherheitsmaßnahmen, Verantwortlichkeiten und Reaktionspläne im Falle von Sicherheitsverletzungen festlegen, können Unternehmen sicherstellen, dass sie im Ernstfall gut vorbereitet sind.
Gerade die Implementierung solcher vertraglichen Regelungen hilft dabei, Sicherheitslücken in der Lieferkette zu schließen und die Verantwortlichkeit aller Beteiligten klar zu regeln. Durch die Implementierung automatisierter CLM-Tools können Vertragsklauseln zur Cybersicherheit überwacht und nachverfolgt werden, was Unternehmen hilft, jederzeit auditbereit zu sein.
Fazit
Die Anforderungen der NIS2-Richtlinie sind komplex und bringen für viele Unternehmen eine erhebliche bürokratische Last mit sich. Doch Unternehmen, die bereit sind, proaktiv auf diese Anforderungen zu reagieren, können daraus einen Vorteil ziehen. Die Einführung eines integrierten Software-Asset-Managements und eines Contract-Lifecycle-Managements ermöglicht, die Cybersicherheit auf ein neues Niveau zu heben und gleichzeitig Kosten zu senken – auch wenn sie sicherlich nicht alle Anforderungen abdecken. Vorteile sind:
1. Transparenz: Nur wenn Unternehmen sowohl über ihre technischen Assets als auch über die vertraglichen Verpflichtungen im Bilde sind, können sie die Risiken umfassend managen. SAM und CLM schaffen hier die notwendige Grundlage, um jederzeit einen Überblick über alle eingesetzten IT-Systeme und die zugehörigen Sicherheitsanforderungen zu haben.
2.Effiziente Nutzung von Ressourcen: Ein zentrales Problem, das bei der Umsetzung von NIS2 häufig genannt wird, ist der Ressourcenaufwand, der für die Einhaltung der Richtlinie erforderlich ist. Durch die Implementierung eines strukturierten SAM- und CLM-Systems lassen sich die Prozesse automatisieren, was den Aufwand reduziert und gleichzeitig die Einhaltung der Anforderungen sicherstellt.
3. Proaktives Risikomanagement: Mit der Einführung von NIS2 wird der Risikomanagementprozess auf eine neue Stufe gehoben. Die Verpflichtung, Sicherheitsmaßnahmen zu dokumentieren und zu überprüfen, sollte nicht als Pflicht angesehen werden, sondern als Möglichkeit frühzeitig Schwachstellen zu identifizieren und diese gezielt zu adressieren. SAM und CLM unterstützen diesen Prozess, indem sie Transparenz schaffen und helfen, Risiken effektiv zu managen.
Das Ergebnis ist nicht nur eine bessere Vorbereitung auf die Herausforderungen der Cybersicherheit, sondern auch eine nachhaltige Verbesserung der betrieblichen Effizienz – eine Win-win-Situation, die die ursprüngliche Bürokratielast von NIS2 in eine sinnvolle unternehmerische Chance verwandelt.
Haben Sie Fragen zum Thema NIS2? Nehmen Sie jederzeit gerne Kontakt zu uns auf oder wenden Sie sich direkt an Philipp Garra.
Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren? Das geht ganz einfach:
- Abonnieren Sie unsere Tipps und Tricks.
- Lesen Sie unsere kostenlosen E-Books.
- Informieren Sie sich über unsere Leistungen.
- Werfen Sie einen Blick in unseren Wegweiser. Darin finden Sie alle unsere Blog-Beiträge thematisch geordnet.
- Haben Sie noch ein anderes Anliegen? Nehmen Sie jederzeit gerne Kontakt zu uns auf.
Ihre Ansprechperson
Dr. Jochen Notholt
Lesen Sie hier weiter:
E-Book: Der richtige Datenschutzbeauftragte für Ihr IT-Unternehmen
Viele IT-Unternehmen wissen nicht, welcher der richtige Datenschutzbeauftragte für sie ist. In diesem E-Book stellen wir alle Vor- und Nachteile bei der Wahl Ihres Datenschutzbeauftragten übersichtlich gegenüber. So finden Sie den richtigen Datenschutzbeauftragten für Ihr IT-Unternehmen.
Ist Ihr IT-Unternehmen rechtlich professionell aufgestellt?
Viele IT-Unternehmen vernachlässigen ihre rechtliche Aufstellung. Wie es rechtlich um Ihr Unternehmen steht, können Sie mit unserer IT-Recht-Checkliste ganz einfach selbst überprüfen – damit Sie sich entspannt auf Ihre Geschäfte konzentrieren können.
Unsere Top-Artikel:
- Preisanpassungsklauseln wirksam vereinbaren
- Konfliktsituationen: Fünf Tipps zum richtigen Verhalten
- Regelungen zur Freistellung bei Verletzung von Rechten Dritter in IT-Verträgen – was soll das?
- IT-Verträge in der Krise, Teil 2: Was tun, wenn der Kunde den Vertrag beenden will?
- AGB oder Nutzungsbedingungen – das brauchen Sie wirklich