Aufgeatmet hat möglicherweise der eine oder andere Geschäftsführer, CEO oder Vorstand, dass das Damoklesschwert der NIS2 Regulierung an seinem Unternehmen vorbei gegangen ist. Es ist nun allerdings ein Irrglaube, dass das Thema Unternehmen, die selbst nicht unter die Regulierung fallen, nicht betrifft. Und das nicht nur, weil Informationssicherheit generell im Interesse von Unternehmen liegt, sondern auch direkt, in den Folgen des BSIG.
§ 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen
enthält in Absatz 2 die Formulierung:
“ Die Maßnahmen (zur Sicherheit der Informationsverarbeitung, d. Verf.) müssen zumindest Folgendes umfassen: …
4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern, …
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen …“
Das BSIG betrifft inhaltlich also nicht nur die einbezogenen Unternehmen, sondern auch sämtliche Unternehmen in den Lieferketten der Unternehmen, die nach BSIG reguliert sind. BSI regulierte Unternehmen müssen künftig den Nachweis führen, dass die Sicherheit in ihrer Lieferkette dem aktuellen Stand der Technik entsprechen.
Zulieferer und Dienstleister BSIG regulierter Unternehmen sollten den Nachweis erbringen können, dass sie ein Informations-Sicherheits-Management-System (ISMS) nach den Anforderungen des BSIG betreiben. Dies kann entweder durch eine entsprechende, nicht gerade günstige Zertifizierung, oder aber mindestens durch den Aufbau und Dokumentation eines stringenten ISMS geschehen. BSIG regulierte Unternehmen werden künftig wohl derartige Nachweise von Ihren Lieferanten und Dienstleistern verlangen.
Ein Informations-Sicherheits-Management-System ist Pflicht
Wenn Sie bislang noch nicht über ein Informations-Sicherheits-Managementsystem (ISMS) verfügen, sollten Sie sich vielleicht unser ISMS-Tool einmal genauer ansehen:
https://information-security.prisecon.de/isms-tool/
Verletzungen der Gewährleistungsziele der Informationssicherheit sind oft auch zugleich DSGVO-Verstöße
Abgesehen davon, dass Informationssicherheit ohnehin im Interesse eines jeden Unternehmens liegt, stellt in den meisten Fällen eine Verletzung der Gewährleistungsziele der Datensicherheit auch einen Verstoß gegen die Regelungen der DSGVO, speziell Art. 32 in Verbindung mit Art. 24 dar. Ein weiterer Grund mehr, sich mit dem Thema Informationssicherheit etwas intensiver auseinander zu setzen.