Wir können noch so viel über #NIS2 und betriebliches #Informationssicherheitsmanagement sprechen – in Zeiten, in denen die Unternehmen immer weniger Kontrolle über ihre eigene IT-#Infrastruktur haben, ist es mindestens genauso wichtig, die Hersteller und Anbieter in die Verantwortung zu nehmen.
Bei einem beratenden Blick in die Umsetzung von NIS2 fällt derzeit vor allem eines auf: Ja, es haben bereits nicht wenige Unternehmen mit der Umsetzung des betrieblichen #Cybersecurity-Managements begonnen. Vielfach aber werden Verpflichtungen innerhalb der (digitalen) #Lieferkette vor allem auf vertraglicher Ebene weitergegeben – indem zum Beispiel der „10+1“-Katalog der nach NIS2 geforderten Maßnahmen 1:1 in einen Vertrag mit Zulieferern und Partnerunternehmen aufgenommen wird, ohne aber als Auftraggeber in der Lage zu sein, die gegebenen Zusicherungen faktisch zu überprüfen.
Eine auf diese Weise vermittelte Cybersicherheit ist trügerisch, baut sie doch lediglich auf nicht weiter überprüfbaren einseitigen Zusicherungen auf. Und ausreichend ist sie auch für die Erfüllung der Rechtspflichten von NIS2 ebenso wenig, denn wenn Aufgaben aus dem Betrieb heraus delegiert werden, sind sie dennoch zu überwachen. Die Rechtsprechung geht hier gar einen Schritt weiter und verlangt nicht nur regelmäßige Audits, sondern laut dem Bundesgerichtshof „überraschende, stichprobenartige Kontrollen“.
Dass aber nicht jeder Betrieb dieses effektiv leisten kann, liegt genauso auf der Hand. Wo wir uns deshalb einerseits immer stärker auf externe Dienstleister und Lieferanten in der Lieferkette verlassen müssen, müssen diese andererseits selbst dafür Sorge tragen, dass ihre digitalen Produkte über den gesamten Lebenszyklus hinweg cybersicher sind – eben „Security by Design“. In Zukunft wird die EU mit dem Cyber Resilience Act (CRA) sogar einen bedeutenden und richtigen Schritt weiter gehen: Wenn ein Hersteller, Importeur oder Vertriebsunternehmen die Cybersicherheit seiner Produkte nicht garantieren kann, gibt es keinen Zugang zum europäischen Binnenmarkt.
Das Branchen-Fachmagazin „INSIDE Wohnen“ hat mich zu Security by Design interviewt – und wie sich dieser neue Ansatz auch in einer zunehmend digitalen Möbelindustrie widerspiegelt.
#cyberresilience #cyberintelligence #cyberintelligenceinstitute #denniskenjikipker #frankfurt #bremen