Musterfestlegungen von Sicherheitsstandards in Verträgen bei Lieferanten und Dienstleistern hinsichtlich NIS2

In jedem Vertragsverhältnis mit Lieferanten und Dienstleistern sind Sicherheitsstandards unverzichtbar, um die Anforderungen der NIS2-Richtlinie zu erfüllen und die Sicherheit von Informations- und Kommunikationstechnologien (IKT) innerhalb der gesamten Lieferkette zu gewährleisten. Hier finden sich die wesentlichen Vertragsbestandteile, die dazu beitragen, Cybersicherheit zu gewährleisten.

Weitere Informationen finden Sie hier: IT-Beratung

Einhaltung der NIS2-Richtlinie

2.1 Verpflichtung zur NIS2-Konformität

Anforderung: Jeder Lieferant und Dienstleister, der wesentliche oder wichtige Dienste bereitstellt, muss nachweisen, dass er die NIS2-Richtlinie einhält.
Verpflichtung: Alle relevanten Sicherheitsmaßnahmen der NIS2-Richtlinie müssen implementiert und auf Anfrage nachgewiesen werden.

Risikoanalyse und Risikomanagement

3.1 Durchführung von Risikoanalysen

Anforderung: Regelmäßige Durchführung von Risikoanalysen in Bezug auf die Sicherheit der IKT-Systeme.
Verpflichtung: Die Ergebnisse dieser Analysen sind dem Auftraggeber zur Verfügung zu stellen und notwendige Maßnahmen zur Risikominderung umzusetzen.

3.2 Risikomanagementverfahren

Anforderung: Implementierung eines Risikomanagementverfahrens, das mit der NIS2-Richtlinie in Einklang steht.
Verpflichtung: Fortlaufende Verbesserungen der Sicherheitsvorkehrungen, basierend auf Analyseergebnissen und neuen Bedrohungen.

Sicherheitsvorkehrungen

4.1 Sicherheitskontrollen und -maßnahmen

Anforderung: Angemessene technische und organisatorische Maßnahmen müssen implementiert sein, wie Firewalls, IDS, Verschlüsselung und regelmäßige Software-Updates.
Verpflichtung: Gewährleistung von regelmäßigen Patches und effektiven Sicherheitstechnologien.

4.2 Zugriffskontrolle

Anforderung: Strenge Maßnahmen zur Zugangskontrolle auf Systeme und Daten.
Verpflichtung: Zugang nur für autorisierte Personen, regelmäßige Überprüfung und Dokumentation der Berechtigungen.

Meldepflicht bei Sicherheitsvorfällen

5.1 Sofortige Meldung von Sicherheitsvorfällen

Anforderung: Alle Vorfälle, die die Sicherheit von Systemen betreffen und Auswirkungen auf den Auftraggeber haben könnten, müssen sofort gemeldet werden.
Verpflichtung: Die erste Benachrichtigung erfolgt innerhalb von 24 Stunden nach Entdeckung, gefolgt von einem vollständigen Bericht innerhalb einer Woche.

5.2 Zusammenarbeit bei der Vorfallsbehandlung

Anforderung: Enges Zusammenarbeiten bei der Untersuchung und Behebung von Sicherheitsvorfällen.
Verpflichtung: Bereitstellung aller notwendigen Informationen und Ressourcen, um den Vorfall einzudämmen und zukünftige Vorfälle zu verhindern.

Sicherheitsaudits und Überprüfungen

6.1 Regelmäßige Sicherheitsaudits

Anforderung: Durchführung regelmäßiger Audits durch den Auftraggeber oder einen beauftragten Prüfer.
Verpflichtung: Mitteilung der Ergebnisse und schnelle Umsetzung von Korrekturmaßnahmen bei Bedarf.

6.2 Auditrechte

Anforderung: Der Auftraggeber hat das Recht, Audits durchzuführen, um die Einhaltung der NIS2-Anforderungen zu überprüfen.
Verpflichtung: Zugang zu relevanten Dokumenten, Systemen und Einrichtungen ist zu gewähren.

Schulung und Sensibilisierung

7.1 Schulung des Personals

Anforderung: Regelmäßige Schulungen des Personals zu Cybersicherheitsstandards und NIS2.
Verpflichtung: Durchführung mindestens einmal jährlich, mit Nachweisen auf Anfrage.

7.2 Sensibilisierung für Bedrohungen

Anforderung: Programme zur Sensibilisierung für aktuelle Bedrohungen sind zu implementieren.
Verpflichtung: Sicherstellen, dass die Mitarbeitenden auf Bedrohungen vorbereitet und in der Lage sind, angemessen zu reagieren.

Vertragsstrafen und Haftung

8.1 Vertragsstrafen bei Nichteinhaltung

Anforderung: Klauseln zu Vertragsstrafen bei Nichteinhaltung der Sicherheitsstandards oder Meldepflichten.
Verpflichtung: Strafen zur Kompensation möglicher Verluste durch Sicherheitsverletzungen.

8.2 Haftung

Anforderung: Haftung für Schäden aufgrund der Nichteinhaltung der vertraglich festgelegten Standards.
Verpflichtung: Abschluss von Versicherungspolicen, die mögliche Schadensersatzforderungen abdecken.

Schlussbestimmungen

9.1 Regelmäßige Überprüfung und Anpassung der Standards

Anforderung: Laufende Überprüfung und Anpassung der Vertragsstandards an gesetzliche Änderungen oder neue Bedrohungslagen.
Verpflichtung: Einhaltung aller aktualisierten Anforderungen durch den Lieferanten oder Dienstleister.

9.2 Vertragsauflösung

Anforderung: Recht zur Vertragsauflösung bei schwerwiegenden oder wiederholten Verstößen gegen die Sicherheitsstandards.
Verpflichtung: Alle vertraulichen Informationen müssen bei Vertragsauflösung sicher vernichtet oder zurückgegeben werden.

Mit diesen Vertragsinhalten wird sichergestellt, dass die Cybersicherheit durch externe Partner stets gewährleistet und kontinuierlich an die aktuellen Standards angepasst bleibt.

FAQ zum Blogbeitrag