Beim Thema Cybersecurity standen für viele Unternehmen bislang klassische technische Maßnahmen im Mittelpunkt. Mit NIS-2 erweitert sich der Fokusbereich nun deutlich – denn die EU wirft künftig nicht nur einen genauen Blick auf die Sicherheit innerhalb der Betriebe, sondern auf die gesamte Lieferkette. Damit wird NIS-2 auch zu einem essenziellen Thema für das Vertragsmanagement. Denn viele Anforderungen lassen sich in der Praxis nur durch vertragliche Vereinbarungen mit Lieferanten und Dienstleistern wirksam umsetzen und nachweisen.
NIS-2 betrachtet Cybersecurity als Lieferkettenaufgabe
Artikel 21 der NIS-2-Richtlinie* verpflichtet betroffene Einrichtungen dazu, „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit von Netz- und Informationssystemen […] zu beherrschen und die Auswirkungen von Sicherheitsvorfällen […] zu verhindern oder möglichst gering zu halten“. Diese Maßnahmen dienen nicht nur dazu, die eigene Organisation zu schützen, sondern berücksichtigen ausdrücklich auch Risiken, die sich aus den Beziehungen zu unmittelbaren Lieferanten und Dienstleistern ergeben.
Die Richtlinie nennt dabei unter anderem die Sicherheit der Lieferkette und die sicherheitsbezogenen Aspekte der Beziehungen zwischen einer Einrichtung und ihren direkten Anbietern als Bestandteil des Cyberrisikomanagements. NIS-2 schreibt Unternehmen zwar nicht vor, wie diese Anforderungen organisatorisch umzusetzen sind. In der Praxis fungieren vertragliche Vereinbarungen jedoch als wichtiges Instrument, um jene Sicherheitsanforderungen festzulegen, Verantwortlichkeiten zu definieren und ihren Melde- und Nachweispflichten gegenüber Behörden nachzukommen.
Welche Verträge besonders relevant sind
Besonders im Fokus stehen Verträge mit externen IT- und Digitaldienstleistern, beispielsweise: Cloud-Service-Providern, Hosting-Anbietern, Managed-Service-Providern, externen IT-Betriebsdienstleistern, SoaS-Anbietern, Dienstleistern mit privilegierten Systemzugriffen und anderen kritischen Lieferanten.
Je stärker ein externer Partner in kritische Geschäftsprozesse oder IT-Systeme eingebunden ist, desto wichtiger wird die Frage, ob dessen Sicherheitsmaßnahmen den eigenen Anforderungen entsprechen.
Welche Vertragsbestandteile Unternehmen überprüfen sollten
Die NIS-2-Richtlinie enthält keine Musterklauseln. Aus den Anforderungen des Artikels 21 lassen sich jedoch verschiedene Themen ableiten, die die Verantwortlichen in bestehenden Verträgen überprüfen oder künftig ergänzen sollten.
1. Anforderungen an Informationssicherheit
Sich auf ein angemessenes Sicherheitsniveau seiner Lieferanten zu verlassen, ist mit NIS-2 nicht mehr ausreichend. Verträge sollten klar regeln, welche Mindeststandards ein Dienstleister im Bereich der Informationssicherheit einzuhalten hat. Dazu gehören beispielsweise organisatorische und technische Sicherheitsmaßnahmen, Zugriffsregelungen oder Verschlüsselungsvorgaben. (NIS-2-Richtlinie Artikel 21 Absatz 2d)
2. Audit- und Nachweisrechte
Gleichzeitig verlangt NIS-2 auch die Sicherstellung der Wirksamkeit der Maßnahmen in Bezug auf Cyberrisikomanagement. Daher benötigen Unternehmen die Möglichkeit, sich von den Sicherheitsmaßnahmen ihrer Dienstleister zu überzeugen, u. a. durch:
- Vorlage von Zertifizierungen
- Bereitstellung von Prüfberichten
- Nachweise über durchgeführte Sicherheitsmaßnahmen
- Audit- oder Informationsrechte
(NIS-2-Richtlinie Artikel 21, Absatz 1 und Absatz 2d)
3. Meldung von Sicherheitsvorfällen
Für betroffene Einrichtungen sieht die Richtlinie vor, erhebliche Sicherheitsvorfälle innerhalb bestimmter Fristen an die zuständigen Behörden zu melden. Damit dies möglich ist, müssen Dienstleister sicherheitsrelevante Ereignisse unverzüglich an ihren Auftraggeber kommunizieren. Verträge sollten daher festlegen:
- Definition der meldepflichtigen Vorfälle
- Fristen der Meldung
- Informationen, die bereitzustellen sind
- Verantwortliche Ansprechpartner
Eine klare Incident-Notification-Regelung kann verhindern, dass wertvolle Zeit verloren geht, während ein Vorfall bereits Auswirkungen auf Geschäftsprozesse oder IT-Systeme entfaltet.
(NIS-2-Richtlinie Artikel 21, Absatz 2b sowie Artikel 23)
4. Patch- und Schwachstellenmanagement
Das Management von Schwachstellen und die Offenlegung von Sicherheitslücken ist nach NIS-2 ausdrücklicher Bestandteil eines wirksamen Cyberrisikomanagements. Relevante Vertragsinhalte sind diesbezüglich: wie schnell Anbieter kritische Sicherheitsupdates einspielen müssen, wie sie über erkannte Schwachstellen informieren und welche Eskalationswege im Ernstfall gelten.
(NIS-2-Richtlinie Artikel 21, Absatz 2e)
5. Business Continuity und Krisenmanagement
Zudem fordert die Richtlinie Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs und zur Bewältigung von Krisensituationen. Erbringen externe Partner zentrale Leistungen, ist die vertragliche Abbildung folgender Aspekte empfehlenswert:
- Back-up-Strategien
- Disaster-Recovery-Verfahren
- Wiederanlaufzeiten
- Unterstützungsleistungen im Krisenfall
- Kommunikationswege während eines Sicherheitsvorfalls
Dies stellt sicher, dass auch externe Dienstleister in die eigene Resilienzstrategie eingebunden sind.
(NIS-2-Richtlinie Artikel 21, Absatz 2c)
6. Einsatz von Subunternehmern
Da Lieferanten selbst häufig Leistungen von Dritten beziehen, gilt es für Unternehmen, Transparenz über jene Abhängigkeiten zu schaffen. Dies unterstützt das Ziel der Richtlinie, Risiken innerhalb der Lieferkette systematisch zu berücksichtigen.
Vertragliche Regelungen können beispielsweise die Offenlegung wesentlicher Subunternehmer, die Weitergabe von Sicherheitsanforderungen entlang der Lieferkette sowie die Bekanntgabe von Änderungen im Subunternehmernetzwerk vorsehen.
(NIS-2-Richtlinie Artikel 21, Absatz 2d)
Wie KI-gestütztes Vertragsmanagement die NIS-2-Umsetzung unterstützt
Die Überprüfung bestehender Verträge auf NIS-2-relevante Anforderungen führt insbesondere in größeren Organisationen schnell zu erheblichem Aufwand. Häufig sind es mehrere Hundert Verträge, die einer Analyse, Bewertung und gegebenenfalls einer Anpassung bedürfen.
Smarte Vertragsmanagement-Software wie Fabasoft Contracts beschleunigt diesen Prozess deutlich. Mit KI-Prüfkatalogen lassen sich Verträge automatisiert auf definierte Inhalte untersuchen. Die KI analysiert vorhandene Vertragsinhalte, identifiziert potenzielle Risiken und bereitet die Ergebnisse übersichtlich auf. Bei notwendigen Anpassungen unterstützt das System bei der Überarbeitung der Verträge und der Erstellung von Ergänzungsvereinbarungen.
Dank strukturierter Auswertungen und der integrierten KI-Chat-Funktion sind zudem alle benötigten Informationen und Dokumente jederzeit greifbar.
Sie möchten mehr erfahren, wie Sie smartes Vertragsmanagement bei der NIS-2-Compliance unterstützt?
*) Hinweis: Dieser Beitrag betrachtet ausschließlich die Anforderungen der EU-Richtlinie NIS-2 (Richtlinie (EU) 2022/2555). Nationale Umsetzungsgesetze können zusätzliche oder abweichende Vorgaben enthalten.


