Im März 2021 blockierte ein Frachter den Suezkanal und lieferte (statt Containern) die Metapher der Stunde, die die Fragilität verzweigter und globalisierter Lieferketten versinnbildlichte. Dass diese Metapher nicht nur für analoge, sondern auch für digitale Lieferketten hinsichtlich der IT-Sicherheit gilt, mussten etwa die Kunden des im Jahr 2020 gehackten Unternehmens Solarwinds schmerzlich erfahren.
Der Gesetzgeber hat das erkannt: Der Gefahr, die von diesen digitalen Supply-Chain-Attacken ausgeht, waren sich die Macher der NIS-2-Richtlinie zumindest bewusst. Kritis-Betreiber sind nunmehr verpflichtet, Risiken, die von direkten Zulieferern ausgehen, im Rahmen ihres Risikomanagements zu berücksichtigen. Somit sind zumindest die benachbarten Teile der Lieferkette abgedeckt.
Die NIS-2-Richtlinie legt die Verantwortung folglich vor allem auf die Schultern der Kritis-Betreiber. Gleichzeitig wird der Begriff der Kritischen Infrastruktur neu definiert, sodass nun auch mittlere Unternehmen mit einbezogen werden. Um eine zumindest einigermaßen aussagekräftige Risikobewertung vornehmen zu können, sind Kritis-Betreiber dabei auf ein Mindestmaß an Transparenz durch die Anbieter hinsichtlich der genauen Ausgestaltung ihrer Dienste und der implementierten Sicherheitsmaßnahmen angewiesen.
In der Praxis zeigt sich jedoch: Gerade marktmächtige Anbieter sind zu Transparenz nicht zwingend bereit. Für kleinere Kritis-Betreiber stellt sich demnach die Frage: Können Sie eigene Transparenzanforderungen auch gegenüber größeren Anbietern durchsetzen, hilft ihnen die NIS-2-Richtlinie hierbei? Und führt dies im Ergebnis zu mehr Sicherheit entlang der Lieferkette?
Regulatorische Vorgaben als Verhandlungsvorteil
Wenn die Gegenseite von sich aus nicht zu ausreichender Transparenz bereit ist, können gesetzliche Vorgaben durchaus die Verhandlungsposition der schwächeren Partei verbessern. Denn zum einen sind gesetzliche Vorgaben nicht „wegverhandelbar“ und zum anderen müssen diese Vorgaben nun von einer Vielzahl an weiteren Kunden ebenfalls umgesetzt werden, wodurch sich deren Verhandlungsmacht erhöht.
Praktisch ließ sich dies etwa bei der Durchsetzung der Datenschutzgrundverordnung (DSGVO) beobachten. Dort stand die Cloud-Version der Microsoft Office Dienste M 365 in der Kritik. Selbst namenhafte Geschäftskunden hatten Probleme, Aussagen von Microsoft zum genauen Ausmaß der Datenverarbeitung von Nutzerdaten, insbesondere im Zusammenhang von Telemetrie zu erhalten. Dennoch ließ sich im Laufe der Jahre bei Microsoft eine teils signifikante Tendenz hin zu mehr Transparenz und Flexibilität bezüglich der Vertragsbedingungen beobachten.
Dabei ist Fortschritt natürlich auch stets eine Frage des Ausgangspunkts. Der Druck sich anzupassen, konnte hierbei erst durch gesetzliche Vorgaben in einer ernstzunehmenden Dimension aufgebaut werden.
Hilfestellung verzweifelt gesucht
Vergleichbare Regelungen sucht man in der NIS-2-Richtlinie vergebens. Es bleibt bei einem nicht weiter ausformulierten Hinweis für Kritis-Betreiber, dass Risiken durch direkte Lieferanten zu berücksichtigen seien. Die genauen Bewertungskriterien (Qualität der Produkte, „Cybersicherheitspraxis“ des Herstellers) bleiben ebenso diffus. Auch ohne eine dem Klischee des Rechtswissenschaftlers entsprechenden Leidenschaft für Haarspalterei, sind die formulierten Kriterien eher in die Schublade „Bauchgefühl“ einzuordnen. Deutlich wird dies, wenn man probeweise die aufgestellten Kategorien auf echte Hersteller oder Produkte anwendet: Ein Betriebssystem aus Nordkorea? Sehr eindeutig, hohes Risiko. Sicherheitssoftware von Kaspersky? Schon schwieriger.
Die in der NIS-2 formulierten Anforderungen sind demnach aus Betreibersicht wenig mehr als der freundliche Hinweis der Regulatoren: „Hey Kollegen:innen! Dass von Lieferanten auch Risiken ausgehen können, habt ihr auf dem Schirm, oder? Astrein, danke!“ Derart unbestimmte Pflichten eignen sich wenig, um Transparenzforderungen gegenüber einen stärkeren Markteilnehmer durchzusetzen. Die Gesamtwirkung für die Lieferkettensicherheit wird folglich begrenzt sein, beziehungsweise von der nationalen Umsetzung der NIS-2-Richtlinie abhängen.
Keine ganzheitliche Lösung der Lieferkettenproblematik durch NIS-2
Ohnehin liefert die NIS-2-Richtlinie keine ganzheitliche Lösung der Lieferkettenproblematik, da vor allem Kritis-Betreiber in die Pflicht genommen werden. Herstellerpflichten, wie sie im Cyber Resilience Act (CRA) angedacht werden, könnten das Sicherheitsniveau auch in der „Breite“, also auch entlang der Lieferkette verbessern.
„Harte“ Regulierung durch Formulierung von Pflichten sind ebenfalls nicht der einzige Weg. Ebenso konstruktiv kann etwa die Förderung von informellen Netzwerken, etwa von gegenseitig abhängigen Kritis-Betreibern auf kommunaler Ebene sein. Ob und wie die Lieferkettenproblematik weiter behandelt wird, bleibt demnach auch im kommenden Jahr spannend, sei es im Rahmen der Umsetzung der NIS-2-Richtlinie in nationales Recht oder im Kontext der weiteren Verhandlung des CRA.
Nils Brinker ist wissenschaftlicher Mitarbeiter am Digital Society Institute der ESMT Berlin.