Auf den Punkt: NIS-2 verpflichtet Organisationen ab Oktober, Cybersecurity-Anforderungen auf Lieferketten auszudehnen und Drittanbieter in kontinuierliche Sicherheitsbewertungen einzubeziehen.
Die NIS-2-Direktive tritt im Oktober in Kraft und erweitert Cybersecurity-Anforderungen auf Lieferketten-Ebene. CISOs müssen Vendor-Risk-Management und Third-Party-Kontrollen in ihre Governance integrieren.
Die Netzwerk- und Informationssicherheits-Direktive 2 (NIS-2) der EU regelt ab Oktober 2024 verbindlich, dass Organisationen die Cybersecurity ihrer Lieferanten und Partner in den Scope ihrer Sicherheitsgovernance aufnehmen müssen. Dies betrifft nicht nur kritische Infrastrukturen, sondern auch wichtige Digitalisierungsunternehmen sowie Anbieter von Digitalisierungsdiensten in erweiterten Branchen.
Konkret verlangt NIS-2 von betroffenen Unternehmen eine kontinuierliche Bewertung von Third-Party-Risiken, dokumentierte Lieferketten-Sicherheitsrichtlinien und Vertragsbestimmungen zu Sicherheitsstandards. Lieferanten müssen nachweislich gegen definierte Mindestanforderungen wie Asset-Management, Zugriffskontrolle, Kryptographie und Incident-Response geprüft werden. Versäumnisse ziehen Bußgelder bis zu maximal zehn Millionen Euro oder sechs Prozent des globalen Jahresumsatzes nach sich.
CISOs müssen ein Inventar ihrer kritischen Lieferanten erstellen, Audit-Prozesse standardisieren und SLAs zu Security-KPIs verankern. Die Einhaltung erfordert eine enge Abstimmung mit Beschaffung, Risikomanagement und Rechtsabteilungen sowie regelmäßige Überprüfungen der Vendor-Compliance.
Quelle: news.google.com · Erschienen 29. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.