Kritische Lieferanten und Business Continuity: Die operative NIS2-Logik der ACN

Hintergrund

Die Nationale Agentur für Cybersicherheit (ACN) hat durch ihre operativen Festlegungen und FAQs das Konzept der kritischen Lieferanten im Kontext des Gesetzesdekrets 138/2024, das die NIS2-Richtlinie umsetzt, neu definiert. Der Fokus darf nicht auf der bloßen Auflistung von Lieferanten liegen, sondern auf der Bewertung der Risikostruktur der wesentlichen Dienste einer Organisation.

Der Prozess der Identifizierung kritischer Lieferanten beginnt mit den wesentlichen Diensten, um dann die Systeme und Ressourcen zu ermitteln, die diese ermöglichen. Anschließend treten die Abhängigkeiten zutage, einschließlich der Lieferanten. Dies steht im Einklang mit der Unterkategorie GV.OC-04 des Nationalen Frameworks für Cyber Security und Data Protection, die die Identifizierung der Systeme zur Unterstützung kritischer Dienste fordert. Die operativen Anforderungen der ACN schreiben vor, dass diese Abhängigkeiten dynamisch nachverfolgt, dokumentiert und aktualisiert werden müssen, um Änderungen in der Organisation widerzuspiegeln.

Weitere Hinweise ergeben sich aus den Unterkategorien GV.SC-01 und GV.SC-04 des Frameworks, die das Thema Lieferanten in den Bereich des Risikomanagements der Lieferkette einordnen und eine kontinuierliche Überwachung verlangen. Die Festlegung vom 13. April 2026 (Kapitel IV) schreibt vor, dass die Mitteilungen an die ACN bezüglich relevanter Lieferanten korrekt, aktuell und bei Änderungen zu überprüfen sind. Ein Lieferant wird als kritisch angesehen, wenn seine Lieferung zu den im Anhang I, Punkte 8 und 9, des NIS-Dekrets (IKT-Bereitstellung) genannten Tätigkeiten gehört oder seine Nichtverfügbarkeit einen wesentlichen Dienst direkt beeinträchtigt, wie in FAQ FRN.2 weiter präzisiert, auch aufgrund des Fehlens von Alternativen. Die Kritikalität eines Lieferanten ist das Ergebnis einer Risikobewertung, die Auswirkungen, Unterbrechungswahrscheinlichkeit und Ersatzmöglichkeiten berücksichtigt.

Warum es wichtig ist

Diese Klarstellung ist entscheidend für Organisationen, die dem Gesetzesdekret 138/2024 (NIS2) unterliegen, da sie einen Paradigmenwechsel im Lieferantenmanagement erzwingt. Es reicht nicht aus, eine Liste zu erstellen, sondern es ist eine tiefgehende Risikoanalyse erforderlich, welche die Lieferanten für die Bereitstellung wesentlicher Dienste darstellen. Die Missachtung dieses Aspekts setzt die Organisation einer Nichtkonformität mit der NIS2-Verordnung aus, mit potenziellen Sanktionen und schwerwiegenden Betriebsunterbrechungen.

Für einen DPO oder IT-Verantwortlichen bedeutet das Verständnis und die Umsetzung dieser Richtlinien, die operative Resilienz auf einem soliden Fundament aufzubauen und die Exposition gegenüber Cyber- und Betriebsrisiken aus der Lieferkette zu reduzieren. Das dynamische Management von Abhängigkeiten ist entscheidend für die Business Continuity und die Fähigkeit, schnell auf Vorfälle zu reagieren, wodurch die Verfügbarkeit, Integrität und Vertraulichkeit der verarbeiteten Daten geschützt wird. Obwohl die DSGVO nicht explizit erwähnt wird, ist der Datenschutz untrennbar mit der Kontinuität der IT-Dienste und der Sicherheit der Lieferkette verbunden.

Was zu tun ist

• Präzise alle von der Organisation erbrachten wesentlichen Dienste identifizieren.
• Die Systeme und technologischen Ressourcen abbilden, die jeden wesentlichen Dienst unterstützen.
• Alle Abhängigkeiten von Lieferanten dynamisch verfolgen, dokumentieren und aktuell halten.
• Eine Risikobewertung für jeden Lieferanten durchführen, wobei dessen Kritikalität auf den Auswirkungen auf wesentliche Dienste, der Unterbrechungswahrscheinlichkeit und der Verfügbarkeit von Alternativen basiert.
• Sicherstellen, dass die an die ACN übermittelten Informationen über relevante Lieferanten stets korrekt und bei Änderungen unverzüglich aktualisiert werden.

Was zu vermeiden ist

• Die Identifizierung kritischer Lieferanten ausschließlich auf einer statischen Liste basieren.
• Die Abbildung der Abhängigkeiten als einmalige Aktivität oder statische Momentaufnahme behandeln.
• Die Kritikalität eines Lieferanten als intrinsische Eigenschaft betrachten und nicht als Ergebnis einer Risikobewertung.

Praktische Auswirkungen

Organisationen müssen einen proaktiven und risikobasierten Ansatz für das Lieferantenmanagement verfolgen, der über eine rein vertragliche Sichtweise hinausgeht. Dies erfordert Investitionen in Tools und Prozesse für die kontinuierliche Überwachung, Risikobewertung und Business Continuity Planung. Die Integration dieser Praktiken in operative und Entscheidungsprozesse ist unerlässlich für die NIS2-Konformität und die allgemeine Resilienz.

Zu vermeidende Fehler

• Das Risikomanagement der Lieferanten nicht in die Business Continuity Planung integrieren.
• Die Komplexität und den Aufwand unterschätzen, die für die dynamische Überwachung von Abhängigkeiten erforderlich sind.
• Sich auf einen reaktiven statt proaktiven Ansatz im Management kritischer Lieferanten beschränken.

Fragen zur Selbsteinschätzung

• Sind unsere wesentlichen Dienste klar definiert und ihre Abhängigkeiten von Lieferanten umfassend abgebildet?
• Haben wir einen Prozess implementiert, der die kontinuierliche Aktualisierung der Informationen über Lieferanten und Abhängigkeiten gewährleistet?
• Basiert unsere Methodik zur Definition eines Lieferanten als 'kritisch' auf einer fundierten Risikobewertung (Auswirkungen, Wahrscheinlichkeit, Alternativen)?
• Können wir der ACN die Richtigkeit und Aktualität der Informationen über unsere relevanten Lieferanten nachweisen?
• Berücksichtigt unser Business Continuity Plan Unterbrechungen durch kritische Lieferanten angemessen?

Verweise

Nationales Recht: D.lgs. 138/2024 · Direttiva NIS2 · Framework Nazionale per la Cyber security e la Data Protection (GV.OC-04, GV.SC-01, GV.SC-04) · Determinazione ACN del 13 aprile 2026 (Capo IV) · FAQ ACN FRN.2