Die ENISA hat einen Bericht veröffentlicht, der einen Überblick über die aktuellen Cybersicherheitspraktiken in der Lieferkette gibt, die von großen Organisationen in der EU angewandt werden. Er basiert auf den Ergebnissen einer Studie der ENISA aus dem Jahr 2022, die sich auf die Investitionen der Cybersicherheitsbudgets von Organisationen in der EU konzentrierte.
Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Haftung der Geschäftsführung für IT-Sicherheitslücken
- NIS2-Richtlinie und NIS2-Umsetzungsgesetz
- DORA
- Bug-Bounty-Programme – Strafbarkeit des Suchens nach Sicherheitslücken
- Aktualisierungspflicht für Software
- Neues Kaufrecht: Sicherheit als Mangel
- Pentesting: Vertrag über Penetrationstest
- Wie Unternehmen mit Ransomware erpresst werden
- Ransomware: Soll man das Lösegeld zahlen?
- Haftung des Arbeitnehmers bei Installation von Malware
- Fahrlässige Tötung und Schadsoftware im Krankenhaus
- Was tun nach einem Hackerangriff?
- Wie schützt man sich vor einem Hackerangriff?
- Einhaltung interner Sicherheits-/Compliance Vorgaben für Arbeitnehmer verpflichtend
Die NIS2-Richtlinie verpflichtet die Mitgliedstaaten, dafür zu sorgen, dass wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen, die diese Einrichtungen zur Erbringung ihrer Dienste nutzen. Die Cyber-Sicherheit der Lieferkette wird als integraler Bestandteil der Maßnahmen zum Management von Cyber-Sicherheitsrisiken gemäß Artikel 21 Absatz 2 der NIS2-Richtlinie betrachtet.
Der Kurzbericht gibt einen Überblick über die aktuellen Cybersicherheitspraktiken in der Lieferkette, die von großen und wichtigen Organisationen in der EU angewandt werden, basierend auf den Ergebnissen einer Studie der ENISA aus dem Jahr 2022, die sich auf Investitionen in Cybersicherheitsbudgets von Organisationen in der EU konzentriert. Die Ergebnisse umfassen Folgendes
- 86 Prozent der befragten Organisationen implementieren Cybersicherheitsstrategien in der Lieferkette im Bereich Informations- und Kommunikationstechnologie/Operations-Technologie (IKT/OT).
- 47 % stellen ein Budget für die Cybersicherheit der IKT/OT-Lieferkette zur Verfügung.
- 76 % haben keine spezifischen Aufgaben und Verantwortlichkeiten für die Cybersicherheit in der IKT/OT-Lieferkette.
- 61 % verlangen von ihren Lieferanten eine Sicherheitszertifizierung, 43 % nutzen Sicherheitsbewertungsdienste und 37 % führen Due-Diligence-Prüfungen oder Risikobewertungen durch.
oder Risikobewertungen durch. Nur 9 % der befragten Unternehmen geben an, dass sie die Sicherheitsrisiken in ihrer Lieferkette selbst bewerten.
Sicherheitsrisiken in der Lieferkette überhaupt nicht bewerten. - 52% haben eine strikte Patching-Politik, bei der nur 0-20% ihrer Assets nicht gepatcht werden. Andererseits
13,5 % haben keinen Überblick über das Patchen von 50 % oder mehr ihrer IT-Ressourcen. - 46% patchen kritische Schwachstellen in weniger als 1 Monat, weitere 46% patchen kritische Schwachstellen in 6 Monaten oder weniger.
Der Bericht stellt auch bewährte Verfahren für die Cyber-Sicherheit in der Lieferkette zusammen, die aus europäischen und internationalen Standards abgeleitet wurden.
Der Bericht konzentriert sich in erster Linie auf IKT- oder OT-Lieferketten. Es werden Best Practices vorgestellt, die von Kunden (z.B. Organisationen, die gemäß der NIS2-Richtlinie als kritisch eingestuft sind) oder ihren jeweiligen Lieferanten und Dienstleistern umgesetzt werden können. Die Best Practices umfassen fünf Bereiche
- Strategischer Geschäftsansatz
- Risikomanagement entlang der Lieferkette
- Management von Lieferantenbeziehungen
- Umgang mit Schwachstellen
- Produktqualität und Praktiken für Lieferanten und Dienstleister.
Der Bericht kommt zu folgenden Schlussfolgerungen.
- Es herrscht Verwirrung über die Terminologie der IKT/OT-Lieferkette.
- Organisationen sollten ein unternehmensweites Lieferkettenmanagementsystem einführen, das auf dem Third Party Risk Management (TRM) basiert und Risikobewertung, Lieferantenbeziehungsmanagement, Schwachstellenmanagement und Produktqualität umfasst.
- Bewährte Praktiken sollten alle verschiedenen Akteure in der Lieferkette von IKT/OT-Produkten und -Dienstleistungen von der Produktion bis zum Verbrauch einbeziehen.
- Nicht alle Sektoren verfügen über die gleichen Fähigkeiten im Bereich des IKT/OT-Lieferkettenmanagements.
- Die Wechselwirkung zwischen der NIS2-Richtlinie und dem Vorschlag für ein Gesetz über die Widerstandsfähigkeit gegen Cyberangriffe oder andere sektorspezifische oder nicht sektorspezifische Rechtsvorschriften, die Anforderungen an die Cybersicherheit von Produkten und Diensten enthalten, sollte weiter untersucht werden.
Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.
- Schutzumfang bei § 239a StGB - 6. Mai 2024
- Diebstahl: BGH zur Zueignungsabsicht - 6. Mai 2024
- Der Hilflosigkeitsbegriff im Rahmen des § 201a StGB - 6. Mai 2024