
CCNet
31. März 2025 • 2 Min. Lesezeit

NIS2-konforme Cybersicherheitsverträge: Schutz und Verantwortung bei der Zusammenarbeit mit Drittanbietern
Vertragsinhalte für Cybersicherheitsvereinbarungen mit Drittanbietern sind essenziell, um sicherzustellen, dass alle beteiligten Parteien die Anforderungen an Cybersicherheit gemäß geltenden Richtlinien, wie NIS2, erfüllen. Im Folgenden finden sich die zentralen Aspekte, die solche Vereinbarungen enthalten sollten, um die Sicherheit und Widerstandsfähigkeit der IT-Infrastruktur sicherzustellen.
1. Cybersicherheitsanforderungen
Einhaltung von Standards
Drittanbieter verpflichten sich zur Einhaltung aller relevanten nationalen und internationalen Cybersicherheitsstandards. Dazu gehören insbesondere die NIS2-Richtlinie und gängige Normen wie ISO/IEC 27001. Die Anbieter müssen regelmäßige Nachweise über die Einhaltung dieser Standards erbringen, zum Beispiel durch Zertifizierungen oder unabhängige Audits.
Regelmäßige Risikoanalysen
Um potenzielle Bedrohungen und Schwachstellen frühzeitig zu erkennen, führen Drittanbieter regelmäßig Risikoanalysen durch. Die Ergebnisse dieser Analysen sind dem Unternehmen in Form eines Berichts zu übermitteln, der auch geplante Maßnahmen zur Risikominderung beinhaltet.
Anpassung an neue Bedrohungen
Die Sicherheitsmaßnahmen werden kontinuierlich überprüft und an neu erkannte Bedrohungen und Schwachstellen angepasst. Drittanbieter informieren unverzüglich über potenzielle Risiken, die Auswirkungen auf die Zusammenarbeit haben könnten.
2. Sicherheitsmaßnahmen
Technische Sicherheitsmaßnahmen
Anbieter müssen technische Maßnahmen ergreifen, wie etwa:
- Verschlüsselung: Einsatz starker Verschlüsselung für sensible Daten im Ruhezustand und während der Übertragung.
- Zugriffskontrollen: Strikte Implementierung von Zugriffskontrollen, um den Zugang zu Systemen und Daten nur autorisierten Personen zu ermöglichen.
- Intrusion Detection/Prevention Systems (IDS/IPS): Etablierung von Systemen zur Erkennung und Prävention von Eindringversuchen.
Organisatorische Sicherheitsmaßnahmen
- Schulungen: Regelmäßige Schulungen zu Cybersicherheit und NIS2-Anforderungen für das Personal des Drittanbieters.
- Sicherheitsrichtlinien: Entwicklung umfassender Sicherheitsrichtlinien, die den Umgang mit Daten, Netzwerken und Systemen regeln.
- Incident Response Plan: Ein klar dokumentierter und regelmäßig getesteter Plan für den Umgang mit Sicherheitsvorfällen.
Drittanbietermanagement
Falls der Drittanbieter Unterauftragnehmer einsetzt, müssen diese denselben Cybersicherheitsstandards entsprechen. Dazu sind regelmäßige Audits der Unterauftragnehmer durchzuführen, und die Einhaltung der Sicherheitsanforderungen muss dokumentiert werden.
3. Reaktionszeiten bei Vorfällen
Sofortige Benachrichtigung
Im Falle eines Sicherheitsvorfalls muss der Drittanbieter unverzüglich, spätestens jedoch innerhalb von 24 Stunden, eine erste Einschätzung des Vorfalls, betroffene Systeme und Daten sowie getroffene Sofortmaßnahmen mitteilen.
Incident Response
Innerhalb von 48 Stunden nach Feststellung des Vorfalls ist ein detaillierter Incident Response Report zu liefern. Dieser enthält:
- Art des Vorfalls: Beschreibung und betroffene Bereiche.
- Ergriffene Maßnahmen: Sofortmaßnahmen zur Eindämmung.
- Korrekturmaßnahmen: Langfristige Strategien zur Vermeidung ähnlicher Vorfälle.
- Wiederherstellung: Schritte zur Wiederaufnahme des normalen Betriebs.
Kommunikation
Während eines Vorfalls sind regelmäßige Status-Updates und eine enge Zusammenarbeit mit dem Incident Response Team notwendig. Alle Maßnahmen und Kommunikationsschritte müssen dokumentiert werden.
4. Verantwortlichkeiten
Verantwortung für Cybersicherheit
Drittanbieter sind verantwortlich für die Umsetzung und Aufrechterhaltung aller vereinbarten Sicherheitsmaßnahmen. Ein benannter Sicherheitsverantwortlicher dient als primärer Ansprechpartner.
Haftung bei Sicherheitsvorfällen
Der Drittanbieter haftet für alle Schäden, die durch Verstöße gegen die vereinbarten Sicherheitsstandards entstehen. Eine ausreichende Versicherung zum Schutz vor Schadensersatzforderungen ist obligatorisch.
Auditrechte
Das Unternehmen behält sich das Recht vor, unangekündigte Audits durchzuführen, um die Einhaltung der Cybersicherheitsanforderungen zu überprüfen. Der Drittanbieter ist zur vollen Kooperation verpflichtet.
5. Schlussbestimmungen
Vertragsstrafen und Sanktionen
Bei Nichteinhaltung der vereinbarten Cybersicherheitsmaßnahmen sieht der Vertrag Sanktionen vor, einschließlich möglicher Vertragskündigung und finanzieller Strafen.
Überprüfung und Anpassung
Die Sicherheitsanforderungen werden regelmäßig überprüft und an neue gesetzliche Vorgaben, Bedrohungslagen oder technologische Entwicklungen angepasst. Änderungen in Sicherheitspraktiken sind unverzüglich mitzuteilen.
Laufzeit und Gültigkeit
Diese Vereinbarungen gelten für die gesamte Vertragslaufzeit und darüber hinaus für den Zeitraum, in dem der Drittanbieter Zugriff auf die Daten oder Systeme des Unternehmens hat. Im Falle einer Vertragsverlängerung werden die Sicherheitsanforderungen erneut geprüft und gegebenenfalls angepasst.
Mit der Aufnahme dieser Inhalte in Verträge können Unternehmen sicherstellen, dass Drittanbieter ein hohes Niveau an Cybersicherheit einhalten und ihre Systeme, Daten und Geschäftsabläufe effektiv geschützt sind.