NIS2-Konformität für den IKT-Service-Management-Sektor (B2B)

Anbieter von IKT-Service-Management spielen eine zentrale Rolle bei der Unterstützung der digitalen Betriebsabläufe von Unternehmen in der Europäischen Union. Managed Service Provider (MSP), Managed Security Service Provider (MSSP) und ausgelagerte IT-Betriebsdienstleister haben häufig privilegierten Zugriff auf Kundennetzwerke, Infrastruktur und Daten. Daher sind sie zugleich entscheidende Ermöglicher und potenzielle Konzentrationspunkte für Cyberrisiken.

Die NIS2-Richtlinie legt EU-weit geltende Cybersicherheitsanforderungen für wesentliche und wichtige Einrichtungen fest und erweitert den Anwendungsbereich des ursprünglichen NIS-Rahmens erheblich. Die NIS2-Compliance für das IKT-Service-Management (B2B) zielt darauf ab, systemische Risiken zu verringern, die durch IKT-Drittanbieter entstehen, die mehrere Sektoren bedienen.

Die Richtlinie gilt für mittelgroße und große Organisationen, die in festgelegten Sektoren tätig sind, einschließlich des IKT-Service-Managements. Viele B2B-IKT-Anbieter können aufgrund von Größenschwellen in den Geltungsbereich fallen.

Wenn Ihr Unternehmen IKT-Service-Management-Dienstleistungen auf B2B-Basis erbringt, können Sie unter NIS2 als eine wichtige Einrichtung eingestuft werden.

Der Bereich IKT-Dienstmanagement (B2B) ist eingestuft als:

Relevanter Anhang: Anhang II (wichtige Einrichtungen)

Diese Einrichtungen erbringen IKT-bezogene Dienstleistungen für Geschäftskunden, häufig einschließlich Systemüberwachung, Infrastrukturmanagement, Cybersicherheitsdienste, Cloud-Management und IT-Outsourcing.

Organisationen, die die einschlägigen Größenschwellen erfüllen, werden nach NIS2 als wichtige Einrichtungen eingestuft.

• Wichtige Einrichtung gemäß Anhang II

• Managed Service Provider (MSPs)
• Managed Security Service Provider (MSSPs)

Abdeckung des Subsektors (Anhang II - IKT-Dienstmanagement (B2B)):

Die NIS-2-Compliance für das IKT-Service-Management (B2B) gilt für:

Dazu zählen MSPs und MSSPs, die fortlaufende Management-, Überwachungs- oder Sicherheitsdienste für Kundenorganisationen erbringen.

Die Anwendbarkeit der NIS-2 auf KMU ist in diesem Sektor besonders relevant, da viele IKT-Dienstleister im mittleren Unternehmenssegment tätig sind. Auch Anbieter, die überwiegend KMU bedienen, können in den Geltungsbereich fallen, wenn sie die EU-Größenschwellen erfüllen.

Da IKT-Service-Management-Anbieter häufig wesentliche Einrichtungen in mehreren Sektoren bedienen, ist ihre Cybersicherheitslage von erhöhtem aufsichtsrechtlichem Interesse.

• Mittlere Unternehmen (≥ 50 Beschäftigte und/oder 10 Mio. € Jahresumsatz oder Bilanzsumme)
• Große Unternehmen, die diese Schwellen überschreiten

Nach Artikel 21 der NIS2-Richtlinie müssen IKT-Service-Management-Dienstleister geeignete und verhältnismäßige technische und organisatorische Maßnahmen zum Management von Cybersicherheitsrisiken umsetzen.

Verpflichtende Maßnahmen umfassen:

Für IKT-Service-Management-Dienstleister müssen diese NIS2-Sicherheitsmaßnahmen Fernzugriffskontrollen, die Verwaltung privilegierter Konten, Überwachungstools für Kundensysteme sowie sichere Plattformen für die Servicebereitstellung abdecken.

Die NIS2-Compliance für das IKT-Service-Management (B2B) erfordert eine starke interne Governance über administrative Anmeldedaten, eine Segmentierung zwischen Kundenumgebungen sowie robuste Protokollierungs- und Überwachungsfunktionen. Da diese Dienstleister als Einfallstor in Kundensysteme fungieren können, müssen ihre Kontrollen besonders streng sein.

• Risikomanagement-Rahmenwerk
• Verfahren zum Umgang mit Sicherheitsvorfällen
• Geschäftskontinuität und Notfallwiederherstellung
• Sicherheit der Lieferkette
• Sichere Entwicklung und Wartung
• Richtlinien zu Verschlüsselung und Kryptografie
• Zugriffskontrolle und Multi-Faktor-Authentifizierung
• Umgang mit Schwachstellen und Patch-Management
• Schulungen zur Cyberhygiene
• Nutzung sicherer Kommunikation

IKT-Service-Management-Dienstleister müssen bei erheblichen Sicherheitsvorfällen die NIS2-Meldefristen für Vorfälle einhalten.

Zu den Meldepflichten gehören:

Meldungen sind an das zuständige nationale CSIRT oder die zuständige Behörde zu übermitteln.

Die 24-Stunden-Meldepflicht nach NIS2 ist insbesondere für IKT-Dienstleister wichtig, deren Systeme gleichzeitig mehrere Kunden betreffen können. Vorfälle mit unbefugtem Fernzugriff, Ransomware-Angriffen oder der Kompromittierung von Service-Plattformen können als erhebliche Sicherheitsvorfälle gelten.

Die Nichteinhaltung der vorgeschriebenen Fristen kann zu aufsichtsrechtlichen Maßnahmen und Verwaltungsbußgeldern führen.

Die NIS2-Compliance für das IKT-Service-Management (B2B) auferlegt dem Leitungsorgan eine unmittelbare Verantwortung.

Wesentliche Governance-Anforderungen umfassen:

Artikel 21 der NIS2-Richtlinie stellt klar, dass Cybersicherheit nicht nur ein technisches Thema ist. Die oberste Leitung von MSPs und MSSPs muss für ein angemessenes Risikomanagement, eine ordnungsgemäße Dokumentation und eine wirksame Compliance-Überwachung sorgen.

Da IKT-Dienstleister mehrere regulierte Kunden unterstützen, können Governance-Versäumnisse verstärkte nachgelagerte Risiken verursachen.

• Genehmigung der Maßnahmen zum Cybersicherheits-Risikomanagement durch das Leitungsorgan
• Laufende Aufsicht über die Umsetzung
• Verpflichtende Cybersicherheits-Schulungen für Mitglieder des Leitungsorgans
• Mögliches persönliches Haftungsrisiko nach nationalem Recht

Als Einheiten gemäß Anhang II unterliegen Anbieter von IKT-Service-Management, die als wichtige Einheiten eingestuft sind, einer reaktiven Aufsicht. Zuständige Behörden leiten Aufsichtsmaßnahmen in der Regel nach Vorliegen von Beweisen, Hinweisen oder einer Meldung über Nichteinhaltung ein.

Verwaltungsrechtliche Geldbußen bei Nichteinhaltung sind:

Nationale Umsetzungsgesetze können Aufsichtsmechanismen weiter präzisieren, doch die Richtlinie legt harmonisierte Mindestschwellen für Sanktionen in allen Mitgliedstaaten fest.

Angesichts des mit IKT-Anbietern verbundenen Konzentrationsrisikos können Durchsetzungsmaßnahmen auf erhebliche sektorübergreifende Vorfälle folgen.

• Wichtige Einheiten: Bis zu 7 Mio. € oder 1,4 % des gesamten weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

KMU im IKT-Service-Management sollten einen strukturierten Ansatz zur NIS2-Compliance verfolgen:

Frühzeitige Vorbereitung senkt das Aufsichts- und Sanktionsrisiko und stärkt das Vertrauen der Kundschaft.

1. NIS2-Lückenanalyse durchführen
2. Kritische kundennahe Systeme und administrative Berechtigungen erfassen und abbilden
3. Ein dokumentiertes Rahmenwerk für das Cybersicherheitsrisikomanagement formalisieren
4. Abläufe für die Reaktion auf Vorfälle und die Meldung von Sicherheitsvorfällen aktualisieren und testen
5. Technologieverträge mit Subunternehmern und Drittanbietern überprüfen
6. Unternehmensleitung und Service-Delivery-Manager schulen
7. Einen 24h/72h/1-Monats-Meldeworkflow einrichten

Anbieter von IKT-Service-Management sehen sich gemäß NIS2 sektorspezifischen Risiken gegenüber:

Die NIS2-Compliance für das IKT-Service-Management (B2B) ist daher sowohl eine regulatorische Pflicht als auch ein Wettbewerbsvorteil im B2B-Dienstleistungsmarkt.

• Konzentrationsrisiko: Ein einzelner Vorfall kann gleichzeitig mehrere Kunden betreffen.
• Gefährdung privilegierter Zugänge: Die Kompromittierung administrativer Anmeldedaten kann weitreichende Auswirkungen haben.
• Kompromittierung der Lieferkette: Subunternehmer oder Tool-Anbieter können Schwachstellen einbringen.
• Behördliche Geldbußen: Nichteinhaltung setzt Anbieter erheblichen finanziellen Sanktionen aus.
• Vertragliche Haftung: Kunden können nach Dienstunterbrechungen vertragliche Ansprüche geltend machen.