NIS2: Anforderungen an Cloud-Dienstleister und SaaS-Anbieter

Stellen Sie sich vor, Sie haben Ihre Hausaufgaben gemacht. Sie haben einen namhaften Cloud-Anbieter wie AWS oder einen spezialisierten SaaS-Dienst für Ihre Buchhaltung ausgewählt. Die versprechen höchste Sicherheitsstandards, sind zertifiziert und gelten als absolut zuverlässig. In Sachen Cybersicherheit sind Sie also auf der sicheren Seite, oder?

‍

Hier kommt der "Aha-Moment", den die NIS2-Richtlinie für viele Unternehmen mit sich bringt: Nein, sind Sie nicht.

‍

NIS2 macht die Sicherheit Ihrer gesamten digitalen Lieferkette zur Chefsache. Das bedeutet: Sie sind nicht nur für Ihre eigenen Systeme verantwortlich, sondern auch dafür, die Sicherheit Ihrer externen Dienstleister aktiv zu prüfen, zu managen und vertraglich abzusichern. Verlassen ist gut, Kontrolle ist jetzt Pflicht. Und diese Pflicht landet direkt auf dem Schreibtisch der Geschäftsführung – inklusive persönlicher Haftung bei Verstößen.

‍

Dieser Leitfaden ist Ihr vertrauensvoller Begleiter. Wir übersetzen das Behördendeutsch in klare, verständliche Sprache und zeigen Ihnen, wie Sie die NIS2-Anforderungen für Ihre Cloud- und SaaS-Anbieter in der Praxis umsetzen – ohne Jurastudium, aber mit dem Wissen eines Experten.

‍

Das Kernproblem: Geteilte Verantwortung, volle Haftung

‍

Die größte Fehlerquelle im Umgang mit Cloud-Diensten ist das Missverständnis darüber, wer wofür verantwortlich ist. Viele glauben, mit dem Abschluss eines Vertrags für eine SaaS-Lösung sei die Verantwortung für Sicherheit und Compliance komplett an den Anbieter ausgelagert. NIS2 stellt klar: Das ist ein Trugschluss.

‍

Hier kommt das Shared Responsibility Model (Modell der geteilten Verantwortung) ins Spiel. Es ist der Schlüssel, um Ihre Pflichten zu verstehen.

‍

Building: Das Shared Responsibility Model entmystifiziert

‍

Je nachdem, welche Art von Cloud-Dienst Sie nutzen, verschieben sich die Verantwortlichkeiten zwischen Ihnen und Ihrem Anbieter:

‍

• Infrastructure as a Service (IaaS): Denken Sie an Anbieter wie AWS, Azure oder Google Cloud. Sie mieten die grundlegende Infrastruktur (Server, Speicher, Netzwerk). Der Anbieter ist für die Sicherheit des Rechenzentrums verantwortlich – die physische Sicherheit. Sie hingegen sind für fast alles andere zuständig: das Betriebssystem, die Netzwerkkonfiguration, den Schutz Ihrer Daten und die Zugriffskontrollen.
  ‍
• Platform as a Service (PaaS): Hier mieten Sie eine Plattform, um eigene Anwendungen zu entwickeln. Der Anbieter kümmert sich um die Infrastruktur und das Betriebssystem. Ihre Verantwortung beginnt bei der Absicherung Ihrer Anwendung und der darauf verarbeiteten Daten.
  ‍
• Software as a Service (SaaS): Das ist der häufigste Fall – von Microsoft 365 über Salesforce bis hin zu kleinen spezialisierten Tools. Der Anbieter managt fast alles. Aber Achtung: Sie sind immer noch für die korrekte Konfiguration, das Identitäts- und Zugriffsmanagement (wer darf was?) und die Sicherheit Ihrer Daten verantwortlich.

‍

‍

Für NIS2 bedeutet das: Sie müssen nachweisen können, dass Sie die Risiken in Ihrem Verantwortungsbereich und in der Schnittstelle zum Anbieter im Griff haben.

‍

Mastery: Die Due-Diligence-Masterclass für die Cloud-Lieferkette

‍

"Due Diligence" klingt kompliziert, ist aber im Grunde ein strukturierter Prozess, um die Vertrauenswürdigkeit und Sicherheit Ihrer Anbieter zu überprüfen – bevor Sie einen Vertrag unterschreiben und auch während der Zusammenarbeit. NIS2 fordert, dass Sie die Cybersicherheitsrisiken Ihrer direkten Zulieferer bewerten und behandeln.

‍

Doch wie prüft man einen Tech-Giganten wie Microsoft? Sie können schlecht ein Audit-Team nach Dublin schicken. Genau hierfür gibt es einen etablierten Prozess.

‍

‍

Schritt 1: Risikobewertung – Nicht jeder Dienst ist gleich kritisch

‍

Beginnen Sie damit, Ihre externen Dienste zu klassifizieren:

‍

• Kritische Anbieter: Dienste, ohne die Ihr Geschäftsbetrieb stillsteht oder bei denen ein Ausfall gravierende Folgen hätte (z. B. Ihr zentrales ERP-System, Ihre Cloud-Infrastruktur).
  ‍
• Wichtige Anbieter: Dienste, die wichtig, aber nicht unmittelbar überlebenswichtig sind (z. B. ein Projektmanagement-Tool).
  ‍
• Unkritische Anbieter: Dienste mit geringem Einfluss auf den Geschäftsbetrieb.

‍

Ihre Prüfungsintensität richtet sich nach dieser Klassifizierung. Für kritische Anbieter müssen Sie die Sicherheit der NIS2-Lieferkette besonders genau unter die Lupe nehmen.

‍

Schritt 2: Prüfung von Nachweisen – Der "TÜV" für die Cloud

‍

Bei Hyperscalern wie AWS oder kleineren SaaS-Anbietern können Sie nicht selbst auditieren. Stattdessen verlassen Sie sich auf anerkannte Zertifikate und Testate. Fragen Sie nach folgenden Nachweisen:

‍

• ISO 27001-Zertifizierung: Der weltweite Standard für Informationssicherheits-Managementsysteme (ISMS). Er ist eine solide Basis, aber achten Sie auf den Geltungsbereich ("Scope"): Ist genau der Dienst zertifiziert, den Sie nutzen? Wie Sie den ISO 27001 Scope für Cloud-Umgebungen richtig definieren, ist hier entscheidend.
  ‍
• BSI C5-Testat (Cloud Computing Compliance Controls Catalogue): Speziell für Cloud-Anbieter entwickelt, ist dies der Goldstandard in Deutschland. Es prüft die Sicherheit anhand eines vom Bundesamt für Sicherheit in der Informationstechnik (BSI) definierten Katalogs und ist ein starkes Indiz für NIS2-Konformität.
  ‍
• SOC 2-Berichte (Service Organization Control): Vor allem im US-amerikanischen Raum verbreitet, geben diese Berichte detailliert Auskunft über die Kontrollen beim Dienstleister in Bezug auf Sicherheit, Verfügbarkeit, Vertraulichkeit etc.

‍

Profi-Tipp: Akzeptieren Sie nicht nur das Zertifikat. Bitten Sie um den dazugehörigen Bericht oder eine Zusammenfassung, um zu verstehen, welche Bereiche geprüft wurden und ob es relevante Abweichungen gab.

‍

Schritt 3: Vertragliche Absicherung – Was im Kleingedruckten stehen muss

‍

Ihr Vertrag ist Ihr wichtigstes Werkzeug. Standardverträge von großen Anbietern sind oft nicht verhandelbar, aber Sie können Zusatzvereinbarungen (Data Processing Addendums, DPAs) prüfen und müssen verstehen, welche Pflichten der Anbieter übernimmt. Bei kleineren SaaS-Anbietern haben Sie mehr Verhandlungsspielraum.

‍

Folgende Punkte sollten vertraglich geregelt sein, um die NIS2-Anforderungen zu erfüllen:

‍

• Konkrete Sicherheitsmaßnahmen: Welche technischen und organisatorischen Maßnahmen (TOMs) ergreift der Anbieter? (z. B. Verschlüsselung, Zugriffskontrollen, Patch-Management)
  ‍
• Meldepflichten bei Sicherheitsvorfällen: In welcher Frist muss der Anbieter Sie über einen Vorfall informieren, der Ihre Daten oder Dienste betrifft? NIS2 fordert eine Erstmeldung innerhalb von 24 Stunden. Diese Pflicht müssen Sie an Ihre Lieferanten weitergeben.
  ‍
• Audit- und Kontrollrechte: Auch wenn Sie keine Vor-Ort-Audits durchführen können, sollten Sie das Recht haben, Zertifikate und Berichte einzusehen.
  ‍
• Regelungen zum Exit-Management: Wie bekommen Sie Ihre Daten zurück, wenn Sie den Anbieter wechseln?

‍

Schritt 4: Laufende Überwachung – Compliance ist kein Einmalprojekt

‍

NIS2 verlangt eine kontinuierliche Überwachung. Das bedeutet:

‍

• Jährliche Überprüfung: Fordern Sie jährlich aktuelle Zertifikate an.
  ‍
• Monitoring von Schwachstellen: Beobachten Sie öffentliche Meldungen zu Ihrem Anbieter.
  ‍
• Anpassung bei Änderungen: Ändert der Anbieter seine Dienste oder Sub-Dienstleister, müssen Sie Ihre Risikobewertung aktualisieren.

‍

Action: Praktische Implementierung der 10 NIS2-Maßnahmen

‍

Die Richtlinie schreibt mindestens 10 Sicherheitsmaßnahmen vor. So wenden Sie diese auf Ihre Cloud- und SaaS-Lieferanten an:

‍

‍

1. Risikoanalyse & Sicherheitskonzepte: Bewerten Sie die Risiken jedes Cloud-Dienstes (siehe Due-Diligence-Prozess).
2. Bewältigung von Sicherheitsvorfällen: Klären Sie vertraglich, wie und wie schnell Ihr Anbieter Sie bei einem Vorfall informiert.
3. Business Continuity & Krisenmanagement: Was ist Ihr Plan B, wenn Ihr SaaS-Anbieter ausfällt? Haben Sie Daten-Backups außerhalb der Cloud-Umgebung?
4. Sicherheit der Lieferkette: Dies ist der Kernpunkt – führen Sie die beschriebene Due Diligence durch.
5. Sicherheit in der Entwicklung: Fragen Sie Ihre SaaS-Anbieter, wie sie sichere Entwicklungspraktiken (z. B. OWASP Top 10) sicherstellen.
6. Richtlinien & Verfahren zur Bewertung der Maßnahmen: Dokumentieren Sie Ihren Auswahl- und Überwachungsprozess für Cloud-Anbieter.
7. Cyber-Hygiene & Schulungen: Stellen Sie sicher, dass Ihre Mitarbeiter im sicheren Umgang mit den Cloud-Tools geschult sind (z. B. starke Passwörter, Phishing-Bewusstsein).
8. Kryptografie & Verschlüsselung: Nutzen Sie die Verschlüsselungsoptionen, die Ihr Anbieter bereitstellt (sowohl für Daten im Ruhezustand als auch bei der Übertragung).
9. Personalsicherheit & Zugriffskontrolle: Verwalten Sie Zugriffsrechte nach dem "Need-to-know"-Prinzip. Wer braucht wirklich Admin-Rechte im SaaS-Tool?
10. Multi-Faktor-Authentifizierung (MFA): Aktivieren Sie MFA für alle Cloud-Dienste, wo immer es möglich ist. Dies ist eine der einfachsten und wirksamsten Maßnahmen.

‍

Ihr nächster Schritt: Vom Wissen zur Handlung

‍

Die Sicherheit Ihrer Cloud- und SaaS-Anbieter unter NIS2 ist keine unlösbare Aufgabe, aber sie erfordert ein Umdenken: von passivem Vertrauen hin zu aktivem Management. Sie sind der Dirigent Ihres digitalen Ökosystems und müssen sicherstellen, dass alle Instrumente im Einklang spielen.

‍

Beginnen Sie noch heute:

‍

1. Inventarisieren: Erstellen Sie eine Liste all Ihrer Cloud- und SaaS-Anbieter.
2. Klassifizieren: Bewerten Sie, welche dieser Anbieter für Ihr Geschäft kritisch sind.
3. Überprüfen: Beginnen Sie bei den kritischsten Anbietern mit dem Sammeln von Nachweisen und der Prüfung der Verträge.

‍

Die Umsetzung von NIS2 ist eine Reise. Indem Sie die Sicherheit Ihrer Lieferkette proaktiv managen, schützen Sie nicht nur Ihr Unternehmen vor Bußgeldern und Cyberangriffen, sondern bauen auch ein widerstandsfähigeres und zukunftsfähiges Geschäft auf.

‍

FAQ: Häufige Fragen zur NIS2-Sicherheit in der Cloud-Lieferkette

‍

Reicht es, wenn mein SaaS-Anbieter sagt, er sei "NIS2-konform"?

‍

‍Nein. Das ist eine gute Marketingaussage, aber Sie benötigen konkrete Nachweise. Fordern Sie Zertifikate (ISO 27001, BSI C5) und prüfen Sie die vertraglichen Vereinbarungen. Sie müssen eine eigene, dokumentierte Risikobewertung durchführen.

‍

Wie dokumentiere ich die Risikobewertung meiner Cloud-Anbieter für ein Audit?

‍

‍Legen Sie eine Akte für jeden kritischen Anbieter an. Diese sollte enthalten:

‍

• Ihre schriftliche Risikobewertung.
• Eine Kopie der eingeholten Zertifikate und Berichte.
• Den Vertrag inklusive Sicherheitsvereinbarungen (DPA/AVV).
• Protokolle von jährlichen Überprüfungen.Plattformen wie das Digital Compliance Office von SECJUR können diese automatisierte Risikobewertung der Lieferkette erheblich vereinfachen.

‍

Was ist der Unterschied in der Verantwortung zwischen einem SaaS- und einem IaaS-Dienst in der Praxis?

‍

‍A: Bei einem SaaS-Dienst (z. B. einer Buchhaltungssoftware) konzentriert sich Ihre Verantwortung auf die korrekte Konfiguration, die Daten, die Sie eingeben, und wer darauf Zugriff hat. Bei einem IaaS-Dienst (z. B. einem Server bei AWS) sind Sie zusätzlich für das Härten des Betriebssystems, die Konfiguration der Firewall und das Einspielen von Sicherheitspatches verantwortlich – Ihr Verantwortungsbereich ist also viel größer.

‍

Gilt das alles auch für kleine Unternehmen?

‍

‍Ja, die NIS2-Richtlinie gilt für eine große Anzahl an Unternehmen, auch für viele KMU. Wenn Ihr Unternehmen in einen der Sektoren fällt und die Schwellenwerte für Mitarbeiter oder Umsatz überschreitet, sind diese Pflichten zur Lieferkettensicherheit für Sie bindend. Für Geschäftsführer ist dies ein zentrales Thema, da es direkt in ihre persönliche Verantwortung fällt.

‍