Warum Verträge für NIS2 überhaupt relevant sind
NIS2 betrachtet nicht nur die Sicherheit der eigenen Systeme. Auch externe Dienstleister, Lieferanten und Betreiber spielen eine Rolle. Viele Anforderungen an Informationssicherheit, Verfügbarkeit oder Meldepflichten werden vertraglich geregelt.
Wer nachvollziehen möchte, welche Sicherheitsanforderungen, Verantwortlichkeiten oder Verpflichtungen mit externen Partnern vereinbart wurden, muss diese Informationen in seinen Verträgen finden können.
1. Cloud- und SaaS-Verträge
Cloud-Dienste sind heute in nahezu jedem Unternehmen im Einsatz. Entsprechend relevant sind die vertraglichen Regelungen zu Verfügbarkeit, Datenspeicherung, Sicherheitsmaßnahmen, Meldepflichten bei Sicherheitsvorfällen sowie Backup- und Wiederherstellungsverfahren.
Typische Beispiele sind:
- Microsoft 365
- Azure
- AWS
- Google Cloud
- Fachanwendungen aus der Cloud
Gerade bei geschäftskritischen Anwendungen lohnt sich ein genauer Blick auf die vereinbarten Leistungen und Verantwortlichkeiten.
2. IT-Dienstleister und Managed Services
Viele Unternehmen betreiben ihre Systeme nicht vollständig selbst. Managed Service Provider, Hosting-Anbieter, externe Administratoren oder SOC-Dienstleister übernehmen häufig zentrale Aufgaben im Betrieb.
In diesen Verträgen werden unter anderem folgende Punkte geregelt:
- Zugriffsrechte
- Verantwortlichkeiten
- Reaktionszeiten
- Eskalationswege
- Sicherheitsanforderungen
Gerade im Ernstfall ist es wichtig, diese Informationen schnell verfügbar zu haben.
3. Wartungs- und Fernwartungsverträge
Im KRITIS- und OT-Umfeld gehören Fernzugriffe zu den häufigsten externen Zugängen auf kritische Systeme. Entsprechend relevant sind die vertraglichen Regelungen dazu, wer auf Systeme zugreifen darf und unter welchen Bedingungen ein Zugriff zulässig ist.
Typische Fragestellungen sind:
- Wer darf auf die Systeme zugreifen?
- Wie erfolgt die Authentifizierung?
- Wann darf ein Fernzugriff erfolgen?
- Welche Protokollierung ist vorgesehen?
Diese Informationen finden sich häufig nicht in technischen Dokumentationen, sondern ausschließlich im Vertrag.
4. Software- und Lizenzverträge
Softwarehersteller verpflichten sich häufig zu Updates, Sicherheitspatches, Supportzeiten oder der Behandlung von Schwachstellen. Besonders bei älteren Anwendungen lohnt sich die Prüfung bestehender Vereinbarungen.
Relevant sind beispielsweise Regelungen zu:
- Sicherheitsupdates
- Supportlaufzeiten
- Reaktionszeiten bei Schwachstellen
- Wartungs- und Updateleistungen
- End-of-Life-Fristen
Nicht selten stellt sich erst bei einem Sicherheitsvorfall die Frage, welche Leistungen tatsächlich zugesichert wurden.
5. Auftragsverarbeitungsverträge
Sobald personenbezogene Daten verarbeitet werden, spielen Auftragsverarbeitungsverträge eine wichtige Rolle. Sie regeln unter anderem technische und organisatorische Maßnahmen, den Einsatz von Unterauftragnehmern, Meldepflichten sowie die Verantwortlichkeiten zwischen Auftraggeber und Auftragnehmer.
Besonders relevant sind dabei:
- technische und organisatorische Maßnahmen
- Unterauftragnehmer
- Meldepflichten
- Verantwortlichkeiten
- Kontroll- und Nachweisrechte
6. Lieferanten- und Rahmenverträge
Viele Unternehmen vereinbaren Sicherheitsanforderungen inzwischen direkt mit Lieferanten und Partnern. Dazu gehören beispielsweise:
- Auditrechte
- Nachweispflichten
- Sicherheitsanforderungen
- Sicherheitsbewertungen
- Verpflichtungen bei Sicherheitsvorfällen
Gerade in größeren Organisationen sind diese Anforderungen häufig über zahlreiche Verträge verteilt. Ohne zentrale Übersicht wird es schwierig nachzuvollziehen, welche Vereinbarungen tatsächlich bestehen.
Welche Informationen schnell verfügbar sein sollten
In Audits, Risikoanalysen oder Sicherheitsprojekten werden häufig dieselben Informationen benötigt.
Dazu gehören insbesondere:
- Vertragslaufzeiten
- Kündigungsfristen
- Ansprechpartner
- Auditrechte
- Sicherheitsanforderungen
- Meldepflichten
- Service Level Agreements
- Datenschutzregelungen
Die Herausforderung besteht meist nicht darin, dass diese Informationen fehlen. Sie befinden sich häufig bereits in den Verträgen, sind jedoch nur mit erheblichem Aufwand auffindbar.
Warum Excel bei großen Vertragsbeständen an Grenzen stößt
Eine Liste mit wenigen Verträgen lässt sich problemlos pflegen. Mit steigender Anzahl wächst jedoch der Aufwand. Verträge werden ergänzt, Fristen ändern sich, Ansprechpartner wechseln und neue Sicherheitsanforderungen kommen hinzu.
Typische Probleme sind:
- unterschiedliche Versionsstände
- verteilte Ablageorte
- manuelle Fristenüberwachung
- fehlende Transparenz
- Wissen in einzelnen Abteilungen oder Personen
Die Informationen liegen zwar vor, verteilen sich aber oft auf verschiedene Systeme, Dateien und Verantwortliche. Dadurch entstehen Medienbrüche und zusätzlicher manueller Aufwand.
Digitales Vertragsmanagement für NIS2 und KRITIS
Digitale Vertragsmanagement-Lösungen helfen dabei, Verträge zentral zu verwalten, Fristen zu überwachen und relevante Informationen schneller verfügbar zu machen. Gerade bei NIS2, KRITIS und ISO 27001 geht es dabei weniger um die Ablage von Dokumenten als um die schnelle Verfügbarkeit von Informationen zu Dienstleistern, Lieferanten und Sicherheitsanforderungen.
Mehr über digitales Vertragsmanagement erfahren → Digitales Vertragsmanagement
