Ihre Lieferkette stellt Ihr größtes Cyberrisiko dar – aber NIST CSF 2.0 hilft Ihnen, dieses Risiko zu managen.
Das Risiko, das mit Ihren Lieferanten einhergeht
Fragt man die meisten ESG-Experten nach Risiken in der Lieferkette, beschreiben sie einen gut etablierten Tätigkeitsbereich: Fragebögen zur Lieferanten-Due-Diligence, Richtlinien zur verantwortungsvollen Beschaffung, Auditprogramme, Menschenrechtsprüfungen und Umweltverträglichkeitsbewertungen. Fragt man dieselben Experten nach Cyberrisiken in der Lieferkette, fällt die Antwort oft weniger selbstbewusst aus. Doch für die meisten Unternehmen liegt in der Lieferkette das größte Cybersicherheitsrisiko – und dieses Risiko nimmt zu.
Der Grund dafür ist struktureller Natur. Moderne Organisationen agieren nicht isoliert. Sie teilen Daten, Systeme und digitale Infrastruktur mit Hunderten oder Tausenden von Dritten – Softwareanbietern, Cloud-Dienstleistern, Logistikpartnern, Dienstleistungsunternehmen, Subunternehmern und den Lieferanten dieser Lieferanten. Jede Verbindung ist ein potenzieller Einstiegspunkt für einen Cybersicherheitsvorfall. Wenn ein Angreifer eine gut geschützte Organisation direkt ins Visier nimmt, scheitert er oft. Wenn er jedoch einen kleineren, weniger gut geschützten Lieferanten mit Zugriff auf die Systeme der Organisation ins Visier nimmt, ist er oft erfolgreich.
Das NIST CSF 2.0 trägt dieser Tatsache ausdrücklich Rechnung. Zum ersten Mal in der Geschichte des Rahmenwerks wird das Risikomanagement in der Lieferkette zu einer eigenen Kategorie innerhalb der „Govern“-Funktion erhoben – es wird nicht in einem technischen Anhang versteckt, sondern steht im Mittelpunkt des Governance-Rahmenwerks. Dies ist ein Signal, das ESG-Experten, die sich mit der Sorgfaltspflicht in der Lieferkette befassen, ernst nehmen sollten.
Was CSF 2.0 für die Lieferkette erfordert
Die Kategorie „Risikomanagement in der Cybersicherheits-Lieferkette“ der CSF 2.0-Governance-Funktion enthält eine umfassende Reihe von Zielvorgaben dazu, wie Organisationen mit Cyberrisiken durch Dritte umgehen sollten. Das Verständnis dieser Zielvorgaben hilft ESG-Experten zu erkennen, inwiefern ihre bestehenden Verfahren zur Sorgfaltsprüfung in der Lieferkette mit den Anforderungen an die Cybersicherheit in Einklang stehen – und wo Lücken bestehen.
Das Rahmenwerk verlangt, dass ein Risikomanagement für die Cyber-Lieferkette eingerichtet, dokumentiert und in den allgemeinen Risikomanagementansatz der Organisation integriert wird. Dabei handelt es sich nicht um eine eigenständige IT-Maßnahme. Es ist eine Governance-Anforderung, die sich in Beschaffungsrichtlinien, Prozessen zur Lieferantenanbindung und laufenden Programmen zum Management von Drittanbietern widerspiegeln sollte – also genau in der Infrastruktur, die ESG-Lieferkettenteams bereits verwalten.
Dies erfordert, dass Lieferanten und andere Dritte anhand der Kritikalität ihrer Rolle und des von ihnen ausgehenden Risikos identifiziert und priorisiert werden. Für ESG-Experten, die es gewohnt sind, Lieferanten nach Ausgaben, geografischer Lage, Branche oder Menschenrechtsrisiken einzustufen, handelt es sich hierbei um eine vertraute Methodik, die auf eine neue Risikodimension angewendet wird. Ein kritischer Technologieanbieter mit tiefgreifendem Zugriff auf Ihre Systeme erfordert eine intensivere Bewertung des Cyberrisikos als ein peripherer Lieferant ohne digitale Verbindung zu Ihren Betriebsabläufen.
Demnach müssen Verträge und Vereinbarungen mit Lieferanten Anforderungen an die Cybersicherheit enthalten – Mindeststandards, die Lieferanten erfüllen müssen, Meldepflichten im Falle eines Cybervorfalls, das Recht auf Audits sowie Verpflichtungen zum Management ihrer eigenen Lieferkettenrisiken. Dies entspricht in direkter Weise den vertraglichen Anforderungen, die Programme zur verantwortungsvollen Beschaffung an Lieferanten hinsichtlich Arbeitsstandards oder der Einhaltung von Umweltvorschriften stellen.
Die Cybersicherheits-Due-Diligence in der Lieferkette ist kein von der ESG-Due-Diligence in der Lieferkette getrennter Prozess. Es handelt sich um denselben Ansatz – die Bewertung, das Management und die Überwachung von Risiken durch Dritte –, der auf eine Risikokategorie angewendet wird, die mittlerweile für die meisten Organisationen von wesentlicher Bedeutung ist.
Der Zusammenhang zwischen ESG und Cybersicherheit in der Lieferkette
Für ESG-Experten ergibt sich daraus die praktische Erkenntnis, dass Cybersicherheitsrisiken in der Lieferkette und andere ESG-Risiken in der Lieferkette mit derselben grundlegenden Herausforderung verbunden sind: Man kann nicht direkt beobachten, was in den Betrieben der Lieferanten vor sich geht. Man ist auf Selbstbewertungen, Audits durch Dritte, Zertifizierungen und vertragliche Verpflichtungen angewiesen, um Vertrauen darin zu schaffen, dass Risiken angemessen gesteuert werden. Dieselben Instrumente, die ESG-Lieferkettenprogramme zur Steuerung von Umwelt- und Sozialrisiken einsetzen, lassen sich anpassen und erweitern, um auch Cybersicherheitsrisiken anzugehen.
Lieferantenfragebögen können Fragen zur Cybersicherheit enthalten, die auf die sechs Funktionen des CSF 2.0 abgestimmt sind. Verfügen Lieferanten über dokumentierte Cybersicherheitsrichtlinien und Governance-Prozesse? Führen sie ein Inventar ihrer Vermögenswerte und Abhängigkeiten von Dritten? Verfügen sie über erprobte Verfahren zur Reaktion auf Vorfälle? Besitzen sie eine anerkannte Cybersicherheitszertifizierung wie ISO 27001? Diese Fragen sind technisch nicht anspruchsvoller als die Fragen zum Umweltmanagement, die routinemäßig in ESG-Lieferantenbewertungen enthalten sind – und sie liefern aussagekräftige Informationen über die Cybersicherheitslage des Lieferanten.
Die Segmentierung von Lieferanten und die Einstufung nach Risikostufen – gängige Praxis im ESG-Lieferkettenmanagement – lassen sich direkt auf Cyberrisiken anwenden. Lieferanten, die Zugang zu sensiblen Daten, kritischen Systemen oder Betriebstechnologie haben, erfordern eine intensivere Bewertung und spezifischere vertragliche Schutzmaßnahmen. Lieferanten, die nicht digital in Ihr Unternehmen eingebunden sind, stellen ein geringeres Cyberrisiko dar und können mit weniger aufwendigen Prozessen verwaltet werden.
Meldung und Reaktion auf Vorfälle
Ein Aspekt des Cyberrisikos in der Lieferkette, den ESG-Experten möglicherweise noch nicht berücksichtigt haben, ist die Meldepflicht bei Vorfällen. Ein Lieferant, bei dem ein Cybersicherheitsvorfall auftritt – etwa eine Datenpanne, ein Ransomware-Angriff oder eine Systemkompromittierung –, kann ein Risiko oder eine Haftung für Ihr Unternehmen darstellen, selbst wenn Ihre eigenen Systeme nicht direkt betroffen waren. Ob dieses Risiko finanzieller, regulatorischer oder reputationsbezogener Natur ist, hängt von der Art der betroffenen Daten und den bestehenden vertraglichen Vereinbarungen ab.
Die „Respond“-Funktion von CSF 2.0 erfordert im Kontext der Lieferkette, dass Unternehmen über klare Prozesse für den Empfang und die Bearbeitung von Meldungen über Vorfälle seitens der Lieferanten verfügen – und dass die Lieferanten vertraglich verpflichtet sind, diese Meldungen unverzüglich zu übermitteln. Für ESG-Experten, die für die Kommunikation mit Stakeholdern und die Offenlegung zuständig sind, stellt ein Vorfall bei einem Lieferanten, der eine Meldepflicht gegenüber Aufsichtsbehörden oder Kunden auslöst, ein Governance-Ereignis dar, das mit derselben Sorgfalt behandelt werden muss wie jeder andere wesentliche Vorfall.
In Ihre bestehende Praxis integrieren
Die gute Nachricht für ESG-Experten ist, dass die Infrastruktur für das Cyberrisikomanagement in der Lieferkette nicht von Grund auf neu aufgebaut werden muss. Sie kann auf den bestehenden Praktiken der Lieferketten-Due-Diligence aufbauen, indem Cybersicherheitskriterien in bestehende Bewertungsinstrumente aufgenommen, Cybersicherheitsanforderungen in bestehende Lieferantenverträge integriert und Cybersicherheitsrisiken in bestehende Prozesse zur Risikoeinstufung und -überwachung von Lieferanten einbezogen werden.
NIST CSF 2.0 bietet einen Rahmen für die Festlegung der anzuwendenden Cybersicherheitskriterien. Die Kategorie „Lieferkette“ der Funktion „Govern“ legt die Erwartungen an die Governance fest. Die Funktionen „Identify“, „Protect“, „Detect“, „Respond“ und „Recover“ liefern die operativen Kriterien, die in Fragen zur Lieferantenbewertung und in vertragliche Anforderungen umgesetzt werden können.
Unternehmen, die Cyberrisiken in ihre ESG-Due-Diligence-Prüfung der Lieferkette einbeziehen, sind besser geschützt, besser informiert und besser in der Lage, Investoren, Aufsichtsbehörden und Kunden, die zunehmend genau diese Fragen stellen, die Qualität ihrer Unternehmensführung zu demonstrieren.
Das Wichtigste auf einen Blick: CSF 2.0 macht das Cyberrisiko in der Lieferkette zu einer Priorität der Unternehmensführung. ESG-Experten im Bereich Lieferkette können ihre bestehende Infrastruktur zur Sorgfaltsprüfung – Einstufung, Fragebögen, Verträge, Audits – nutzen, um diesem Risiko zu begegnen, indem sie ihre bestehenden Maßnahmen um Kriterien zur Cybersicherheit ergänzen.