NIS2 und DORA: Was Technologieunternehmen wissen müssen

Die Richtlinie zur Netz- und Informationssicherheit (NIS2) und die Verordnung über digitale operative Resilienz (DORA), die in diesem Jahr von ausgewählten Unternehmen in der Europäischen Union (EU) umgesetzt werden müssen, werden die Cybersicherheitslandschaft in der gesamten EU verändern.  
 

Auch wenn die NIS2- und DORA-Bestimmungen für manche Technologieunternehmen möglicherweise nicht direkt gelten, könnten deren Kunden beschließen, die Cybersicherheit und die betriebliche Resilienz ihrer kritischen Anbieter zu bewerten, um die Einhaltung der Bestimmungen zu gewährleisten. Daher ist es sehr wichtig, dass Technologieunternehmen die neuen Anforderungen und die damit verbundenen möglichen Risiken kennen, um entsprechende Strategien zur Risikominderung umzusetzen. 
 

Dieser Artikel erläutert einige Möglichkeiten, wie IT- und Softwareunternehmen ihre Haftungsrisiken in Anbetracht dieser neuen Bestimmungen minimieren können.  

Transparenz und Kommunikation sind das A und O 

Software Vulnerability Disclosure Policy (VDP): Eine Kultur der verantwortungsvollen Meldung von Schwachstellen kann durch die Einführung einer klar definierten VDP gefördert werden. Die Kunden sollten dazu angehalten werden, ihrem IT- oder Softwareanbieter Schwachstellen zu melden. In der VDP sollte klar geregelt sein, wie Schwachstellen zu melden sind, den Prozess zur Behebung von Schwachstellen beschreiben und Hinweisgebern Anonymität und Schutz vor Vergeltungsmaßnahmen zusichern. 

Patch-Management: Wichtig ist ein System zur raschen Behebung von Schwachstellen, die beispielswiese durch interne Tests oder Kundenberichte identifiziert werden. Wenn Schwachstellen gefunden werden, sollten IT-Unternehmen ihre Kunden klar und übersichtlich über die Art des Problems, die möglichen Auswirkungen sowie die Verfügbarkeit von Patches oder Updates informieren.  
 

Klare Kommunikation: Fachjargon oder eine zu technische Sprache sollten vermieden werden, wenn die Kunden über Sicherheitsprobleme oder Updates informiert werden. Durch eine klare und präzise Sprache wird die Kommunikation für die Kunden erleichtert. 
 

Dokumentieren Sie alles: IT-Unternehmen sollten klar definierte Prozesse einrichten, um alle Interaktionen mit Kunden zu dokumentieren, einschließlich erteilter Empfehlungen und getroffener Vereinbarungen. Im Falle einer Meinungsverschiedenheit mit einem Kunden oder einer drohenden Haftung kann eine detaillierte Dokumentation helfen, die eigene Position zu stützen. 

Kundenvertrauen: Der Erwerb von Zertifizierungen oder SOC2-Auditberichten kann Kunden die Gewissheit geben, dass das Kontrollumfeld ihres IT-Providers sicher ist und einem hohen Standard entspricht. Es ist wichtig darauf vorbereitet zu sein, Kunden und Aufsichtsbehörden unter bestimmten Umständen Nachweise für Kontrolltests zur Verfügung zu stellen.  

Bedrohungsorientierte Penetrationstests: Auf Verlangen ihrer Kunden sollten IT-Unternehmen die Teilnahme an regelmäßigen bedrohungsorientierten Penetrationstests einschließlich Pooling-Tests planen. 

Vorteile von Verträgen 

Klare Haftungsausschlüsse: Technologieunternehmen sollten in Softwarelizenzvereinbarungen auch Haftungsausschlüsse integrieren, die die Grenzen der Sicherheitskapazitäten der Software aufzeigen, und für ein realistisches Erwartungsmanagement der Kunden sorgen. Wichtig ist es, klar zu kommunizieren, was die Software kann und welche Sicherheitsmaßnahmen im Rahmen der Funktionen ergriffen wurden, vorzugsweise durch Prüfung eines brancheninternen Anwalts. 

Leistungsumfang: In einem klar definierten Vertrag und/oder einem Service Level Agreement (SLA) werden die spezifischen Leistungen und ihre Verpflichtungen eines Technologieunternehmens dargelegt. So lässt sich genau festlegen, wofür das Technologieunternehmen verantwortlich ist. Vorsorglich sollte auch festgehalten werden, welche Leistungen das Unternehmen nicht erbringen wird und/oder welche Milestones in einer Entwicklung erreicht werden sollen. 

Pflichten des Kunden: Der Vertrag sollte die Sicherheitsverantwortung des Kunden klar festlegen, wobei die Meldung von Vorfällen im Vordergrund steht. Zu den Pflichten können auch fristgerechte Software-Updates, ordnungsgemäße Zugriffskontrollen für Benutzer und die Einhaltung bewährter Sicherheitsverfahren gehören. Vor allem bei der Zusammenarbeit mit größeren Unternehmen, die über eigene IT-Abteilungen verfügen, ist eine klare Formulierung der Pflichten jeder Partei besonders wichtig.  

Einschränkung der Gewährleistung: IT-Anbieter sollten die Aufnahme von Klauseln in die Verträge mit ihren Kunden erwägen, die die Haftung für indirekte oder Folgeschäden aus Cyberangriffen ausschließen, oder zumindest sicherstellen, dass die Haftung stets auf einen angemessenen Betrag begrenzt ist. Durch diese Einschränkungen lässt sich das potenzielle Haftungsrisiko limitieren. 

Entschädigungsklauseln: In bestimmten Fällen können IT- und Softwareunternehmen in Erwägung ziehen, Entschädigungsklauseln in ihre Verträge aufzunehmen. Möglicherweise möchten sie auch Klauseln über höhere Gewalt in den Vertrag aufnehmen, zum Beispiel Cyberangriffe als höhere Gewalt definieren. Solche Klauseln können gegebenenfalls einen Teil der Haftung auf den Kunden übertragen, sind jedoch häufig sehr komplex und nicht in allen Rechtssystemen durchsetzbar. Hier sollte Rücksprache mit einem Rechtsbeistand gehalten werden.  

Schulung und Unterstützung von Kunden 

Sicherheitsunterlagen: Umfassende IT-Sicherheitsunterlagen können Kunden dabei unterstützen, ihre Software sicher zu nutzen. Diese Unterlagen sollten bewährte Verfahren für die sichere Konfiguration und Bereitstellung von Software aufzeigen und den Kunden dabei helfen, die Sicherheitsfunktionen optimal zu nutzen. Wie zuvor erwähnt, sollte die Sprache in diesen Dokumenten präzise und klar formuliert sein.  

Information an Kunden: IT- und Softwareunternehmen sollten ihre Kunden unbedingt informieren, wenn ihr bestehendes oder angebotenes IT-Sicherheitsniveau unzureichend ist, beispielsweise, wenn keine Multi-Faktor-Authentifizierung verwendet wird, oder die Firewall unzureichend ist. Wenn Kunden über solche Schwächen informiert werden, sollte dies klar dokumentiert werden.   

Schulung zum Sicherheitsbewusstsein: Technologieunternehmen sollten ihren Kunden Schulungen zum Thema Cybersicherheit anbieten. Diese Schulungen können Kunden zeigen, wie sie ihre IT-Systeme sicher nutzen und potenzielle Bedrohungen erkennen können. Ebenso wichtig ist es für IT-Unternehmen, dass sie solche Schulungen auch intern durchführen.  

 Zusammenfassung 

Diese Inhalte dienen ausschließlich der allgemeinen Information. Es handelt sich dabei nicht um eine persönliche, insbesondere rechtliche Beratung oder Empfehlung für Privatpersonen oder Unternehmen hinsichtlich eines Produkts oder einer Leistung. Die spezifischen Prozesse, die implementiert werden, hängen von der Art der Tätigkeiten und den Produkten eines Technologieunternehmens, dem Zielmarkt und dem rechtlichen Umfeld ab, in dem das Unternehmen tätig ist. Die Absprache mit Rechtsberatern und Versicherern ist essenziell, um sicherzustellen, dass die Vorgehensweise mit den einschlägigen Vorschriften und bewährten Verfahren in Einklang steht. Die hier dargelegten allgemeinen Grundsätze können IT- und Softwareunternehmen jedoch dabei helfen, einen robusteren und widerstandsfähigen Rahmen zur Risiko- und Haftungsminderung zu schaffen.  

Von der allgemeinen Haftpflicht über Cyber- und Sachversicherung bis hin zur Betriebshaftpflicht bietet die Industry Practice Technology der Chubb Versicherungslösungen für Technologie-Unternehmen jeder Größe in einem breiten Branchenspektrum. Zusammen mit den Underwritern und unseren Risk Engineers beraten wir Sie gerne.