NIS2 und DORA: Was IT- und Softwareunternehmen wissen müssen

In diesem Jahr müssen die Richtlinie zur Netz- und Informationssicherheit (NIS2) und die Verordnung über digitale operative Resilienz (DORA) von ausgewählten Unternehmen in der EU umgesetzt werden. Dies wird die Cybersicherheitslandschaft auf dem gesamten Kontinent verändern.  
 

Obwohl die NIS2- und DORA-Bestimmungen auf bestimmte IT- und Softwareunternehmen wahrscheinlich nicht direkt anwendbar sind, könnten Kunden beschliessen, die Cybersicherheit und die betriebliche Resilienz ihrer kritischen Drittanbieter zu beurteilen, um die Einhaltung der Verordnungen zu gewährleisten. Deshalb müssen sich IT-Unternehmen der neuen Anforderungen und der damit verbundenen Risiken bewusst sein. So können sie entsprechende Strategien zur Risikominderung entwerfen und umsetzen. 
 

Dieser Artikel erläutert, wie IT- und Software-Unternehmen ihre Haftungsrisiken in Anbetracht dieser neuen Bestimmungen minimieren können.  

Transparenz und Kommunikation sind das A und O 

Software Vulnerability Disclosure Policy (VDP): Fördern Sie eine Kultur der  Berichterstattung von Schwachstellen durch die Einrichtung einer klar definierten VDP. Die Kundschaft sollte dazu motiviert werden, Schwachstellen ihrem IT- oder Softwareanbieter zu melden. In der VDP sollte klar dargelegt werden, wie Schwachstellen gemeldet, Korrekturen koordiniert und Hinweisgebern Anonymität und Schutz vor Vergeltungsmassnahmen zugesichert werden können. 
 

Patch-Management: Einrichtung eines Systems zur raschen Beseitigung von durch interne Tests oder Kundenmeldungen festgestellten Schwachstellen. Wenn Schwachstellen gefunden werden, sollten IT-Firmen ihrer Kundschaft die Art des Problems, seine potenziellen Auswirkungen und die Verfügbarkeit von Patches oder Updates erklären.  
 

Drücken Sie sich klar aus: Vermeiden Sie bei der Kommunikation mit Kunden über Sicherheitsprobleme oder Updates IT-Jargon oder allzu technische Fachsprache. Die Verwendung einer klaren und prägnanten Sprache wird Ihrer Kundschaft das Verständnis erleichtern.  
 

Dokumentieren Sie alles: IT-Firmen sollten über klar definierte Prozesse verfügen, um alle Interaktionen mit Kunden zu dokumentieren, einschliesslich der gegebenen Empfehlungen und der getroffenen Vereinbarungen. Sollte es mit einem Kunden Differenzen geben oder sollte ein Haftungsrisiko bestehen, kann eine ausführliche Dokumentation helfen, ihre Position zu unterstützen.     

 

Kundenvertrauen: Zertifizierungen oder SOC2-Untersuchungsberichte geben Kunden die Sicherheit, dass das Sicherheitskontrollumfeld ihres IT-Providers sicher und anspruchsvoll ist. Seien Sie unter bestimmten Umständen bereit zur Weitergabe von Kontrolltestnachweisen an Aufsichtsbehörden und Kundschaft.  
 

Bedrohungsorientierte Penetrationstests: Auf Verlangen ihrer Kundschaft sollten IT-Unternehmen die Teilnahme an bedrohungsorientierten Penetrationstests planen, einschliesslich Pooling-Tests. 

Vorteile von Verträgen 

Klare Haftungsausschlüsse: Für Softwareanbieter sollten Softwarelizenzvereinbarungen Haftungsausschlüsse enthalten, die die Grenzen der Sicherheitskapazitäten der Software aufzeigen, um keine überzogenen Erwartungen zu wecken. Sagen Sie klar, was die Software kann, und welche Sicherheitsmassnahmen im Rahmen ihrer Funktionen ergriffen wurden. 
 

Leistungsumfang: Ein klarer Vertrag und/oder Service Level Agreement (SLA) skizziert die spezifischen Leistungen der IT-Firma und ihre Verpflichtungen. Dadurch lässt sich genau festlegen, wofür das Unternehmen verantwortlich ist. Vorsorglich sollte auch erklärt werden, was der IT-Anbieter nicht tun wird.  
 

Pflichten des Kunden: Der Vertrag sollte die Sicherheitsverantwortung des Kunden klar festlegen, wobei die Meldung von Vorfällen im Vordergrund steht. In seine Zuständigkeit können auch fristgerechte Software-Updates, ordnungsgemässe Zugriffskontrollen für Benutzer und die Einhaltung bewährter Sicherheitsverfahren gehören. Vor allem bei der Zusammenarbeit mit grösseren Unternehmen, die über eigene IT-Abteilungen verfügen, ist die genaue Festlegung der Pflichten jeder Partei besonders wichtig.  
 

Einschränkung der Gewährleistung: Denken Sie in den Vereinbarungen zwischen IT-Anbieter und Kunde an Einschränkung der Gewährleistung, die die Haftung für indirekte oder Folgeschäden aus Cyberangriffen ausschliesst, und stellen Sie sicher, dass die Haftung stets auf einen angemessenen Betrag begrenzt ist. Durch diese Einschränkungen lässt sich das potenzielle Haftungsrisiko steuern. 
 

Entschädigungsklauseln: In bestimmten Fällen können IT- und Softwareunternehmen in Erwägung ziehen,  eine Klausel für Entschädigungen in ihre Vereinbarungen aufzunehmen. Möglicherweise wollen sie auch Klauseln über höhere Gewalt in den Vertrag aufnehmen und Cyberangriffe als höhere Gewalt definieren. Solche Klauseln können einen Teil der Haftung auf die Kundschaft abwälzen, aber sie sind komplex und nicht in allen Rechtssystemen durchsetzbar. Hier sollte Rücksprache mit einem Rechtsbeistand gehalten werden.  

Schulung und Befähigung  

Sicherheitsunterlagen: Umfassende IT-Sicherheitsunterlagen können Kunden dazu befähigen, ihre Software sicher zu nutzen. Diese Unterlagen sollten bewährte Verfahren für die sichere Konfiguration und Bereitstellung von Software aufzeigen und ihnen dabei helfen, die Sicherheitsfunktionen optimal zu nutzen. Wie vorstehend erwähnt, sollte die Sprache in diesen Unterlagen präzise und leicht verständlich sein. 
 

Information der Kunden: IT- und Softwareunternehmen sollten ihre Kunden unbedingt informieren, wenn ihre bestehende oder angebotene IT-Sicherheit mangelhaft ist. Wenn sie beispielsweise keine Multi-Faktor-Authentifizierung verwenden oder ihre Firewall unzureichend ist. Wenn Kunden über solche Schwächen informiert werden, sollte dies klar dokumentiert werden.   
 

Schulung zum Sicherheitsbewusstsein: Technologieunternehmen sollten ihren Kunden Schulungen zum Thema Cybersicherheit anbieten. Diese Schulungen können sie darüber aufklären, wie sie ihre IT-Systeme sicher nutzen und potenzielle Bedrohungen identifizieren können. Ebenso wichtig ist es für IT-Unternehmen, sicherzustellen, dass sie solche Schulungen auch intern durchführen.  

Zusammenfassung 

Die konkrete Umsetzung dieser allgemeinen Empfehlungen hängt von der Art des Betriebs und der Produkte einer IT-Firma, ihrem Zielmarkt und ihrem rechtlichen Umfeldab. Durch die Absprache mit Rechtsberatern und Versicherungsunternehmen soll sichergestellt werden, dass ihr Ansatz mit den einschlägigen Vorschriften und bewährten Verfahren übereinstimmt. Die hier ausgeführten allgemeinen Grundsätze können IT- und Softwareunternehmen dabei helfen, ein robusteres und resilienteres Umfeld zur Minderung von Risiken und Haftung zu schaffen.   
 

Von der allgemeinen Haftpflicht über Cyber- und Sachversicherung bis hin zur Berufshaftpflicht bietet die Chubb-Branchenlösung Versicherungslösungen für Tech-Firmen jeder Grössen an.