Dipl.-Ing. Johannes GÖLLNER, MSc
© ZVG
Vorstandsvorsitzender des Zentrums für Risiko- & Krisenmanagement, Wien (www.zfrk.org)
Globalisierung, Digitalisierung und Automatisierung sind die treibenden Kräfte für eine holistische Betrachtung der Verletzbarkeit der Lieferkette und ihrer Netzwerke (Basic-, Supply- und Public Networks) – in Beziehung zum Cyberraum und zu Cyberevents. Unter Berücksichtigung der Einbettung in transnationale und internationale Versorgungssysteme – etwa für Energie, Rohstoffe, Lebensmittel, medizinische Verbrauchsgüter und Informationen –, die durch politische, rechtliche, ökonomische, zivile, technische sowie Natur- und Umweltereignisse beeinträchtigt werden können, ist eine holistische Betrachtung die wesentliche Grundlage für die Entwicklung von Strategien zur Risikoreduktion und zum Resilienzdesign in Supply- und Value Chains sowie in der IKT- und Cybersicherheit. IKT- und Cyber-Bedrohungsszenarien, die zu Unterbrechungen und Engpässen in regionalen, nationalen, supranationalen und internationalen Versorgungssystemen bzw. Lieferketten führen können, sind im Rahmen des Risk Assessments in Korrelation zu möglichen Supply-Chain-Störungen zu berücksichtigen.
Die Entwicklung von Strategien zur Risikominimierung und Resilienzsteigerung für physische und digitale Supply- sowie Value Chains – einschließlich ihrer Verbindung zu Supply-Chain-Netzwerken und strategischen (kritischen) Infrastrukturen – erfordert innovative qualitative und quantitative Konzepte, Modelle, Methoden und Werkzeuge im Bereich Risk Assessment, Modeling und Simulation. Ziel ist es, den erforderlichen Resilienzgrad auf staatlicher und unternehmerischer Ebene zu bestimmen und damit die Strategie- und Produktentwicklung positiv und wertschöpfend zu unterstützen.
Die internationale Standardisierung, vertreten durch die ISO (International Organization for Standardization, Genf), hat bereits 2007 mit der Veröffentlichung von Supply-Chain-Security-Standards[1],[2],[3] auf die Relevanz des Themas reagiert und diese dokumentiert. 2018 hat das National Cyber Security Centre (UK) den Zusammenhang zwischen Supply-Chain-Sicherheit und Cybersicherheit dokumentiert und veröffentlicht.
Der supranationale Gesetzgeber, die EU, reagierte darauf mit der EU NIS-2-Richtlinie (Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022), die ab 18.10.2024 in Österreich und allen EU-Mitgliedsstaaten auch für spezifische KMU (wesentliche und wichtige Einrichtungen) gelten sollte[4]. Die Transformation in Österreich läuft noch; während in Deutschland seit 06.12.2025 das NIS-2-Umsetzungsgesetz gültig ist[5]. Betroffen sind alle Unternehmen und darüber hinaus spezifische KMU, die sogenannte wesentliche oder wichtige Einrichtungen sind und dem Kriterienkatalog der EU-Richtlinie entsprechen. Zum ersten Mal wird Cybersicherheit nun gemäß Artikel 21 Absatz 2 Buchstabe d) der NIS-2-Richtlinie mit Supply-Chain-Security verknüpft. Diese Verbindung muss bei Audits nach ISO 27001 in Korrelation mit weiteren relevanten Standards analysiert werden.
Im Folgenden werden einige Herausforderungen angeführt, die für von NIS-2 betroffene Unternehmen – insbesondere für KMU – relevant sind:
- Entwicklung, Einführung und Anwendung eines standardisierten, faktenbasierten und mathematisch modellgestützten Cyber-Event- und Bedrohungs-Monitorings sowie eines Risikoanalyse- und Bewertungsmodells. Dies schließt die erforderliche, teilweise permanente Dokumentation von Zusammenhängen und Wechselwirkungen ein, basierend auf den aktuell relevanten gesetzlichen Neuerungen im Zusammenspiel von Cyber- und Supply-Chain-Regelwerken.
- Die Mitentwicklung von Standards, Leitfäden[6] sowie einheitlichen, qualitätsgesicherten und getesteten Zertifizierungsstandards ist entscheidend, um die entstehenden Kosten – etwa durch zusätzliche Überwachung, permanente Berichterstattung von Vorfällen und Bedrohungen, Maßnahmen zur Supply-Chain-Security oder erweiterten Vollzug und Krisenmanagement – bei der Umsetzung der NIS-2-Richlinie zu reduzieren.
- Initiierung einer Aus-, Fort- und Weiterbildungskampagne zur Bewältigung des bestehenden IT- und Cyber-Fachkräftemangels in österreichischen Unternehmen sowie zur Ausbildung verfügbarer NIS-2-Zertifizierungsexpert:innen. Ziel ist es, die große Anzahl von Unternehmen, die gemäß ISO 27001 und ähnlichen Standards auditiert werden müssen, fachlich und zeitnah betreuen zu können. Ein möglicher Ansatz besteht darin, die durch das Ingenieurgesetz (IngG 2017) geschaffenen Möglichkeit auf Niveaustufe VI des NQR/EQR (Bachelorniveau) zu nutzen, um geeignete Fachkräfte selbst auszubilden und so die Lücke fehlender Hochschulabsolvent:innen zu schließen.
[1]ISO 28000 (Specification for security management systems for the supply chain), First edition: 2007-09-15; aktueller Stand: ISO 28000:2022; Revision in Vorbereitung.
[2]ISO 28001 (Security management systems for the supply chain — Best practices for implementing supply chain security, assessments and plans Requirements and Guidance), First edition 2007-10-15;
[3]ISO 20858 (Ships and marine technology — Maritime port facility security assessments and security plan development), First edition 2007-10-15; aktueller Stand: ISO 20858:2012;
[4]Bis zum 17.10.2024 erlassen und veröffentlichen die Mitgliedschaften die erforderlichen Vorschriften, um diese Richtlinie umzusetzen.
[5]https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251205_NIS-2-Umsetzungsgesetz_in_Kraft.html
[6]Die RMA – Risk Management und Rating Association e.V., München, Deutschland, entwickelt im Rahmen ihres Arbeitskreises Supply-Chain-Risikomanagement einen Leitfaden für Supply-Chain- (Resilience-/Security-) Management in Korrelation zur NIS-2-Richtlinie, der voraussichtlich im 1. Quartal 2026 veröffentlicht und Unternehmen kostenlos zur Verfügung stehen wird.
