RECHTLICHE VORGABEN 12. SEP 2024
NIS2: Wie Sie E-Mail-Verschlüsselung in der Lieferkette umsetzen
Die EU-Richtlinie NIS2 verpflichtet Unternehmen bestimmter Sektoren, ab dem 18. Oktober 2024 Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau einzuhalten – auch entlang der Lieferkette. Wer von NIS2 betroffen ist, muss demnach seine Geschäftspartner und Dienstleister zur Umsetzung der Cybersicherheit verpflichten. Sollte dies nicht geschehen, drohen Bußgelder.
Die Richtlinie schränkt nicht ein, welche Unternehmen in die Lieferkette fallen. Das können Lieferanten von Maschinen oder Komponenten sein, aber auch IT-Dienstleister. Damit dürften auch viele kleine Betriebe indirekt von NIS2 betroffen sein, also Unternehmen, die weniger als 50 Mitarbeiter oder 10 Millionen Euro Jahresumsatz haben.
Hier finden Sie weitere Informationen zu Umfang, Risikomanagementmaßnahmen und Sanktionen laut NIS2.
Zertificon ist auch von NIS2 betroffen: Einblick in unsere Maßnahmen zur Lieferkettensicherheit
Video (15 Min): Unser NIS2 Plan: E-Mail-Verschlüsselung, Lieferkettensicherheit & Co. (inside Zertificon)
NIS2 fordert E-Mail-Verschlüsselung in der Lieferkette
Ungeschützte E-Mails sind ein großes Sicherheitsrisiko in der Lieferkette. Der Einsatz von Kryptografie und Verschlüsselung sowie gesicherte Textkommunikation sind daher zentrale Risikomanagementmaßnahmen nach NIS2 (siehe Gesetzentwurf vom 22.07.2024, ab S. 40). Für direkt betroffene Unternehmen wird es erforderlich sein, diese Maßnahmen in die Verträge mit Lieferanten aufzunehmen. Das heißt, die Durchsetzung einer sicheren Kommunikation in Geschäftsbeziehungen wird bald zum Standard werden.
Schon jetzt bestehen viele Unternehmen beispielsweise in der Automobilbranche oder im Handel auf einer verschlüsselten E-Mail-Kommunikation nach den internationalen Standards S/MIME oder OpenPGP. Unternehmen sind daher gut beraten, schnell in eine sichere Infrastruktur zu investieren oder bestehende Lösungen breiter einzusetzen.
Welche E-Mail-Verschlüsselung ist NIS2-konform?
Der NIS2-Gesetzentwurf fordert Risikomanagementmaßnahmen, die den „Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und […] auf einem gefahrenübergreifenden Ansatz beruhen.“
Für die E-Mail-Sicherheit bedeutet dies den Einsatz von digitalen Signaturen und Verschlüsselung nach den international anerkannten Standards S/MIME und OpenPGP. Im B2B-Kontext gilt die Steuerung der E-Mail-Sicherheit an zentraler Stelle durch ein E-Mail-Gateway wie Z1 SecureMail als Best Practice.
Ist E-Mail-Verschlüsselung mit TLS für NIS2 ausreichend?
Die alleinige Nutzung von TLS (Transport Layer Security) zur Verschlüsselung ist nicht sicher. Die Schwächen von TLS haben wir im Zusammenhang mit der DSGVO bereits in diesem Artikel beschrieben.
Wenn TLS verwendet wird, können Absender und Empfänger kaum nachweisen, ob einzelne E-Mails durchgängig verschlüsselt waren. Außerdem ist es mit TLS nicht möglich, E-Mails zu signieren.
Unternehmen sind deshalb gut beraten, ihre elektronische Kommunikation neben der TLS-Verschlüsselung auch mit Inhaltsverschlüsselung (auch „Ende-zu-Ende-Verschlüsselung“ genannt) zu schützen. Mit unserer Gatewaylösung Z1 SecureMail lassen sich Signatur und Inhaltsverschlüsselung von E-Mails mit S/MIME und OpenPGP einfach realisieren.
Wie Sie als NIS2-Unternehmen die Kommunikation in der Lieferkette schützen
Unsere Z1 SecureMail Lösungen bieten Ihnen die notwendige Verschlüsselungstechnologie gemäß NIS2. Die Variante Z1 SecureMail Gateway richtet sich an Unternehmen mit speziellen Anforderungen. Viele große Unternehmen nutzen diese Lösung schon seit Jahren, um ihre KRITIS relevante E-Mail-Kommunikation zu schützen.
Mit Z1 SecureMail ONE hat Zertificon ein besonderes Angebot entwickelt: das Verschlüsselungsgateway für KMU bis 100 E-Mail-Postfächer. Z1 SecureMail ONE ist eine vollwertige Gatewaylösung mit vereinfachter Administration. Kleinere Lieferanten und Dienstleister erfüllen damit den Stand der Technik und die geforderten Normen – und das zu einem attraktiven Preis ab 5 Euro/Nutzer im Monat, inklusive S/MIME-Zertifikaten.
30 Euro Rabatt für den ersten Monat
Gutscheincode: „NIS2“
Beim Kauf von Z1 SecureMail ONE mit unserem Gutscheincode sparen Sie 30 Euro im ersten Abo-Monat. Die Aktion läuft bis zum 31.12.2024. Lösen Sie den Code ganz einfach im Warenkorb ein.
E-Mail-Compliance in der Lieferkette durchsetzen – ohne Kontrollen
Posteingang mit erfolgreich entschlüsselter E-Mail
samt gültiger Signatur
Als Nutzer von Z1 SecureMail müssen Sie keine großen Aufwände betreiben, um sicherzustellen, dass Ihre Lieferanten NIS2-konform mit Ihnen kommunizieren. Vordefinierte Regeln, sogenannte Z1 Policies, sind eine effektive Möglichkeit, um Compliance-Standards durchzusetzen. Sie können in unserer Verschlüsselungs-Software zentral festlegen, dass E-Mails an bestimmte externe Dienstleister automatisch signiert und verschlüsselt werden. Gleichzeitig kann eine Z1 Policiy definiert werden, die verhindert, dass unverschlüsselte E-Mails von bestimmten Dienstleistern und Lieferanten angenommen werden. In diesem Fall wird der jeweilige Absender über die Blockierung der E-Mail benachrichtigt. Ob eine E-Mail signiert und verschlüsselt wurde, sehen die Empfänger auch in der Fußzeile jeder eingehenden E-Mail, siehe Abbildung.
Auch Audits sind mit Z1 SecureMail keine Herausforderung. Über das Monitoring wird aufgezeichnet, welche E-Mails mit wem und mit welcher Sicherheitstechnologie ausgetauscht wurden.
NIS2-konforme E-Mail-Verschlüsselung für Ihre Lieferkettensicherheit
Quelle: Gesetzentwurf zur Umsetzung der NIS2-Richtlinie (22.07.24)
