Cybersicherheit wird durch NIS2 (EU-Richtlinie für Netz- und Informationssicherheit 2) für öffentliche Auftraggeber vom technischen Spezialthema zum vergaberechtlichen Pflichtprogramm: Wer IT beschafft, muss künftig neben Preis und Funktion auch nachweisbare Resilienz und Lieferkettensicherheit bewerten und einkaufen.
NIS2 erreicht die öffentliche Beschaffung
Das vor mehr als einem halben Jahr in Kraft getretene NIS2-Umsetzungsgesetz ist längst kein Zukunftsthema mehr, sondern geltendes Recht für Verwaltung und Wirtschaft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass circa 29.500 Unternehmen und Einrichtungen den neuen gesetzlichen Pflichten der IT-Sicherheit unterliegen.
Dies betrifft auch viele Behörden und öffentliche Unternehmen, die nun durch NIS2 reguliert werden. Dazu gehören Bundesbehörden, öffentlich-rechtlich organisierte IT-Dienstleister der Bundesverwaltung sowie weitere Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts. Für Landesverwaltungen haben einige Länder, wie etwa Hessen, Niedersachsen und Rheinland-Pfalz, eigene Umsetzungsakte geschaffen.
Kommunale Verwaltungen sind dagegen nicht pauschal durch das NIS2-Umsetzungsgesetz erfasst. Kommunale Eigen- oder Regiebetriebe können aber dann in den Anwendungsbereich fallen, wenn sie kritische Anlagen betreiben oder als wirtschaftlich tätige Einrichtungen in die vom Umsetzungsgesetz erfassten Sektoren fallen und die Schwellenwerte für wichtige oder besonders wichtige Einrichtungen überschreiten.
Die Bestimmung der Anwendbarkeit der NIS2-Richtlinie kann mitunter sehr komplex sein. Für Vergabestellen heißt das: Vor der Ausschreibung steht eine sorgfältige Betroffenheitsprüfung.
Sicherheit in der Lieferkette und beim Einkauf
NIS2 verlangt von betroffenen Einrichtungen die Umsetzung von Risikomanagementmaßnahmen. Zu den Mindestmaßnahmen gehören ausdrücklich die Sicherheit der Lieferkette und die sicherheitsbezogenen Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern. Hinzu kommen Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung informationstechnischer Systeme, Komponenten und Prozesse einschließlich des Schwachstellenmanagements.
Diese Maßnahmen sind wichtig, weil viele Sicherheitsvorfälle nicht beim Auftraggeber selbst beginnen, sondern über Software, Dienstleister oder Unterauftragnehmer in die Organisation gelangen. Ein Auftraggeber, der einen unsicheren Dienstleister beauftragt, riskiert Sicherheitsvorfälle und kann durch dessen Verhalten selbst gegen NIS2-Pflichten verstoßen. Cybersicherheit ist damit nicht länger ein freiwilliges „Nice-to-have“. Sie wird zur zwingenden Voraussetzung und zum Kernbestandteil der geschuldeten Leistung.
Berücksichtigung in den Ausschreibungsunterlagen
Erster vergaberechtlicher Ansatzpunkt zur Umsetzung der NIS2-Pflichten ist die Eignung. Öffentliche Aufträge werden nach § 122 Gesetz gegen Wettbewerbsbeschränkungen (GWB) an fachkundige und leistungsfähige Unternehmen vergeben, die die vom Auftraggeber festgelegten Eignungskriterien erfüllen. Diese Kriterien dürfen insbesondere die technische und berufliche Leistungsfähigkeit betreffen und müssen mit dem Auftragsgegenstand in Verbindung stehen sowie verhältnismäßig sein.
Bei IT-Beschaffungen können Auftraggeber daher gezielt Nachweise zur Informationssicherheit verlangen. Anerkannte Zertifikate, wie etwa die Normen ISO/IEC 27001, 27002, 27701 und 27005, gewinnen dadurch an Bedeutung. Darüber hinaus kommen auch BSI-Personenzertifizierungen oder aussagekräftige Referenzprojekte in Betracht.
Ein weiterer zentraler Ansatzpunkt zur Sicherstellung der Einhaltung der NIS2-Anforderungen ist die Leistungsbeschreibung. Nach § 121 GWB ist der Auftragsgegenstand so eindeutig wie möglich zu beschreiben. Gerade bei IT-Sicherheit sollten Auftraggeber nicht bei allgemeinen Formeln wie „Stand der Technik“ stehen bleiben. Besser sind konkrete Funktions- und Leistungsanforderungen. Dazu gehören Sicherheitsmaßnahmen wie z.B. Verschlüsselung, Multi-Faktor-Authentifizierung, Schwachstellenmanagement, Notfallkommunikation und Meldewege.
Absicherung durch vertragliche Regelungen
Das Leistungssoll wird neben der Leistungsbeschreibung mit den vertraglichen Regelungen definiert, um die Einhaltung der erforderlichen IT-Sicherheitsmaßnahmen abzusichern. Dazu gehören unter anderem Kontroll- und Prüfrechte, eine verpflichtende Mitwirkung bei Sicherheitsvorfällen sowie gegebenenfalls Vertragsstrafen bei Verstößen. In diesem Zusammenhang sollen die Ergänzenden Vertragsbedingungen für die IT-Beschaffung (EVB-IT) perspektivisch neue Regelungen zur IT-Sicherheit enthalten, in denen die NIS2-Pflichten dauerhaft und systematisch verankert werden.
IT-Sicherheit als Zuschlagskriterium
Die Art und Weise der Umsetzung der Maßnahmen zur Sicherstellung der Cybersicherheit kann auch als inhaltliches Differenzierungskriterium bei der Entscheidung über den Zuschlag berücksichtigt werden.
Der Zuschlag wird nach § 127 GWB auf das wirtschaftlichste Angebot erteilt. Dabei ist das beste Preis-Leistungs-Verhältnis maßgeblich. Neben Preis oder Kosten können auch qualitative Kriterien berücksichtigt werden, wenn sie mit dem Auftragsgegenstand in Verbindung stehen, transparent beschrieben und überprüfbar sind.
Praktisch können Auftraggeber insbesondere höherwertige Zertifizierungen, überzeugende Sicherheitskonzepte, Incident-Response-Fähigkeiten oder den Umfang der Sicherheitsmaßnahmen in der Lieferkette bewerten und berücksichtigen. Funktionale Mindestanforderungen zur Einhaltung der Anforderungen nach NIS2 müssen jedoch bereits über die Leistungsbeschreibung und die vertraglichen Regelungen als abgesichertes Leistungssoll des Dienstleisters gewährleistet sein.
Für Bieter werden Nachweise zum Marktzugangserfordernis
Wer als Bieter dokumentierte Sicherheitsprozesse, belastbare Zertifizierungen, nachvollziehbares Lieferantenmanagement und Meldeprozesse vorweisen kann, wird in IT-Vergaben bessere Chancen haben. Wer nur allgemeine Compliancezusagen abgibt, wird dagegen Schwierigkeiten bekommen, Eignung, Leistungsfähigkeit und Angebotsqualität nachzuweisen.
Das betrifft nicht nur klassische IT-Dienstleister. Auch Hersteller digitaler Produkte, Betreiber von Rechenzentren, Cloud-Anbieter, Managed-Service-Provider, Wartungsdienstleister, Berater und Unterauftragnehmer werden häufiger nach Sicherheitskonzepten, Zertifikaten, Incident-Response-Fähigkeiten und Lieferkettentransparenz gefragt.
Was für Auftraggeber jetzt zählt
Für Auftraggeber liegt die wichtigste Veränderung auf organisatorischer Ebene: IT-Sicherheit darf nicht erst nach Zuschlag durch die Fachabteilung oder den Dienstleister „nachgezogen“ werden. Vergabe, IT-Sicherheit, Datenschutz, Fachbereich und Vertragsmanagement müssen die Anforderungen bereits bei Markterkundung, Leistungsbeschreibung und Wertungsmatrix gemeinsam definieren.
Der entscheidende Maßstab bleibt die Verhältnismäßigkeit. Für eine kritische Fachanwendung, ein Bürgerportal, ein Krankenhaus-IT-System oder einen kommunalen Versorger sind strengere Sicherheitsanforderungen naheliegender als für Standardleistungen ohne Zugriff auf sensible Systeme. Vergaberechtlich tragfähig sind Anforderungen vor allem dann, wenn sie risikoangemessen, auftragsbezogen, transparent, gleichwertigkeitsoffen und dokumentiert sind.
NIS2 macht die öffentliche IT-Beschaffung nicht einfacher. Sie macht aber sichtbar, was gute Beschaffung ohnehin leisten muss: Risiken erkennen, Anforderungen präzise formulieren, Qualität bewerten und Verträge so gestalten, dass Sicherheit nicht nur versprochen, sondern im Betrieb überprüfbar eingehalten wird. Wer Cybersicherheit so versteht, behandelt NIS2 nicht als zusätzliche Last, sondern als Qualitätsmaßstab für eine belastbare digitale Verwaltung.
