Inhaltsverzeichnis
Die NIS-2-Richtlinie stellt nicht nur Anforderungen an die IT-Sicherheit einzelner Unternehmen – sie nimmt erstmals die gesamte Lieferkette in den Blick. Wer als wesentliche oder wichtige Einrichtung unter NIS-2 fällt, muss die Cybersicherheitsrisiken seiner Zulieferer systematisch bewerten und steuern. Das betrifft direkte Lieferanten ebenso wie deren Unterauftragnehmer.
Dieser Artikel erklärt die NIS-2-Anforderungen an die Lieferkette, zeigt praxisnahe Ansätze für die Risikobewertung der Supply Chain und gibt konkrete Empfehlungen zur vertraglichen Absicherung.
Das Wichtigste in Kürze:
- NIS-2 verpflichtet betroffene Unternehmen, Cybersicherheitsrisiken in der gesamten Lieferkette zu bewerten und zu managen (Art. 21 Abs. 2 lit. d).
- Die Anforderungen betreffen direkte Lieferanten und deren Unterauftragnehmer – die Verantwortung endet nicht beim Erstlieferanten.
- Unternehmen müssen vertragliche Sicherheitsanforderungen, Audit-Rechte und Incident-Reporting-Pflichten mit Lieferanten vereinbaren.
- Die Europäische Kommission kann für bestimmte Sektoren koordinierte Risikobewertungen der Lieferkette durchführen.
- Unternehmen, die ihre Supply Chain Security nicht nachweisen können, riskieren Bußgelder und Haftung der Geschäftsführung.
NIS 2 Lieferkette: Was fordert die Richtlinie konkret?
Artikel 21 der NIS-2-Richtlinie definiert die Risikomanagementmaßnahmen, die betroffene Einrichtungen umsetzen müssen. Absatz 2 lit. d nennt explizit:
„Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern”
Die vier Kernelemente der NIS-2-Lieferkettensicherheit
1. Risikobewertung der Lieferantenbeziehungen
Jedes Unternehmen muss die spezifischen Schwachstellen seiner Lieferanten identifizieren und die Gesamtqualität der Produkte und Cybersicherheitspraktiken bewerten. Dabei sind zu berücksichtigen:
- Die Cybersicherheitspraktiken des Lieferanten (Sicherheitsentwicklungsverfahren, Schwachstellenmanagement)
- Die Qualität und Resilienz der gelieferten IKT-Produkte und -Dienste
- Die Fähigkeit des Lieferanten zur Erkennung und Behebung von Schwachstellen
2. Berücksichtigung der gesamten Lieferkette
NIS-2 beschränkt sich nicht auf direkte Lieferanten. Die Richtlinie fordert die Berücksichtigung der gesamten Kette – einschließlich der Unterauftragnehmer des Lieferanten:
- Tier 1: Direkte Lieferanten (z. B. Cloud-Provider, Softwareanbieter)
- Tier 2: Unterauftragnehmer des Lieferanten (z. B. Rechenzentren des Cloud-Providers)
- Tier 3+: Weitere nachgelagerte Zulieferer (z. B. Hardware-Hersteller der Rechenzentrumskomponenten)
3. Koordinierte Sicherheitsrisikobewertungen
Die NIS-2-Richtlinie sieht vor, dass die Europäische Kommission in Zusammenarbeit mit den Mitgliedstaaten koordinierte Sicherheitsrisikobewertungen kritischer Lieferketten durchführen kann – analog zur 5G-Toolbox-Bewertung. Unternehmen müssen die Ergebnisse solcher Bewertungen in ihr Risikomanagement einfließen lassen.
4. Verhältnismäßigkeit der Maßnahmen
Alle Maßnahmen müssen den Stand der Technik berücksichtigen und verhältnismäßig sein. Das bedeutet: Die Kosten der Sicherheitsmaßnahmen müssen in einem angemessenen Verhältnis zum Risiko stehen. Ein Kleinunternehmen muss nicht dieselben Maßnahmen umsetzen wie ein DAX-Konzern.
Supply Chain Security NIS 2: Risikobewertung in der Praxis
Die systematische Bewertung der Lieferkettenrisiken ist das Kernstück der NIS-2-Compliance im Bereich Supply Chain. Der folgende Prozess hat sich in der Praxis bewährt:
Schritt 1: Kritische Lieferanten identifizieren
Nicht jeder Lieferant ist gleich relevant. Konzentrieren Sie sich zunächst auf diejenigen, die für Ihre IT-Sicherheit tatsächlich bedeutsam sind:
Fragen zur Identifikation kritischer Lieferanten:
- Hat der Lieferant Zugang zu Ihren IT-Systemen (Remote-Zugriff, VPN, API-Schnittstellen)?
- Verarbeitet der Lieferant sensible oder personenbezogene Daten in Ihrem Auftrag?
- Liefert der Lieferant Software oder Hardware, die in Ihren kritischen Systemen eingesetzt wird?
- Könnte ein Ausfall des Lieferanten zu einer Betriebsunterbrechung führen?
- Ist der Lieferant Teil einer kritischen IKT-Lieferkette (z. B. Cloud-Infrastruktur)?
Schritt 2: Risikoanalyse durchführen
Für jeden identifizierten kritischen Lieferanten sollte eine strukturierte Risikoanalyse erfolgen:
| Risikodimension | Bewertungskriterien | Beispiel |
|---|---|---|
| Cyberrisiko | Sicherheitszertifizierungen, Schwachstellenmanagement, Incident-Historie | Cloud-Provider ohne ISO 27001 = hohes Risiko |
| Abhängigkeitsrisiko | Substituierbarkeit, Lock-in-Effekte, Marktmacht | Single-Source-Anbieter für kritische Software |
| Geopolitisches Risiko | Standort des Lieferanten, Jurisdiktion, Datentransfer | Anbieter in Drittstaaten ohne Angemessenheitsbeschluss |
| Konzentrationsrisiko | Viele Unternehmen nutzen denselben Anbieter | Dominante Cloud-Hyperscaler |
| Subunternehmerrisiko | Transparenz über Sub-Supplier, Kontrollmöglichkeiten | Lieferant outsourct an unbekannte Dritte |
Schritt 3: Risikobewertungsmatrix erstellen
Bewerten Sie jeden Lieferanten anhand von Eintrittswahrscheinlichkeit und Auswirkung eines Sicherheitsvorfalls:
| Geringe Auswirkung | Mittlere Auswirkung | Hohe Auswirkung | Kritische Auswirkung | |
|---|---|---|---|---|
| Wahrscheinlich | Mittel | Hoch | Kritisch | Kritisch |
| Möglich | Niedrig | Mittel | Hoch | Kritisch |
| Unwahrscheinlich | Niedrig | Niedrig | Mittel | Hoch |
| Sehr unwahrscheinlich | Niedrig | Niedrig | Niedrig | Mittel |
TrustSpace Profi-Tipp: Beginnen Sie nicht mit dem Versuch, alle Lieferanten gleichzeitig zu bewerten. Starten Sie mit den Top-10-Lieferanten nach Kritikalität und arbeiten Sie sich systematisch durch. TrustSpaceOS unterstützt Sie mit vorkonfigurierten Risikobewertungsvorlagen, die speziell auf die NIS-2-Anforderungen an die Supply Chain Security zugeschnitten sind.
Vertragliche Absicherung der Lieferkette unter NIS-2
Neben der Risikobewertung ist die vertragliche Verankerung von Sicherheitsanforderungen ein zentrales Element der NIS-2-Lieferkettensicherheit.
Mindestanforderungen an Lieferantenverträge
Sicherheitsanforderungen:
- Definition der Mindest-Sicherheitsstandards, die der Lieferant einhalten muss
- Verpflichtung zur Einhaltung des Stands der Technik
- Anforderungen an Verschlüsselung, Zugangskontrollen und Netzwerksegmentierung
- Pflicht zur regelmäßigen Durchführung von Sicherheitstests (Penetrationstests, Schwachstellenscans)
Incident-Reporting:
- Pflicht zur unverzüglichen Meldung von Sicherheitsvorfällen (empfohlen: innerhalb von 24 Stunden)
- Definition, welche Vorfalltypen meldepflichtig sind
- Festlegung der Kommunikationswege und Ansprechpartner
- Pflicht zur Kooperation bei der Vorfalluntersuchung
Audit- und Kontrollrechte:
- Recht zur Durchführung von Sicherheitsaudits (angekündigt und unangekündigt)
- Einsichtnahme in Audit-Berichte, Zertifikate und Penetrationstest-Ergebnisse
- Recht zur Beauftragung externer Prüfer
- Zugang zu relevanten Dokumentationen und Nachweisen
Unterauftragnehmermanagement:
- Genehmigungspflicht für den Einsatz von Unterauftragnehmern
- Verpflichtung, gleichwertige Sicherheitsanforderungen an Unterauftragnehmer weiterzugeben
- Transparenzpflicht über die gesamte Lieferkette
- Recht zur Ablehnung bestimmter Unterauftragnehmer
Vertragsende und Exit:
- Regelungen zur Datenrückgabe und -löschung
- Definierte Übergangsfristen für den Anbieterwechsel
- Mitwirkungspflichten des Lieferanten bei der Migration
- Fortgeltung der Vertraulichkeitspflichten über das Vertragsende hinaus
NIS-2-Lieferkette: Besondere Herausforderungen und Lösungen
Herausforderung 1: Transparenz über mehrstufige Lieferketten
Problem: Viele Unternehmen haben keinen vollständigen Überblick über ihre Lieferkette – insbesondere nicht über Tier-2- und Tier-3-Lieferanten.
Lösung:
- Vertraglich absichern: Lieferanten verpflichten, Transparenz über ihre eigenen Unterauftragnehmer herzustellen
- Standardisierte Fragebögen: Einheitliche Selbstauskunft für alle Lieferantenstufen
- Zertifizierungen bevorzugen: Lieferanten mit ISO 27001 oder vergleichbaren Zertifizierungen haben diese Prozesse bereits etabliert
Herausforderung 2: Machtgefälle bei großen Anbietern
Problem: Gegenüber großen Cloud-Providern oder Softwarekonzernen haben KMU wenig Verhandlungsmacht. Individuelle Audit-Rechte oder maßgeschneiderte Vertragsklauseln sind oft nicht durchsetzbar.
Lösung:
- SOC-2-Berichte und ISO-27001-Zertifikate als Audit-Ersatz akzeptieren
- Shared-Responsibility-Modelle klar dokumentieren und eigene Verantwortlichkeiten wahrnehmen
- Anbieterdiversifikation prüfen, um Konzentrationsrisiken zu reduzieren
- Branchenverbände als Multiplikatoren nutzen, um gemeinsam Sicherheitsstandards einzufordern
Herausforderung 3: Kontinuierliche Überwachung
Problem: Eine einmalige Lieferantenbewertung reicht nicht. Risiken verändern sich, Lieferanten wechseln Unterauftragnehmer, Bedrohungslagen entwickeln sich weiter.
Lösung:
- Automatisiertes Monitoring der Lieferanten (Security Ratings, Threat Intelligence)
- Regelmäßige Neubewertung in definierten Zyklen (jährlich für kritische Lieferanten)
- Anlassbezogene Reviews bei Sicherheitsvorfällen, Medienmeldungen oder Vertragsänderungen
- Integration in das ISMS: Lieferantenüberwachung als kontinuierlicher Prozess im Informationssicherheitsmanagementsystem verankern
TrustSpace Profi-Tipp: Verknüpfen Sie Ihre NIS-2-Lieferkettensicherheit mit einem bestehenden oder geplanten ISO-27001-ISMS. Die Anforderungen überschneiden sich erheblich (ISO 27001 Annex A.5.19–A.5.23). Wer ein zertifiziertes ISMS betreibt, erfüllt einen großen Teil der NIS-2-Supply-Chain-Anforderungen bereits. TrustSpace unterstützt Sie dabei, beide Anforderungsrahmen in einem integrierten System abzubilden.
Praxis-Checkliste: NIS-2-Lieferkettensicherheit umsetzen
Bestandsaufnahme und Klassifizierung
- ☐ Vollständiges Lieferantenverzeichnis mit Bezug zur IT-Sicherheit erstellen
- ☐ Lieferanten nach Kritikalität klassifizieren (kritisch / hoch / mittel / niedrig)
- ☐ Tier-2- und Tier-3-Lieferanten identifizieren (soweit möglich)
- ☐ Abhängigkeiten und Konzentrationsrisiken dokumentieren
Risikobewertung
- ☐ Risikobewertungsmethodik festlegen und dokumentieren
- ☐ Erstbewertung aller kritischen Lieferanten durchführen
- ☐ Risikobewertungsmatrix erstellen und regelmäßig aktualisieren
- ☐ Ergebnisse ins ISMS-Risikomanagement integrieren
Vertragliche Absicherung
- ☐ Bestehende Verträge auf NIS-2-Konformität prüfen
- ☐ Sicherheitsanforderungen in alle relevanten Verträge aufnehmen
- ☐ Audit-Rechte und Incident-Reporting-Pflichten vereinbaren
- ☐ Unterauftragnehmermanagement vertraglich regeln
Laufende Überwachung
- ☐ Überwachungsprozess für Lieferanten definieren und implementieren
- ☐ Regelmäßige Neubewertung im Kalender verankern
- ☐ Incident-Response-Prozess auf Lieferantenvorfälle erweitern
- ☐ Management-Reporting über Supply-Chain-Risiken einrichten
Fazit: Supply Chain Security als strategische Aufgabe
Die NIS-2-Richtlinie macht die Sicherheit der Lieferkette zu einer Compliance-Pflicht – aber sie sollte weit mehr sein als das. In einer zunehmend vernetzten Wirtschaft sind Lieferkettenangriffe (Supply Chain Attacks) eine der größten Bedrohungen für Unternehmen. Wer seine Supply Chain Security proaktiv managt, schützt nicht nur sich selbst, sondern wird auch zum bevorzugten Partner für sicherheitsbewusste Kunden.
Der Schlüssel liegt in einem systematischen, risikobasierten Ansatz: Kritische Lieferanten identifizieren, Risiken bewerten, vertragliche Sicherheitsnetze spannen und die Überwachung als kontinuierlichen Prozess etablieren.
Sie möchten Ihre Lieferkette NIS-2-konform absichern? TrustSpace bietet mit TrustSpaceOS eine integrierte Plattform zur Überwachung Ihrer Supply Chain Security – von der automatisierten Lieferantenbewertung bis zum Echtzeit-Compliance-Dashboard. In Kombination mit unserer NIS2-Beratung begleiten wir Sie von der Betroffenheitsanalyse bis zur vollständigen Umsetzung.
Autor
