NIS2: So reagieren Sie auf Cybervorfälle bei Dienstleistern

Stellen Sie sich vor, es ist Freitagabend. Ihr internes Monitoring zeigt grün, die Systeme laufen stabil. Doch plötzlich erreichen Sie keine Daten mehr aus Ihrer cloud-basierten CRM-Plattform. Eine Stunde später folgt die E-Mail des Anbieters: "Wir untersuchen derzeit einen Sicherheitsvorfall."

‍

In der Vergangenheit war das ärgerlich, aber primär das Problem des Anbieters. Mit der Einführung der NIS2-Richtlinie ändert sich dieses Szenario grundlegend. Wenn dieser Anbieter für Ihren Geschäftsbetrieb kritisch ist, tickt ab diesem Moment nicht nur dessen Uhr, sondern auch Ihre.

‍

Die strengen Meldepflichten der NIS2 machen keinen Halt an Ihren Unternehmensgrenzen. Sie verwandeln das Management der Lieferkette (Supply Chain) von einer reinen Einkaufsfrage in eine zentrale Compliance-Herausforderung. Doch keine Sorge: Mit der richtigen Vorbereitung lässt sich auch dieses komplexe Szenario beherrschen. In diesem Artikel erfahren Sie, wie Sie Incident Response Prozesse gestalten, die speziell auf Vorfälle bei Drittanbietern zugeschnitten sind.

‍

Warum NIS2 die Spielregeln für die Lieferkette ändert

‍

Die NIS2-Richtlinie erkennt eine Realität an, die Sicherheitsexperten schon lange predigen: In einer vernetzten Welt ist ein Unternehmen nur so sicher wie das schwächste Glied in seiner Lieferkette. Ein Cyberangriff auf einen Zulieferer kann sich durch digitale Schnittstellen (APIs) oder geteilte Netzwerke blitzschnell auf Ihr Unternehmen ausbreiten oder Ihre kritischen Prozesse lahmlegen.

‍

Im Vergleich zu NIS1 erweitert NIS2 den Fokus massiv auf die Sicherheit der Lieferkette. Der Gesetzgeber verlangt nun explizit, dass betroffene Unternehmen die Risiken, die von ihren direkten Zulieferern ausgehen, managen. Das bedeutet konkret: Incident Response Pläne müssen so erweitert werden, dass sie nahtlos greifen, auch wenn der "Tatort" gar nicht in Ihrem eigenen Rechenzentrum liegt.

‍

Die NIS2-Meldepflichten: Wann wird das Problem des Lieferanten zu Ihrem?

‍

Nicht jeder Schluckauf bei einem Dienstleister ist meldepflichtig. Doch die Definition eines "erheblichen Sicherheitsvorfalls" ist weit gefasst. Nach NIS2 müssen Sie aktiv werden, wenn der Vorfall beim Drittanbieter:

1. Eine schwere Betriebsstörung bei Ihnen verursacht (oder verursachen kann).
2. Ihnen oder anderen Personen (z.B. durch Datenabfluss) erheblichen Schaden zufügen könnte.

‍

Sobald Sie Kenntnis von einem solchen Vorfall erlangen, startet ein strenger Zeitplan. Hier scheitern viele Unternehmen, weil sie auf Informationen des Zulieferers warten, die oft zu spät kommen.

‍

Der 3-Phasen-Meldeprozess

‍

‍

Wie im Schaubild zu sehen ist, verzeiht der Prozess keine Verzögerungen. Die NIS2 Meldefristen sind gesetzlich verankert:

‍

1. Frühwarnung (24 Stunden): Spätestens 24 Stunden nach Kenntnisnahme müssen Sie dem BSI (Bundesamt für Sicherheit in der Informationstechnik) eine erste Meldung machen. Es geht hier nicht um Details, sondern um das Signal: "Wir haben ein potenzielles Problem, das vermutlich durch Anbieter X ausgelöst wurde."
   ‍
2. Meldung des Vorfalls (72 Stunden): Jetzt wird es konkreter. Sie müssen eine erste Bewertung des Schweregrads und der Auswirkungen vorlegen sowie Indikatoren für eine Kompromittierung (IoCs) teilen.
   ‍
3. Abschlussbericht (1 Monat): Eine detaillierte Analyse des Vorfalls, der Ursachen und der getroffenen Abhilfemaßnahmen.

‍

Die Herausforderung bei Drittanbietern: Wie geben Sie nach 24 Stunden eine Frühwarnung ab, wenn Ihr Lieferant selbst noch im Dunkeln tappt? Dies erfordert präzise vertragliche Vereinbarungen, auf die wir später noch eingehen.

‍

Schritt-für-Schritt: Incident Response Management bei externen Vorfällen

‍

Ein interner NIS2 Incident Response Plan unterscheidet sich signifikant von dem Prozess, der bei Drittanbietern greift. Bei internen Vorfällen haben Sie vollen Zugriff auf Logs und Systeme. Bei externen Vorfällen sind Sie oft "blind" und auf Kommunikation angewiesen.

‍

Hier ist ein bewährter Ablauf, um die Kontrolle zu behalten:

‍

Phase 1: Identifikation und Validierung

‍

Erhalten Sie eine Meldung (oder entdecken Sie eine Anomalie), müssen Sie sofort klären:

• Ist unsere eigene Infrastruktur betroffen?
• Sind Kundendaten involviert?
• Greifen SLAs (Service Level Agreements) zur Informationsweitergabe?

‍

Phase 2: Eindämmung (Containment)

‍

Anders als bei internen Vorfällen können Sie den Server des Anbieters nicht herunterfahren. Ihre Maßnahmen sind defensiver Natur:

• Kappen von API-Verbindungen zum betroffenen Anbieter.
• Zurücksetzen von Passwörtern für geteilte Zugänge.
• Aktivierung von Fallback-Systemen (Business Continuity Management).

‍

Phase 3: Kommunikation und Meldung

‍

Hier laufen die Fäden zusammen. Während die Technik die Schotten dicht macht, muss das Compliance-Team die NIS2 Meldepflicht prüfen und die Frühwarnung an das BSI absetzen. Parallel dazu muss die Kommunikation mit dem Anbieter auf Hochtouren laufen, um Informationen für das 72-Stunden-Update zu sammeln.

‍

Die vertragliche Falle: Wenn der Lieferant schweigt

‍

Das größte Risiko in der NIS2 Lieferkette ist nicht technischer, sondern juristischer Natur. Viele Altverträge sehen vor, dass Lieferanten Vorfälle erst "nach Abschluss der Untersuchung" melden müssen. Das ist unter NIS2 fatal.

‍

Wenn Ihr Lieferant sich 48 Stunden Zeit lässt, Sie zu informieren, haben Sie Ihre eigene 24-Stunden-Frist gegenüber dem BSI bereits gerissen.

‍

Praxis-Tipp: Überprüfen Sie Ihre Lieferantenverträge. Sie benötigen Klauseln, die Ihren Lieferanten verpflichten, Sicherheitsvorfälle unverzüglich (z.B. innerhalb von 4-8 Stunden) an Sie zu melden. Nur so bleibt Ihnen genug Zeit für Ihre eigene Prüfung und Meldung. Eine proaktive Lieferantenprüfung ist hier der Schlüssel zum Erfolg, um NIS2 Lieferanten frühzeitig auf ihre Reife hin zu bewerten.

‍

Wer macht was? Rollenverteilung im Ernstfall

‍

Im Chaos eines Cyberangriffs auf die Supply Chain ist Klarheit über Verantwortlichkeiten das wichtigste Gut. Es darf keine Diskussion darüber geben, wer beim BSI anruft oder wer den Stecker zieht.

‍

• CISO / IT-Security: Technische Bewertung, Isolation der Systeme, Kommunikation mit dem technischen Team des Anbieters.
• Legal / Compliance: Prüfung der Meldepflicht, Formulierung der BSI-Meldung, Prüfung von Haftungsfragen.
• Procurement / Vendor Management: Kontakt zum Account Manager des Anbieters, Prüfung der SLAs und vertraglichen Pönalen.
• Geschäftsführung: Muss laut NIS2 informiert sein und Entscheidungen über kritische Maßnahmen (z.B. Abschaltung der Produktion bei fehlendem Zulieferer-Input) treffen. Die Geschäftsleitung haftet unter NIS2 persönlich für die Umsetzung der Maßnahmen.

‍

Fazit: Vorbereitung ist der beste Schutz

‍

Die NIS2-Richtlinie zwingt Unternehmen dazu, ihre Scheuklappen abzulegen. Ein Cybervorfall bei einem Drittanbieter ist nicht mehr nur "deren Problem", sondern wird regulatorisch und operativ zu Ihrem eigenen.

‍

Der Schlüssel zur Bewältigung liegt nicht darin, Incident Response Pläne komplizierter zu machen, sondern sie an die Realität vernetzter Lieferketten anzupassen. Sorgen Sie für klare Meldewege, passen Sie Ihre Verträge an und üben Sie den Ernstfall nicht nur intern, sondern beziehen Sie Szenarien mit Dienstleistern in Ihre Tabletop-Übungen ein.

‍

Je schneller Sie im Ernstfall von "Reaktion" auf "Aktion" umschalten können, desto geringer ist der Schaden – für Ihr Unternehmen und Ihre Kunden.

‍

Häufig gestellte Fragen (FAQ)

‍

Gilt NIS2 für alle meine Lieferanten?

‍

Nicht direkt. Die Richtlinie verpflichtet Sie dazu, die Sicherheit Ihrer Lieferkette zu gewährleisten. Das bedeutet, Sie müssen priorisieren: Welche NIS2 Zulieferer sind kritisch für Ihren Betrieb? Ein Lieferant für Büromaterial ist weniger relevant als der Host Ihrer ERP-Software.

‍

Was passiert, wenn ich einen Vorfall nicht melde, weil der Anbieter mich nicht informiert hat?

‍

Unwissenheit schützt vor Strafe nicht gänzlich, kann aber strafmildernd wirken, wenn Sie nachweisen können, dass Sie alles getan haben, um die Informationsflüsse vertraglich und technisch zu sichern. Das Fehlen entsprechender Prozesse wird von Behörden jedoch streng geahndet.

‍

Muss ich meine Kunden informieren, wenn mein Lieferant gehackt wurde?

‍

Das hängt von der Auswirkung ab. Wenn durch den Angriff auf den Lieferanten auch Daten Ihrer Kunden kompromittiert wurden oder Ihre Dienstleistung ausfällt, müssen Sie die betroffenen Empfänger Ihrer Dienste unverzüglich unterrichten.

‍

Wie hilft mir Automatisierung hierbei?

‍

Die manuelle Überwachung von hunderten Lieferanten und deren Sicherheitsstatus ist kaum leistbar. Plattformen wie der Digital Compliance Office (DCO) helfen dabei, Lieferantenverträge zentral zu verwalten, Risiken zu mappen und im Ernstfall schnell auf die richtigen Ansprechpartner und Dokumente zuzugreifen.

‍