NIS2 & Lieferkette: Rechtssichere Vertragsklauseln im Überblick

Stellen Sie sich vor, Ihr wichtigster Cloud-Anbieter erleidet einen massiven Cyberangriff. Ihre Produktion steht still, Kundendaten sind betroffen und der Betrieb ist lahmgelegt. Mitten im Krisenmanagement meldet sich die Aufsichtsbehörde und fragt: „Welche vertraglichen Vereinbarungen zur Cybersicherheit hatten Sie mit diesem Lieferanten?“

‍

Für viele Unternehmen ist das eine beunruhigende Frage. Lange Zeit war die Sicherheit der eigenen Lieferkette eine Blackbox. Doch mit der NIS2-Richtlinie wird aus dieser Blackbox eine gesetzliche Verpflichtung. Plötzlich sind Ihre Lieferantenverträge nicht mehr nur juristische Formalitäten, sondern ein zentraler Baustein Ihrer eigenen Cyber-Resilienz und Compliance.

‍

Dieser Leitfaden ist Ihr praktischer Wegweiser. Wir übersetzen das Juristendeutsch des NIS2-Artikels 21 in klare, umsetzbare Schritte und zeigen Ihnen, wie Sie Ihre Verträge so gestalten, dass sie nicht nur dem Gesetz entsprechen, sondern Ihr Unternehmen auch wirklich schützen.

‍

Warum Ihre Lieferantenverträge jetzt auf den Prüfstand müssen

‍

Ein Cyberangriff trifft selten nur ein Unternehmen allein. Angreifer suchen sich oft den Weg des geringsten Widerstands – und das ist häufig ein weniger gut geschützter Partner in der Lieferkette. Die NIS2-Richtlinie erkennt diese Realität an und nimmt Betreiber wesentlicher und wichtiger Einrichtungen in die Pflicht, die Cybersicherheit ihrer gesamten Wertschöpfungskette zu managen.

‍

Das Herzstück dieser Anforderung ist Artikel 21 der NIS2-Richtlinie. Er verlangt, dass Unternehmen die Cybersicherheitsrisiken, die von ihren direkten Lieferanten und Dienstleistern ausgehen, aktiv steuern. Das bedeutet konkret: Sie sind dafür verantwortlich, sicherzustellen, dass Ihre Partner angemessene Sicherheitsstandards einhalten. Und das wirksamste Werkzeug dafür ist ein gut formulierter Vertrag.

‍

Was verlangt NIS2 Artikel 21 konkret von Ihnen?

‍

Artikel 21 ist keine vage Empfehlung, sondern eine klare Handlungsanweisung. Unternehmen müssen die Sicherheit ihrer Lieferkette durch gezielte Risikomanagement-Maßnahmen gewährleisten. Dazu gehört die Bewertung und Berücksichtigung der Cybersicherheitspraktiken Ihrer Lieferanten. Verträge werden damit zum entscheidenden Instrument, um diese Anforderungen rechtsverbindlich festzulegen.

‍

‍

Die Sicherheit Ihrer Zulieferer ist damit untrennbar mit Ihrer eigenen verbunden. Ohne klare vertragliche Regelungen agieren Sie im Blindflug und setzen Ihr Unternehmen unnötigen Risiken aus.

‍

Die Anatomie einer NIS2-konformen Vertragsklausel

‍

Ein NIS2-sicherer Vertrag ist mehr als nur eine Standard-Datenschutzklausel. Er ist ein präzises Instrument, das die Verantwortlichkeiten klar verteilt. Schauen wir uns die wesentlichen Bausteine an, die in keinem Vertrag mit einem wichtigen Dienstleister fehlen sollten.

‍

Informationssicherheitsstandards: Die gemeinsame Sprache der Sicherheit

‍

Warum es wichtig ist: Sie müssen sicherstellen, dass Ihr Lieferant ein Sicherheitsniveau einhält, das Ihrem eigenen Schutzniveau und den gesetzlichen Anforderungen entspricht.

‍

Was die Klausel regeln sollte:

‍

• Verpflichtung zu Standards: Der Lieferant verpflichtet sich zur Einhaltung anerkannter Standards wie ISO 27001, BSI-Grundschutz oder eines branchenspezifischen Standards (z. B. TISAX in der Automobilindustrie).
  ‍
• Konkrete Sicherheitsmaßnahmen: Die Klausel sollte spezifische technische und organisatorische Maßnahmen (TOMs) benennen, z. B. Verschlüsselung, Zugriffskontrollen, regelmäßige Schulungen der Mitarbeiter und Patch-Management.
  ‍
• Nachweispflicht: Der Lieferant muss die Einhaltung dieser Standards regelmäßig nachweisen können, beispielsweise durch gültige Zertifikate oder aktuelle Auditberichte.

‍

Musterformulierung (Beispiel):

„Der Auftragnehmer verpflichtet sich, während der gesamten Vertragslaufzeit angemessene technische und organisatorische Maßnahmen gemäß dem Stand der Technik zu implementieren und aufrechtzuerhalten, um die Sicherheit der verarbeiteten Informationen zu gewährleisten. Als Mindeststandard gilt die Zertifizierung nach ISO/IEC 27001, deren Gültigkeit auf Verlangen jährlich nachzuweisen ist.“

‍

Meldepflichten bei Sicherheitsvorfällen: Keine Zeit verlieren

‍

Warum es wichtig ist: Im Falle eines Sicherheitsvorfalls bei Ihrem Lieferanten, der auch Sie betrifft, zählt jede Minute. NIS2 sieht strenge Meldefristen vor (eine Erstmeldung oft innerhalb von 24 Stunden). Diese Fristen können Sie nur einhalten, wenn Sie unverzüglich von Ihrem Lieferanten informiert werden.

‍

Was die Klausel regeln sollte:

‍

• Definition eines meldepflichtigen Vorfalls: Definieren Sie klar, was als Sicherheitsvorfall gilt (z. B. unbefugter Zugriff, Datenverlust, Systemausfall).
  ‍
• Meldefristen: Legen Sie eine sehr kurze Frist für die Erstmeldung fest (z. B. „unverzüglich, spätestens jedoch innerhalb von 12 Stunden nach Bekanntwerden“).
  ‍
• Informationsumfang: Bestimmen Sie, welche Informationen die Meldung enthalten muss (Art des Vorfalls, betroffene Systeme/Daten, bereits ergriffene Maßnahmen).
  ‍
• Eskalationspfade: Nennen Sie klare Ansprechpartner und Meldekanäle auf beiden Seiten.

‍

Audit- und Prüfrechte: Vertrauen ist gut, Kontrolle ist besser

‍

Warum es wichtig ist: Sie müssen sich darauf verlassen können, dass die vertraglich vereinbarten Sicherheitsmaßnahmen nicht nur auf dem Papier existieren, sondern auch in der Praxis gelebt werden. Auditrechte sind Ihr Werkzeug zur Überprüfung.

‍

Was die Klausel regeln sollte:

‍

• Prüfungsrecht: Das Recht, die Einhaltung der Sicherheitsverpflichtungen durch den Lieferanten zu überprüfen oder durch einen unabhängigen Dritten überprüfen zu lassen.
  ‍
• Prüfungsumfang: Legen Sie fest, was geprüft werden darf (z. B. Dokumente, Systeme, Prozesse).
  ‍
• Ankündigungsfristen: Vereinbaren Sie angemessene Fristen für die Ankündigung von Audits.
  ‍
• Kostenregelung: Klären Sie, wer die Kosten für das Audit trägt.

‍

Musterformulierung (Beispiel):

„Der Auftraggeber ist berechtigt, nach angemessener Vorankündigung und während der üblichen Geschäftszeiten die Einhaltung der in diesem Vertrag festgelegten technischen und organisatorischen Maßnahmen durch den Auftragnehmer zu überprüfen oder durch einen zur Verschwiegenheit verpflichteten Dritten überprüfen zu lassen. Der Auftragnehmer verpflichtet sich, die hierfür erforderlichen Auskünfte zu erteilen und Zugang zu relevanten Dokumentationen zu gewähren.“

‍

Haftungsregelungen: Wer zahlt, wenn es kracht?

‍

Warum es wichtig ist: Ein Sicherheitsvorfall kann enorme Kosten verursachen – von Bußgeldern über Wiederherstellungskosten bis hin zu Reputationsschäden. Die Haftungsklausel regelt, wer für welche Schäden aufkommt, die aus einer Pflichtverletzung des Lieferanten resultieren. Die persönliche Haftung von Geschäftsführern unter NIS2 macht dieses Thema noch brisanter.

‍

Was die Klausel regeln sollte:

‍

• Haftungsgrundlage: Der Lieferant haftet für Schäden, die durch die schuldhafte Verletzung seiner vertraglichen Sicherheitspflichten entstehen.
  ‍
• Haftungsumfang: Definieren Sie, welche Schäden abgedeckt sind (z. B. Bußgelder, Kosten für forensische Analysen, Benachrichtigungskosten).
  ‍
• Haftungsgrenzen: Oft werden Haftungsobergrenzen vereinbart. Stellen Sie sicher, dass diese das potenzielle Risiko angemessen abdecken und nicht durch AGB ausgehebelt werden.
  ‍
• Versicherungsnachweis: Verlangen Sie vom Lieferanten den Nachweis einer ausreichenden Cyber- oder Betriebshaftpflichtversicherung. Dies schützt nicht nur Sie, sondern auch die Geschäftsleitung und den Aufsichtsrat vor Haftungsrisiken.

‍

Die Durchführung einer automatisierten Risikobewertung von Lieferanten kann Ihnen helfen, das Risiko und die notwendige Strenge der Haftungsklauseln besser einzuschätzen.

‍

Von der Theorie zur Praxis: Implementierung und Verhandlung

‍

Das Wissen um die perfekten Klauseln ist die eine Sache, sie in bestehende und neue Verträge zu bekommen, die andere. Ein systematischer Ansatz ist hier entscheidend.

‍

‍

Schritt-für-Schritt zur Umsetzung:

‍

1. Lieferanten-Inventur: Erfassen Sie alle Ihre Lieferanten und Dienstleister.
   ‍
2. Risikobewertung: Kategorisieren Sie die Lieferanten nach Kritikalität. Wer hat Zugriff auf sensible Daten? Wer ist essenziell für Ihren Betrieb? Nicht jeder Lieferant benötigt die gleichen strengen Klauseln.
   ‍
3. Vertrags-Audit: Prüfen Sie Ihre bestehenden Verträge. Wo fehlen die oben genannten Klauseln oder sind unzureichend formuliert?
   ‍
4. Priorisierung: Beginnen Sie mit den Neuverträgen und den Verträgen Ihrer kritischsten Lieferanten.
   ‍
5. Verhandlung: Seien Sie auf Rückfragen vorbereitet. Erklären Sie, dass es sich hierbei nicht um Schikane, sondern um gesetzliche Anforderungen handelt, die letztlich beiden Seiten zugutekommen. Ein sicherer Lieferant ist ein verlässlicher Partner.

‍

Gerade in stark regulierten Branchen wie der Automobilindustrie müssen Unternehmen die spezifischen Anforderungen an die Lieferkettensicherheit und deren Zusammenspiel mit anderen Regularien wie dem Cyber Resilience Act berücksichtigen, was die Vertragsgestaltung weiter verkompliziert. Insbesondere die Wechselwirkungen von NIS2 in der Automobilbranche erfordern sorgfältige Abstimmung.

‍

Ihr Werkzeugkasten für NIS2-konforme Lieferantenverträge

‍

Um Ihnen den Einstieg zu erleichtern, haben wir die wichtigsten Klausel-Elemente in unterschiedlichen Härtegraden zusammengefasst. So können Sie je nach Kritikalität des Lieferanten die passende Tiefe wählen.

‍

‍

Dieser Werkzeugkasten dient als Ausgangspunkt. Es ist immer ratsam, die endgültigen Vertragstexte mit Ihrer Rechtsabteilung oder spezialisierten Beratern abzustimmen.

‍

Der nächste Schritt: Von der Reaktion zur proaktiven Steuerung

‍

Die NIS2-konforme Vertragsgestaltung ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Sie ist ein entscheidender Schritt, um die Kontrolle über Ihre digitale Lieferkette zurückzugewinnen und die Cyber-Resilienz Ihres Unternehmens nachhaltig zu stärken.

‍

Beginnen Sie heute damit, Ihre Verträge nicht mehr nur als rechtliche Notwendigkeit, sondern als aktives Steuerungsinstrument für Ihre Cybersicherheit zu betrachten. Für Unternehmen, die diesen Prozess systematisch und effizient gestalten möchten, bieten Plattformen wie das Digital Compliance Office eine zentrale Lösung zur Verwaltung aller Compliance-Anforderungen – von NIS2 über ISO 27001 bis hin zur DSGVO. So wird aus einer komplexen Anforderung ein beherrschbarer und automatisierter Prozess.

‍

Häufig gestellte Fragen (FAQ)

‍

Was genau ist die NIS2-Richtlinie?

‍

NIS2 ist eine EU-weite Gesetzgebung zur Stärkung der Cybersicherheit. Sie löst die ursprüngliche NIS-Richtlinie ab und erweitert deren Anwendungsbereich erheblich. Ziel ist es, ein hohes, gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu gewährleisten.

‍

Für wen gilt die NIS2-Richtlinie?

‍

Die Richtlinie gilt für eine breite Palette von Sektoren, die in „wesentliche“ und „wichtige“ Einrichtungen unterteilt sind. Dazu gehören unter anderem Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur, öffentliche Verwaltung, aber auch die Produktion von bestimmten Gütern und digitale Dienste. Viele Unternehmen, die bisher nicht reguliert waren, fallen nun unter NIS2.

‍

Was passiert, wenn meine Lieferanten nicht NIS2-konform sind?

‍

Die Verantwortung für die Sicherheit der Lieferkette liegt bei Ihnen. Wenn ein Vorfall bei einem nicht-konformen Lieferanten zu einem Problem bei Ihnen führt, können Sie von den Behörden belangt werden. Mögliche Konsequenzen sind hohe Bußgelder, aufsichtsrechtliche Maßnahmen und im schlimmsten Fall eine persönliche Haftung der Geschäftsleitung.

‍

Muss ich alle meine Lieferantenverträge anpassen?

‍

Sie sollten alle Verträge überprüfen, aber die Anpassungen risikobasiert priorisieren. Konzentrieren Sie sich zuerst auf die Lieferanten, die für Ihren Geschäftsbetrieb kritisch sind, Zugriff auf sensible Daten haben oder Teil Ihrer IT-Infrastruktur sind.

‍