NIS2 & Lieferkette: Umgang mit Non-konformen Lieferanten

Stellen Sie sich vor: Einer Ihrer kritischen IT-Dienstleister reagiert nicht auf Ihre Anfragen zur NIS2-Konformität. Die Fristen rücken näher, die Geschäftsführung wird nervös und das Risiko empfindlicher Bußgelder schwebt wie ein Damoklesschwert über Ihrem Unternehmen. Sie wissen, dass die Sicherheit Ihrer Lieferkette, die sogenannte NIS2 Lieferkette, in Ihrer Verantwortung liegt. Aber was tun Sie, wenn ein Partner nicht mitspielt?

‍

Dieses Szenario ist keine Seltenheit. Viele Unternehmen konzentrieren sich auf ihre eigene NIS2-Umsetzung und übersehen dabei die Komplexität im Umgang mit Drittanbietern. Doch genau hier liegt eine der größten Herausforderungen. Ein schwaches Glied in Ihrer Lieferkette kann Ihre gesamte Compliance zunichtemachen.

‍

Die gute Nachricht: Sie sind dem nicht hilflos ausgeliefert. Anstatt in Panik zu verfallen, benötigen Sie einen klaren, strukturierten Prozess – ein Playbook, das Ihnen zeigt, wie Sie von der ersten Feststellung eines Problems bis zur Lösung navigieren.

‍

Was bedeutet „Non-Konformität“ in der Praxis wirklich?

‍

Bevor wir über Lösungen sprechen, müssen wir das Problem klar definieren. „Non-Konformität“ ist mehr als nur ein juristischer Begriff. Im Alltag zeigt sie sich in ganz konkreten Versäumnissen, die Ihr Unternehmen direkt gefährden.

‍

Typische Anzeichen für Non-Konformität bei einem Lieferanten sind:

‍

• Fehlende technische Maßnahmen: Der Anbieter hat grundlegende Sicherheitsstandards wie Multi-Faktor-Authentifizierung (MFA) nicht implementiert oder versäumt, wichtige Sicherheitspatches zeitnah einzuspielen.
  ‍
• Unzureichende Dokumentation: Auf Nachfrage kann der Lieferant keine Nachweise, Audit-Berichte oder Zertifizierungen vorlegen, die seine Sicherheitsbemühungen belegen.
  ‍
• Vage vertragliche Vereinbarungen: Die Verträge enthalten keine spezifischen Klauseln zur Informationssicherheit oder zur Einhaltung von Vorschriften wie NIS2.
  ‍
• Mangelnde Kooperation: Der Anbieter reagiert langsam oder gar nicht auf Ihre Anfragen, weigert sich, an Audits teilzunehmen oder spielt die Wichtigkeit der Anforderungen herunter.

‍

‍

Non-konforme Drittanbieter sind ein potenzielles Risiko: Fehlende Sicherheitsmaßnahmen, unvollständige Audits und Vertragsverletzungen sind häufige Formen der NIS2-Non-Konformität.

‍

Jeder dieser Punkte stellt ein erhebliches Risiko dar. Es ist entscheidend, diese Anzeichen frühzeitig zu erkennen und systematisch darauf zu reagieren.

‍

Das 5-Phasen-Eskalations-Playbook: Vom Verdacht zur Lösung

‍

Wenn Sie feststellen, dass ein Lieferant die Anforderungen nicht erfüllt, ist ein strukturiertes Vorgehen unerlässlich. Dieses 5-Phasen-Modell dient Ihnen als Fahrplan, um die Kontrolle zurückzugewinnen und Ihr Unternehmen zu schützen.

‍

Das 5-Phasen-Eskalationsmodell zeigt den systematischen Prozess von Audit bis Anbieterwechsel zur effektiven Bewältigung von NIS2-Non-Konformität bei Drittanbietern.

‍

Phase 1: Nachweis & Dokumentation – Schaffen Sie eine Faktenbasis

‍

Bevor Sie handeln, brauchen Sie Beweise. Verlassen Sie sich niemals auf mündliche Absprachen oder Vermutungen. Ihre Aufgabe ist es, eine lückenlose, unanfechtbare Dokumentation zu erstellen.

‍

• Audit-Anfragen: Fordern Sie formell alle relevanten Dokumente an (z. B. ISO 27001-Zertifikat, SOC-2-Berichte, Penetrationstests).
  ‍
• Kommunikationsprotokoll: Halten Sie jede Interaktion schriftlich fest – E-Mails, Telefonnotizen, Meeting-Protokolle. Notieren Sie Datum, Uhrzeit, Teilnehmer und Ergebnisse.
  ‍
• Konkrete Mängelliste: Erstellen Sie eine Liste der spezifischen Punkte, in denen der Anbieter die vertraglichen oder gesetzlichen Anforderungen nicht erfüllt.

‍

Ein sauberes Vorgehen bei Audit-Compliance ist die Grundlage für alle weiteren Schritte.

‍

Häufiger Fehler: Mündliche Zusagen ohne schriftliche Bestätigung. Im Streitfall zählt nur, was Sie beweisen können. Dokumentieren Sie alles!

‍

Phase 2: Kommunikation & Fristsetzung – Vom Dialog zur formellen Forderung

‍

Mit einer soliden Faktenbasis gehen Sie in die nächste Phase. Die Kommunikation wird nun formeller.

‍

1. Formelle Mängelrüge: Senden Sie dem Anbieter eine schriftliche Mitteilung, in der Sie die festgestellten Mängel klar benennen und auf die entsprechenden Vertragsklauseln oder gesetzlichen Pflichten verweisen.
   ‍
2. Klare Handlungsaufforderung: Formulieren Sie exakt, welche Maßnahmen Sie vom Anbieter erwarten (z. B. „Implementierung von MFA für alle administrativen Zugänge“).
   ‍
3. Realistische Fristsetzung: Setzen Sie eine angemessene, aber verbindliche Frist zur Behebung der Mängel. Eine Frist von 14 bis 30 Tagen ist je nach Aufwand üblich.

‍

Dieser Schritt signalisiert dem Anbieter, dass die Zeit für vage Versprechungen vorbei ist.

‍

Phase 3: Vertragliche Maßnahmen – Nutzen Sie Ihre Vereinbarungen

‍

Wenn die gesetzte Frist verstreicht, ohne dass der Anbieter die Mängel behoben hat, ist es Zeit, die im Vertrag vereinbarten Konsequenzen zu ziehen.

‍

• Vertragsstrafen aktivieren: Viele Verträge sehen Strafen für die Nichteinhaltung von SLAs (Service Level Agreements) oder Sicherheitsanforderungen vor. Setzen Sie diese nun durch.
  ‍
• Leistungsminderung: Prüfen Sie, ob Ihr Vertrag eine Kürzung der Zahlungen bei Schlechtleistung vorsieht.
  ‍
• Sonderprüfungsrechte: Machen Sie von Ihrem Recht Gebrauch, ein eigenes Audit (ggf. durch einen externen Dritten) durchzuführen, um das Ausmaß der Mängel festzustellen.

‍

Phase 4: Eskalation & Kündigung – Der letzte Schritt

‍

Dies ist die Ultima Ratio, wenn alle vorherigen Schritte gescheitert sind. Eine Vertragskündigung ist ein schwerwiegender Schritt und muss rechtlich einwandfrei vorbereitet werden.

‍

1. Letzte Mahnung (Abmahnung): Senden Sie eine letzte formelle Abmahnung mit einer kurzen Nachfrist und der klaren Androhung der Kündigung bei Nichterfüllung.
   ‍
2. Kündigung aus wichtigem Grund: Wenn auch diese Frist verstreicht, sprechen Sie die außerordentliche Kündigung aus. Begründen Sie diese detailliert mit der dokumentierten Vertragspflichtverletzung. Die Verantwortung für solch eine Entscheidung liegt letztlich bei der Geschäftsführung, wie unser Blog für den Aufsichtsrat beleuchtet.

‍

Rechtlicher Hinweis: Spätestens in dieser Phase ist die Hinzuziehung eines spezialisierten Rechtsanwalts unerlässlich, um die Kündigung rechtssicher zu gestalten und mögliche Schadensersatzansprüche vorzubereiten.

‍

Phase 5: Risikominimierung & Anbieterwechsel – Ein geordneter Übergang

‍

Die Kündigung löst das unmittelbare Compliance-Problem, schafft aber eine neue operative Herausforderung: den Wechsel des Anbieters.

‍

• Migrationsplan entwickeln: Erstellen Sie einen detaillierten Plan für den Umzug Ihrer Daten und Prozesse zum neuen Anbieter. Definieren Sie klare Verantwortlichkeiten und Zeitpläne.
  ‍
• Datenherausgabe sicherstellen: Fordern Sie den alten Anbieter formell zur Herausgabe all Ihrer Daten in einem nutzbaren Format auf.
  ‍
• Parallelbetrieb: Planen Sie nach Möglichkeit eine Übergangsphase, in der beide Systeme parallel laufen, um Ausfälle zu minimieren.

‍

Ein sauber geplanter Wechsel ist entscheidend, um den Geschäftsbetrieb nicht zu gefährden. Der Einsatz einer Plattform für Lieferantenrisiken kann helfen, auch bei neuen Partnern von Anfang an auf der sicheren Seite zu sein.

‍

Proaktives Risikomanagement: Wie Sie Eskalationen von vornherein vermeiden

‍

Der beste Weg, mit non-konformen Lieferanten umzugehen, ist, gar nicht erst in diese Situation zu geraten. Ein proaktiver Ansatz zur Lieferkettensicherheit spart Ihnen langfristig Zeit, Geld und Nerven.

‍

• Wasserdichte Verträge: Definieren Sie klare und messbare Sicherheitsanforderungen direkt im Vertrag. Legen Sie Audit-Rechte, Meldepflichten bei Vorfällen und konkrete Vertragsstrafen fest.
  ‍
• Sorgfältige Anbieterauswahl (Due Diligence): Prüfen Sie potenzielle Partner vor Vertragsabschluss auf Herz und Nieren. Fordern Sie Zertifizierungen und führen Sie Risikoanalysen durch.
  ‍
• Regelmäßiges Monitoring: Verlassen Sie sich nicht auf einmalige Prüfungen. Implementieren Sie einen Prozess zur kontinuierlichen Überwachung Ihrer Lieferanten. Automatisierte Plattformen können hier eine große Hilfe sein. Die Anforderungen an NIS2 Lieferanten entwickeln sich stetig weiter, genau wie die Bedrohungslandschaft im Kontext von NIS2 vs Cyber Resilience Act.

‍

Die vier Säulen der NIS2-Risikominimierung bilden zusammen ein starkes Schutzschloss für Ihre Lieferkette: Absichern, Überwachen, Reagieren und Anpassen.

‍

Fazit: Handeln Sie entschlossen und mit System

‍

Der Umgang mit non-konformen Lieferanten ist eine der anspruchsvollsten Aufgaben der NIS2-Compliance. Doch mit einem klaren Eskalations-Playbook verwandeln Sie eine potenziell chaotische Krisensituation in einen beherrschbaren Prozess.

‍

Der Schlüssel liegt in der Kombination aus proaktiver Vorsorge und einem entschlossenen, gut dokumentierten Vorgehen im Ernstfall. Starke Verträge, regelmäßiges Monitoring und ein klarer Eskalationsplan sind Ihre wichtigsten Werkzeuge, um die Sicherheit Ihrer Lieferkette zu gewährleisten und Ihr Unternehmen vor den Konsequenzen von NIS2-Verstößen zu schützen. Warten Sie nicht, bis ein Problem eskaliert – seien Sie vorbereitet.

‍

Häufig gestellte Fragen (FAQ)

‍

Was sind die ersten Anzeichen für Non-Konformität bei einem Lieferanten?

‍

Achten Sie auf ausweichende Antworten bei Sicherheitsanfragen, fehlende oder veraltete Zertifizierungen und eine allgemeine mangelnde Transparenz bezüglich der implementierten Sicherheitsmaßnahmen. Verzögerungen bei der Beantwortung von Fragebögen sind ebenfalls ein Warnsignal.

‍

Reicht eine E-Mail als formelle Abmahnung?

‍

Für eine erste formelle Mängelrüge kann eine E-Mail mit Lesebestätigung ausreichen. Für eine rechtssichere Abmahnung mit Kündigungsandrohung wird jedoch dringend die Zustellung per Einschreiben empfohlen, um den Zugang beweisen zu können.

‍

Was passiert, wenn mein Lieferant einfach nicht reagiert?

‍

Das Nichthandeln nach einer formellen Aufforderung mit Fristsetzung ist eine schwere Vertragsverletzung. Dokumentieren Sie die ausbleibende Reaktion sorgfältig. Dies stärkt Ihre Position für eine anschließende Kündigung aus wichtigem Grund und mögliche Schadensersatzforderungen.

‍

Bin ich als Unternehmen haftbar, wenn mein Lieferant einen Sicherheitsvorfall hat?

‍

Ja. Im Rahmen von NIS2 sind Sie für die Sicherheit Ihrer gesamten Lieferkette verantwortlich. Sie müssen nachweisen können, dass Sie Ihre Lieferanten sorgfältig ausgewählt, vertraglich verpflichtet und überwacht haben. Wenn ein Vorfall bei Ihrem Lieferanten Ihre Dienste beeinträchtigt, sind Sie meldepflichtig und können bei Versäumnissen haftbar gemacht werden.

‍