Informationssicherheits- und Datenschutzexpertin
December 19, 2025
5 Minuten
.svg)
NIS2 macht deutlich, dass Cyberrisiken oft bei Sub-Sub-Unternehmern entstehen und nicht bei direkten Lieferanten.
Die Verantwortung für die Lieferkettensicherheit endet unter NIS2 nicht an der Tier-1-Ebene.
Ohne Transparenz in N-Tier-Lieferketten bleiben kritische Sicherheitslücken unsichtbar.
Ein risikobasierter und automatisierter Ansatz verwandelt NIS2-Pflichten in echte Resilienz.
Stellen Sie sich vor, Sie haben eine Festung gebaut. Die Mauern sind hoch, die Tore bewacht, und Ihre direkten Handelspartner – diejenigen, die Waren in die Festung bringen – werden streng kontrolliert. Sie fühlen sich sicher. Doch eines Tages gelangt ein Virus in Ihre Festung, versteckt in einer Kiste, die von einem Zulieferer Ihres Zulieferers gepackt wurde – jemand, dessen Namen Sie noch nie gehört haben.
Genau dieses Szenario beschreibt die Realität moderner, digital vernetzter Lieferketten. Und genau hier setzt die NIS2-Richtlinie den Hebel an. Es reicht nicht mehr aus, nur die direkten Vertragspartner (Tier-1) zu kennen. Die Verantwortung diffundiert tief in das Netzwerk der sogenannten N-Tier-Lieferanten (Sub-Sub-Unternehmer).
Für viele Sicherheitsverantwortliche und Compliance-Manager klingt das zunächst nach einer "Mission Impossible": Wie soll man Risiken kontrollieren, die oft drei oder vier Ebenen entfernt liegen? In diesem Artikel beleuchten wir, wie Sie Licht in diesen dunklen Teil der Lieferkette bringen und warum NIS2 hier weniger als bürokratische Hürde, sondern als Chance für echte Resilienz verstanden werden sollte.
Der Begriff "N-Tier" bezeichnet die verschiedenen Stufen einer Lieferkette. Tier-1 sind Ihre direkten Lieferanten. Tier-2 sind deren Zulieferer, und so weiter. In der Vergangenheit endete die Sorgfaltspflicht oft an der eigenen Laderampe. NIS2 ändert diese Spielregeln grundlegend, indem es die Lieferkettensicherheit in den Fokus rückt.
Das Gesetz verlangt von betroffenen Unternehmen ("wesentliche" und "wichtige" Einrichtungen), technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer Lieferkette zu gewährleisten. Das Problem: Ein Cyberangriff auf einen kleinen, spezialisierten Softwareanbieter in Ebene 3 (Tier-3) kann sich kaskadenartig nach oben fortpflanzen und schließlich Ihre Produktion lahmlegen.
Der Gesetzgeber hat erkannt, dass Cyberkriminelle den Weg des geringsten Widerstands suchen. Wenn Großunternehmen ihre Abwehr verstärken, greifen Hacker die oft schwächer geschützten kleinen Zulieferer an, um durch die "Hintertür" in die Netzwerke der großen Partner einzudringen.
Dies erfordert ein Umdenken:
Wenn Sie sich fragen, wie Sie überhaupt anfangen sollen, hilft oft ein Blick auf automatisierte Prozesse. Eine manuelle Cyber-Risikobewertung von Lieferanten per Excel-Liste ist bei komplexen N-Tier-Strukturen schlichtweg nicht mehr leistbar.
Die größte Hürde bei der N-Tier-Compliance ist die Sichtbarkeit. Sie haben keinen direkten Vertrag mit dem Tier-2-Lieferanten. Wie also setzen Sie Compliance durch?
Da Sie keinen direkten Zugriff auf Tier-2 haben, müssen Sie Ihren Tier-1-Lieferanten verpflichten, die NIS2-Anforderungen weiterzugeben. Ihre Lieferantenverträge müssen Klauseln enthalten, die nicht nur die Einhaltung von Sicherheitsstandards fordern, sondern auch die Verpflichtung, diese Standards an Unterauftragnehmer weiterzureichen.
Nicht jeder Sub-Sub-Unternehmer ist kritisch. Der Caterer Ihres Zulieferers stellt vermutlich ein geringeres Risiko dar als der Anbieter des Cloud-Hostings, auf dem Ihre Konstruktionsdaten liegen.Ein effektives NIS2 Risikomanagement beginnt mit der Identifikation der "Kronjuwelen": Welche Daten und Prozesse sind für Ihren Geschäftsbetrieb kritisch? Welche Lieferanten (und deren Zulieferer) haben darauf Zugriff?
Wie sieht das nun konkret aus? Wie bändigen Sie das Monster der komplexen Lieferketten? Der Schlüssel liegt in einer Mischung aus vertraglicher Gestaltung, technologischer Unterstützung und pragmatischer Risikobewertung.
Beginnen Sie bei Ihren Tier-1-Lieferanten. Fordern Sie Informationen über deren kritische Unterauftragnehmer an. Nutzen Sie digitale Fragebögen oder spezialisierte NIS2 Templates, um diesen Prozess zu standardisieren.
Bei hunderten oder tausenden von Lieferanten ist manuelle Prüfung unmöglich. Hier kommen moderne Lösungen ins Spiel. Eine Digital Compliance Platform kann helfen, Zertifikate (wie ISO 27001) automatisch zu überwachen und Sicherheitsratings von Lieferanten abzufragen, ohne dass Sie jede Webseite manuell prüfen müssen.
Was passiert, wenn ein wichtiger Zulieferer in der Kette die Anforderungen nicht erfüllt? NIS2 Lieferanten, die Sicherheitslücken aufweisen, müssen nicht sofort gekündigt werden. Oft ist ein gemeinsamer Entwicklungsplan ("Supplier Development") der bessere Weg. Legen Sie Fristen fest, bis wann Lücken geschlossen sein müssen.
Gerade für schnell wachsende Unternehmen (Scaleups) oder Konzerne in hochregulierten Bereichen wie Aerospace & Defense Solutions ist die manuelle Pflege von Lieferantenlisten ein massives Sicherheitsrisiko.
Die Compliance Automation ermöglicht es heute, N-Tier-Risiken in Echtzeit zu überwachen. Stellen Sie sich vor, ein Tier-3-Lieferant meldet eine Datenpanne. In einem manuellen System erfahren Sie davon vielleicht erst Wochen später – oder nie. Ein integriertes System kann Sie proaktiv warnen, wenn sich das Risikoprofil eines Zulieferers in Ihrer Kette ändert.
Dies ist der Kern von Digital Compliance: Es geht darum, Compliance "nebenbei" laufen zu lassen, automatisiert und integriert, sodass Sie sich auf Ihr Kerngeschäft konzentrieren können, während das System im Hintergrund die Wache hält.
Die Ausweitung der Sicherheitsanforderungen auf Sub-Sub-Unternehmer mag wie eine enorme Belastung wirken. Doch betrachten Sie es so: Transparenz in der Lieferkette schützt Sie nicht nur vor Cyberangriffen. Sie macht Ihre Lieferkette auch robuster gegen andere Störungen, sei es durch geopolitische Ereignisse oder wirtschaftliche Ausfälle.
Unternehmen, die ihre N-Tier-Risiken im Griff haben, signalisieren ihren eigenen Kunden Verlässlichkeit und Integrität. In einer Welt, in der Vertrauen die härteste Währung ist, wird NIS2-Compliance so vom Pflichtprogramm zum strategischen Asset.
Starten Sie mit einer Bestandsaufnahme Ihrer direkten Lieferanten und bewerten Sie deren Kritikalität. Von dort aus arbeiten Sie sich risikobasiert in die Tiefe vor.
Möchten Sie tiefer in das Thema eintauchen?Die Komplexität von NIS2 lässt sich am besten mit intelligenten Tools bewältigen. Erfahren Sie mehr über unsere Secjur Lösungen und wie wir Unternehmen dabei unterstützen, Compliance nicht nur zu erreichen, sondern zu automatisieren.
NIS2 gibt keine exakte Tiefe vor (z.B. "bis Ebene 3"). Der Ansatz ist risikobasiert. Sie müssen so weit prüfen, wie es für die Sicherheit Ihrer wesentlichen Dienste notwendig ist. Wenn ein Tier-3-Lieferant kritischen Zugriff auf Ihre Systeme hat, müssen Sie ihn auf dem Radar haben.
Die Geschäftsleitung ist nach NIS2 für die Umsetzung der Maßnahmen verantwortlich. Wenn Sie Ihre Sorgfaltspflicht bei der Auswahl und Überwachung der Lieferkette (inkl. der vertraglichen Weitergabe von Pflichten) verletzen, können Bußgelder und Haftung die Folge sein. Sie haften nicht pauschal für jeden Fehler eines Dritten, aber für das Fehlen angemessener Kontrollmechanismen.
Viele kleine Zulieferer haben keine große IT-Abteilung. Helfen Sie ihnen, indem Sie klare Anforderungen stellen und pragmatische Lösungen akzeptieren (z.B. statt einer vollen ISO 27001-Zertifizierung den Nachweis spezifischer Sicherheitsmaßnahmen). Nutzen Sie NIS2 Checklisten Templates, um ihnen den Einstieg zu erleichtern.
Software kann die Entscheidung nicht abnehmen, aber die Datenbeschaffung und Überwachung massiv beschleunigen. Secjur bietet beispielsweise Lösungen, um Compliance-Prozesse zu automatisieren und die Komplexität von Frameworks wie NIS2 handhabbar zu machen.
Nandini Suresh ist Compliance Expert bei SECJUR und spezialisiert auf Datenschutz, Cybersecurity und geistiges Eigentum. Bevor sie zu SECJUR kam, war sie unter anderem bei Bird & Bird sowie Lorenz Seidler Gossel tätig und betreute dort internationale Mandate im Marken- und Datenschutzrecht. Durch ihre Erfahrung an der Schnittstelle von Recht, Technologie und Compliance verbindet sie juristische Präzision mit einem tiefen Verständnis für die regulatorischen Anforderungen moderner Unternehmen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
ISO/IEC 27001: Die Norm für Informationssicherheitsmanagementsysteme (ISMS) ist ein wesentlicher Leitfaden für Unternehmen. Erfahren Sie, wie diese Norm die Informationssicherheit gewährleistet, Risiken mindert und Wettbewerbsvorteile schafft. Die jüngste Aktualisierung, ISO/IEC 27001:2022, reflektiert moderne Bedrohungen, wie Cybersicherheit und Datenschutz, und bietet erweiterte Kontrollmechanismen. Entdecken Sie die Neuerungen, Umstellungsfristen und die Bedeutung dieser Norm für Ihr Unternehmen in 2023.
Viele Unternehmen unterschätzen, wie zentral Business Continuity und Krisenmanagement für ihre NIS2-Compliance sind. Dieser Leitfaden zeigt, wie Sie aus reaktiven Notfallplänen eine aktive Resilienzstrategie formen mit klaren Verantwortlichkeiten, belastbaren Wiederanlaufzeiten und durchdachten Kommunikationswegen. Erfahren Sie, wie Sie Risiken systematisch bewerten, kritische Prozesse absichern und so Ihre Betriebsfähigkeit, Ihr Kundenvertrauen und die Handlungsfähigkeit des Managements nachhaltig stärken.
Viele Unternehmen sehen dokumentierte Informationen als reine Formalität. Doch richtig gesteuert, werden sie zum Fundament eines wirksamen Qualitätsmanagements. Dieser Leitfaden zeigt, wie Sie Dokumente und Nachweise effizient lenken, digitale Tools gezielt einsetzen und so Ihr QMS von bürokratisch zu strategisch transformieren.
.svg)
.svg)
.svg){kind=small}