Informationssicherheits- und Datenschutzexpertin
November 19, 2025
5 Minuten
.svg)
NIS2 macht Unternehmen erstmals direkt für die Cybersicherheit ihrer Lieferkette verantwortlich.
Die eigene Sicherheitslage ist nur so stark wie das schwächste Glied der Wertschöpfungskette.
Zertifizierungen von Lieferanten reichen nicht aus, da NIS2 eine individuelle Risikoprüfung verlangt.
Ein strukturiertes Supply-Chain-Risikomanagement wird zum entscheidenden Faktor für Compliance und Resilienz.
Stellen Sie sich vor: Ein Cyberangriff legt einen Ihrer wichtigsten IT-Dienstleister lahm. Ihre Produktion steht still, Kundendaten sind in Gefahr und Ihr Unternehmen verliert jeden Tag Geld. Bisher war das vor allem das Problem Ihres Dienstleisters. Mit der neuen NIS2-Richtlinie ändert sich das grundlegend. Die neue Devise lautet: Die Sicherheit Ihres Unternehmens endet nicht mehr am eigenen Firmentor. Ein Angriff bei Ihrem Lieferanten ist jetzt auch Ihr Problem – und Ihre Verantwortung.
Dieser Wandel ist mehr als nur eine neue Vorschrift. Es ist ein "Aha-Moment" für viele Unternehmen: Die eigene Cybersicherheit ist nur so stark wie das schwächste Glied in der gesamten Lieferkette. NIS2 zwingt Unternehmen dazu, diese erweiterte Verantwortung ernst zu nehmen. In diesem Leitfaden übersetzen wir die komplexen Anforderungen in einen klaren, umsetzbaren Fahrplan. Wir zeigen Ihnen, was der Gesetzgeber wirklich verlangt und wie Sie Ihr Unternehmen effektiv schützen, ohne sich im Paragrafendschungel zu verlieren.
Die Kernbotschaft von NIS2 bezüglich der Lieferkette ist einfach, aber wirkungsvoll: Betroffene Unternehmen müssen die Cybersicherheitsrisiken, die von ihren direkten Lieferanten und Dienstleistern ausgehen, aktiv managen. Das bedeutet, Sie müssen die Sicherheitspraktiken Ihrer Partner bewerten, vertraglich absichern und kontinuierlich überwachen.
Der Gesetzgeber hat erkannt, dass viele der größten Cyberangriffe der letzten Jahre (wie der SolarWinds-Hack) über kompromittierte Zulieferer erfolgten. NIS2 schließt diese Lücke, indem es die Verantwortung für die Lieferkettensicherheit direkt bei den beauftragenden Unternehmen verankert. Sie müssen nachweisen können, dass Sie die Cybersicherheit über Ihre gesamte Wertschöpfungskette hinweg im Blick haben.
Um die abstrakten Anforderungen in die Praxis umzusetzen, hat sich ein Vorgehen bewährt, das auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen wird: das Cyber Supply Chain Risk Management (C-SCRM). Wir haben diesen Ansatz in einen praktischen 5-Schritte-Fahrplan übersetzt.
Nicht jeder Lieferant stellt das gleiche Risiko dar. Beginnen Sie damit, Ihre Dienstleister zu kategorisieren. Wer hat Zugriff auf kritische Systeme oder sensible Daten? Welcher Ausfall würde Ihren Geschäftsbetrieb am stärksten beeinträchtigen?
Führen Sie für jeden kritischen Lieferanten eine spezifische NIS2 Risikobewertung durch. Welche konkreten Bedrohungen könnten über diesen Partner auf Ihr Unternehmen einwirken? (z.B. Einschleusung von Malware, Datendiebstahl, Dienstausfall). Basierend auf dieser Analyse definieren Sie klare Sicherheitsanforderungen, die der Lieferant erfüllen muss.
Ihre definierten Anforderungen müssen rechtlich verbindlich sein. Verankern Sie die Sicherheitsmaßnahmen in den Verträgen mit Ihren Dienstleistern. Wichtige Klauseln umfassen:
Lieferantenmanagement ist kein einmaliges Projekt. Die Bedrohungslage ändert sich ständig. Etablieren Sie einen Prozess zur kontinuierlichen Überwachung. Dies kann durch regelmäßige Selbstauskünfte, Fragebögen, Überprüfung von Zertifikaten oder durch technische Scans geschehen. Für besonders kritische Partner sind regelmäßige Audits unerlässlich, um sicherzustellen, dass die vereinbarten Maßnahmen auch gelebt werden. Ein robustes System für Audit-Compliance ist hier der Schlüssel zum Erfolg.
Was passiert, wenn trotz aller Vorkehrungen ein Vorfall eintritt? Ein gemeinsamer Notfallplan ist entscheidend. Definieren Sie klare Prozesse, Kommunikationswege und Verantwortlichkeiten für den Ernstfall. Wer informiert wen? Welche Schritte werden gemeinsam unternommen, um den Schaden zu begrenzen und den Betrieb wiederherzustellen? Regelmäßige gemeinsame Übungen können hierbei helfen.
Ein funktionierendes C-SCRM ist mehr als nur eine NIS2-Pflichtübung. Es ist ein strategischer Vorteil, der Ihre Geschäftsresilienz massiv erhöht.
Während eine Rechtsabteilung die finalen Verträge prüfen sollte, können folgende Formulierungen als Grundlage dienen:
Wenn Sie bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 betreiben, haben Sie eine hervorragende Grundlage. Die Anforderungen an NIS2 Lieferanten lassen sich direkt in die bestehenden Prozesse integrieren, insbesondere in die Kontrollen der ISO 27001 Anhang A.5 (Policies for information security) und A.15 (Supplier relationships). NIS2 konkretisiert hier die Anforderungen und verlangt oft einen noch detaillierteren Nachweis.
Um Ihnen den Einstieg zu erleichtern, dient die folgende Checkliste als erste Orientierung bei der Bewertung Ihrer Dienstleister.
Kurz-Checkliste zur Lieferantenbewertung:
Die NIS2-Anforderungen an die Lieferkette mögen auf den ersten Blick wie eine weitere bürokratische Hürde wirken. Doch bei genauerer Betrachtung sind sie eine Chance: Sie zwingen Unternehmen, ihre Abhängigkeiten transparent zu machen und ihre Geschäftsbeziehungen auf eine sicherere Grundlage zu stellen.
Ein proaktives und partnerschaftliches Management der Lieferkettensicherheit reduziert nicht nur Compliance-Risiken. Es schafft eine widerstandsfähigere Organisation, schützt Ihren Ruf und stärkt das Vertrauen Ihrer Kunden. Indem Sie Sicherheit zu einem zentralen Kriterium bei der Auswahl und Zusammenarbeit mit Ihren Partnern machen, verwandeln Sie eine regulatorische Pflicht in einen echten strategischen Vorteil.
Was genau bedeutet "Sicherheit der Lieferkette" im Kontext von NIS2?Es bedeutet, dass Sie die Cybersicherheitsrisiken, die von Ihren externen Dienstleistern und Zulieferern ausgehen, aktiv managen müssen. Das umfasst die Auswahl, vertragliche Absicherung, Überwachung und das gemeinsame Management von Sicherheitsvorfällen mit diesen Partnern.
Wir sind ein KMU und nur Zulieferer. Betrifft uns NIS2 wirklich?Ja, sehr wahrscheinlich indirekt. Wenn Ihr Kunde ein NIS2-pflichtiges Unternehmen ist, wird dieser vertraglich von Ihnen verlangen, bestimmte Sicherheitsstandards nachzuweisen. Sie werden Teil seiner abgesicherten Lieferkette. Eine proaktive Vorbereitung ist ein Wettbewerbsvorteil.
Reicht eine Selbstauskunft meiner Lieferanten aus?Für unkritische Lieferanten kann eine Selbstauskunft ausreichend sein. Bei kritischen Partnern, die Zugriff auf sensible Daten oder Systeme haben, reicht sie definitiv nicht aus. Hier sind tiefere Prüfungen wie Audits oder die Einsicht in Zertifizierungsberichte notwendig, um Ihrer Sorgfaltspflicht nachzukommen.
Wie unterscheidet sich das von den Anforderungen in ISO 27001?ISO 27001 fordert bereits ein Management der Lieferantensicherheit. NIS2 ist jedoch ein Gesetz und damit rechtlich bindend, während ISO 27001 ein Standard ist. NIS2 legt zudem einen stärkeren Fokus auf die Resilienz kritischer Dienste und hat sehr konkrete, kurze Meldefristen für Vorfälle, die auch für Lieferanten gelten müssen.
Was sind die Konsequenzen, wenn ein Lieferant einen Sicherheitsvorfall hat?Nach NIS2 sind Sie als beauftragendes Unternehmen mitverantwortlich. Wenn der Vorfall bei Ihnen zu einer erheblichen Störung führt, müssen Sie diesen den Behörden melden. Können Sie nicht nachweisen, dass Sie Ihre Lieferkette angemessen abgesichert haben, drohen empfindliche Bußgelder und Haftungsrisiken für die Geschäftsleitung.
Nandini Suresh ist Compliance Expert bei SECJUR und spezialisiert auf Datenschutz, Cybersecurity und geistiges Eigentum. Bevor sie zu SECJUR kam, war sie unter anderem bei Bird & Bird sowie Lorenz Seidler Gossel tätig und betreute dort internationale Mandate im Marken- und Datenschutzrecht. Durch ihre Erfahrung an der Schnittstelle von Recht, Technologie und Compliance verbindet sie juristische Präzision mit einem tiefen Verständnis für die regulatorischen Anforderungen moderner Unternehmen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
Der Onlineauftritt eines Unternehmens stellt mittlerweile einen essenziellen Bestandteil effektiven Marketings dar. Um sein Unternehmen vorzustellen, ist es mittlerweile gängige Praxis, Mitarbeiterfotos auf der Homepage und in sozialen Netzwerken zu veröffentlichen. Doch welche Folgen kann es haben, wenn Arbeitgeber bei der Veröffentlichung von Mitarbeiterfotos die Datenschutzgrundverordnung (DSGVO) nicht beachten?
Müssen Sie sich in Ihrem Unternehmen mit einem Informationssicherheitsmanagementsystem (ISMS) beschäftigen? Dann wissen Sie: Den richtigen ISMS-Standard zu wählen ist nicht einfach. Wir gehen in diesem Artikel daher auf einige der bekanntesten Informationssicherheits-Standards und ihre Anwendungsbereiche sowie ihre Unterschiede zur ISO/IEC 27001 ein.
Tauchen Sie ein in die Welt der Datenschutz-Grundverordnung (DSGVO) und erfahren Sie in unserem neuen Blogartikel alles Wichtige rund um dieses bedeutende Thema. Erfahren Sie, was die DSGVO ist und warum sie eine immense Bedeutung hat. Entdecken Sie die vielfältigen Anforderungen und Maßnahmen, die Unternehmen beachten und umsetzen müssen, um im Einklang mit der DSGVO zu agieren. Tauchen Sie ein in konkrete Anwendungsbeispiele aus dem Unternehmensalltag und erhalten Sie wertvolle Tipps, wie Unternehmen die DSGVO einfach einhalten können.
.svg)
.svg)
.svg){kind=small}