NIS2 & Lieferkette: Warum die Sicherheit Ihrer Zulieferer jetzt zählt

Aktualisierung vom 21.11.2025: NIS2 gilt in Deutschland ab dem Tag der Veröffentlichung des Umsetzungsgesetzes im Bundesgesetzblatt, was derzeit für Ende 2025 oder Anfang 2026 erwartet wird. Dann werden die Pflichten für Unternehmen rechtlich verbindlich.

‍

Stellen Sie sich vor: Ein Cyberangriff legt einen Ihrer wichtigsten IT-Dienstleister lahm. Ihre Produktion steht still, Kundendaten sind in Gefahr und Ihr Unternehmen verliert jeden Tag Geld. Bisher war das vor allem das Problem Ihres Dienstleisters. Mit der neuen NIS2-Richtlinie ändert sich das grundlegend. Die neue Devise lautet: Die Sicherheit Ihres Unternehmens endet nicht mehr am eigenen Firmentor. Ein Angriff bei Ihrem Lieferanten ist jetzt auch Ihr Problem – und Ihre Verantwortung.

‍

Dieser Wandel ist mehr als nur eine neue Vorschrift. Es ist ein "Aha-Moment" für viele Unternehmen: Die eigene Cybersicherheit ist nur so stark wie das schwächste Glied in der gesamten Lieferkette. NIS2 zwingt Unternehmen dazu, diese erweiterte Verantwortung ernst zu nehmen. In diesem Leitfaden übersetzen wir die komplexen Anforderungen in einen klaren, umsetzbaren Fahrplan. Wir zeigen Ihnen, was der Gesetzgeber wirklich verlangt und wie Sie Ihr Unternehmen effektiv schützen, ohne sich im Paragrafendschungel zu verlieren.

‍

Foundation: Die NIS2-Lieferketten-Pflicht einfach erklärt

‍

Die Kernbotschaft von NIS2 bezüglich der Lieferkette ist einfach, aber wirkungsvoll: Betroffene Unternehmen müssen die Cybersicherheitsrisiken, die von ihren direkten Lieferanten und Dienstleistern ausgehen, aktiv managen. Das bedeutet, Sie müssen die Sicherheitspraktiken Ihrer Partner bewerten, vertraglich absichern und kontinuierlich überwachen.

‍

Der Gesetzgeber hat erkannt, dass viele der größten Cyberangriffe der letzten Jahre (wie der SolarWinds-Hack) über kompromittierte Zulieferer erfolgten. NIS2 schließt diese Lücke, indem es die Verantwortung für die Lieferkettensicherheit direkt bei den beauftragenden Unternehmen verankert. Sie müssen nachweisen können, dass Sie die Cybersicherheit über Ihre gesamte Wertschöpfungskette hinweg im Blick haben.

‍

‍

Häufige Missverständnisse, die Sie kennen sollten:

‍

• "Wir sind ein KMU, das betrifft uns nicht." Falsch. Auch wenn Ihr Unternehmen nicht direkt unter NIS2 fällt, können Sie indirekt betroffen sein. Wenn Sie ein wichtiger Zulieferer für ein NIS2-pflichtiges Unternehmen sind, wird dieses die neuen Sicherheitsanforderungen an Sie weitergeben. Die Frage ist also nicht ob, sondern wann Sie sich mit dem Thema NIS2 für KMU beschäftigen müssen.
  ‍
• "Unsere Lieferanten sind nach ISO 27001 oder TISAX® zertifiziert, das reicht doch." Nicht unbedingt. Eine Zertifizierung ist ein hervorragender Ausgangspunkt und ein starkes Indiz für ein hohes Sicherheitsniveau. NIS2 verlangt jedoch einen risikobasierten Ansatz, der speziell auf die erbrachte Dienstleistung zugeschnitten ist. Sie müssen individuell bewerten, ob die Maßnahmen des Lieferanten die spezifischen Risiken für Ihr Unternehmen ausreichend abdecken. Eine Zertifizierung allein entbindet Sie nicht von Ihrer eigenen Prüfpflicht.

‍

Building: Der 5-Schritte-Fahrplan zum C-SCRM

‍

Um die abstrakten Anforderungen in die Praxis umzusetzen, hat sich ein Vorgehen bewährt, das auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen wird: das Cyber Supply Chain Risk Management (C-SCRM). Wir haben diesen Ansatz in einen praktischen 5-Schritte-Fahrplan übersetzt.

‍

‍

1. Lieferanten identifizieren & bewerten

‍

Nicht jeder Lieferant stellt das gleiche Risiko dar. Beginnen Sie damit, Ihre Dienstleister zu kategorisieren. Wer hat Zugriff auf kritische Systeme oder sensible Daten? Welcher Ausfall würde Ihren Geschäftsbetrieb am stärksten beeinträchtigen?

‍

• Kritische Lieferanten: Cloud-Anbieter, Softwareentwickler, Managed Service Provider.
  ‍
• Wichtige Lieferanten: Personalagenturen, externe Buchhaltung.
  ‍
• Unkritische Lieferanten: Büromateriallieferant, Reinigungsdienst.Konzentrieren Sie Ihre Bemühungen auf die kritischen und wichtigen Partner.

‍

2. Risiken analysieren & Anforderungen definieren

‍

Führen Sie für jeden kritischen Lieferanten eine spezifische NIS2 Risikobewertung durch. Welche konkreten Bedrohungen könnten über diesen Partner auf Ihr Unternehmen einwirken? (z.B. Einschleusung von Malware, Datendiebstahl, Dienstausfall). Basierend auf dieser Analyse definieren Sie klare Sicherheitsanforderungen, die der Lieferant erfüllen muss.

‍

3. Verträge wasserdicht machen

‍

Ihre definierten Anforderungen müssen rechtlich verbindlich sein. Verankern Sie die Sicherheitsmaßnahmen in den Verträgen mit Ihren Dienstleistern. Wichtige Klauseln umfassen:
‍

• Verpflichtung zur Einhaltung spezifischer Sicherheitsstandards (z.B. Verschlüsselung, Zugriffskontrollen).
• Meldepflichten bei Sicherheitsvorfällen innerhalb einer festgelegten Frist.
• Regelungen zur Überprüfung der Sicherheitsmaßnahmen (Audit- und Kontrollrechte).
• Anforderungen an die Sicherheit von eventuellen Unterauftragnehmern.

‍

4. Laufend überwachen & prüfen

‍

Lieferantenmanagement ist kein einmaliges Projekt. Die Bedrohungslage ändert sich ständig. Etablieren Sie einen Prozess zur kontinuierlichen Überwachung. Dies kann durch regelmäßige Selbstauskünfte, Fragebögen, Überprüfung von Zertifikaten oder durch technische Scans geschehen. Für besonders kritische Partner sind regelmäßige Audits unerlässlich, um sicherzustellen, dass die vereinbarten Maßnahmen auch gelebt werden. Ein robustes System für Audit-Compliance ist hier der Schlüssel zum Erfolg.

‍

5. Vorfälle gemeinsam bewältigen

‍

Was passiert, wenn trotz aller Vorkehrungen ein Vorfall eintritt? Ein gemeinsamer Notfallplan ist entscheidend. Definieren Sie klare Prozesse, Kommunikationswege und Verantwortlichkeiten für den Ernstfall. Wer informiert wen? Welche Schritte werden gemeinsam unternommen, um den Schaden zu begrenzen und den Betrieb wiederherzustellen? Regelmäßige gemeinsame Übungen können hierbei helfen.

‍

Mastery: Von der Pflicht zur Exzellenz – Verträge, Audits und Integration

‍

Ein funktionierendes C-SCRM ist mehr als nur eine NIS2-Pflichtübung. Es ist ein strategischer Vorteil, der Ihre Geschäftsresilienz massiv erhöht.

‍

Musterklauseln für Dienstleisterverträge

‍

Während eine Rechtsabteilung die finalen Verträge prüfen sollte, können folgende Formulierungen als Grundlage dienen:

‍

• Informationssicherheit: "Der Auftragnehmer verpflichtet sich, technische und organisatorische Maßnahmen (TOMs) gemäß dem Stand der Technik und den Anforderungen aus Anhang X zu implementieren und aufrechtzuerhalten, um die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Daten und bereitgestellten Dienste zu gewährleisten."
  ‍
• Meldepflicht bei Vorfällen: "Der Auftragnehmer wird den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, über jegliche Sicherheitsvorfälle informieren, die die vereinbarten Leistungen oder die Daten des Auftraggebers betreffen."
  ‍
• Auditrechte: "Der Auftraggeber ist berechtigt, nach angemessener Vorankündigung die Einhaltung der vereinbarten Sicherheitsmaßnahmen durch Audits selbst oder durch einen beauftragten Dritten zu überprüfen."

‍

Integration in Ihr ISMS (z.B. ISO 27001)

‍

Wenn Sie bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 betreiben, haben Sie eine hervorragende Grundlage. Die Anforderungen an NIS2 Lieferanten lassen sich direkt in die bestehenden Prozesse integrieren, insbesondere in die Kontrollen der ISO 27001 Anhang A.5 (Policies for information security) und A.15 (Supplier relationships). NIS2 konkretisiert hier die Anforderungen und verlangt oft einen noch detaillierteren Nachweis.

‍

Action: Ihre praktische Toolbox

‍

Um Ihnen den Einstieg zu erleichtern, dient die folgende Checkliste als erste Orientierung bei der Bewertung Ihrer Dienstleister.

‍

‍

Kurz-Checkliste zur Lieferantenbewertung:
‍

• Risikoklassifizierung: Haben wir den Lieferanten als kritisch, wichtig oder unkritisch eingestuft?
• Sicherheitsrichtlinien: Verfügt der Lieferant über dokumentierte Sicherheitsrichtlinien?
• Zertifizierungen: Liegen relevante Zertifikate wie ISO 27001 oder TISAX® vor?
• Incident Response: Existiert ein definierter Prozess zur Meldung und Bearbeitung von Sicherheitsvorfällen?
• Vertragliche Regelungen: Sind unsere Sicherheitsanforderungen, Meldepflichten und Auditrechte vertraglich verankert?
• Sub-Dienstleister: Werden Sub-Dienstleister eingesetzt und wie wird deren Sicherheit gewährleistet?

‍

Fazit: Vom Risiko zur strategischen Partnerschaft

‍

Die NIS2-Anforderungen an die Lieferkette mögen auf den ersten Blick wie eine weitere bürokratische Hürde wirken. Doch bei genauerer Betrachtung sind sie eine Chance: Sie zwingen Unternehmen, ihre Abhängigkeiten transparent zu machen und ihre Geschäftsbeziehungen auf eine sicherere Grundlage zu stellen.

‍

Ein proaktives und partnerschaftliches Management der Lieferkettensicherheit reduziert nicht nur Compliance-Risiken. Es schafft eine widerstandsfähigere Organisation, schützt Ihren Ruf und stärkt das Vertrauen Ihrer Kunden. Indem Sie Sicherheit zu einem zentralen Kriterium bei der Auswahl und Zusammenarbeit mit Ihren Partnern machen, verwandeln Sie eine regulatorische Pflicht in einen echten strategischen Vorteil.

‍

FAQ: Häufige Fragen zum NIS2 Supply Chain Management

‍

Was genau bedeutet "Sicherheit der Lieferkette" im Kontext von NIS2?

‍

‍Es bedeutet, dass Sie die Cybersicherheitsrisiken, die von Ihren externen Dienstleistern und Zulieferern ausgehen, aktiv managen müssen. Das umfasst die Auswahl, vertragliche Absicherung, Überwachung und das gemeinsame Management von Sicherheitsvorfällen mit diesen Partnern.

‍

Wir sind ein KMU und nur Zulieferer. Betrifft uns NIS2 wirklich?

‍

‍Ja, sehr wahrscheinlich indirekt. Wenn Ihr Kunde ein NIS2-pflichtiges Unternehmen ist, wird dieser vertraglich von Ihnen verlangen, bestimmte Sicherheitsstandards nachzuweisen. Sie werden Teil seiner abgesicherten Lieferkette. Eine proaktive Vorbereitung ist ein Wettbewerbsvorteil.

‍

Reicht eine Selbstauskunft meiner Lieferanten aus?

‍

‍Für unkritische Lieferanten kann eine Selbstauskunft ausreichend sein. Bei kritischen Partnern, die Zugriff auf sensible Daten oder Systeme haben, reicht sie definitiv nicht aus. Hier sind tiefere Prüfungen wie Audits oder die Einsicht in Zertifizierungsberichte notwendig, um Ihrer Sorgfaltspflicht nachzukommen.

‍

Wie unterscheidet sich das von den Anforderungen in ISO 27001?

‍

‍ISO 27001 fordert bereits ein Management der Lieferantensicherheit. NIS2 ist jedoch ein Gesetz und damit rechtlich bindend, während ISO 27001 ein Standard ist. NIS2 legt zudem einen stärkeren Fokus auf die Resilienz kritischer Dienste und hat sehr konkrete, kurze Meldefristen für Vorfälle, die auch für Lieferanten gelten müssen.

‍

Was sind die Konsequenzen, wenn ein Lieferant einen Sicherheitsvorfall hat?

‍

‍Nach NIS2 sind Sie als beauftragendes Unternehmen mitverantwortlich. Wenn der Vorfall bei Ihnen zu einer erheblichen Störung führt, müssen Sie diesen den Behörden melden. Können Sie nicht nachweisen, dass Sie Ihre Lieferkette angemessen abgesichert haben, drohen empfindliche Bußgelder und Haftungsrisiken für die Geschäftsleitung.

‍