NIS2 Lieferkette: Lieferanten-Risikobewertung und vertragliche Absicherung

NIS2 macht die Lieferkette zum Compliance-Thema. §30 Abs. 2 Nr. 4 BSIG verlangt von betroffenen Unternehmen, die Sicherheit ihrer Zulieferer und Dienstleister aktiv zu steuern. Das geht weit über eine Klausel im Vertrag hinaus: Wer seine Lieferanten nicht systematisch bewertet, vertraglich bindet und regelmäßig prüft, hat eine offene Flanke, die das BSI bei einer Prüfung sofort erkennt.

Was §30 Abs. 2 Nr. 4 BSIG zur Lieferkette fordert

Der Gesetzgeber hat die Lieferkettensicherheit als eigenen Maßnahmenbereich in §30 aufgenommen. Die Formulierung lautet: "Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern." Zwei Begriffe sind hier zentral: "unmittelbare Anbieter" und "Diensteerbringer".

Wortlaut und Auslegung

Das Gesetz spricht bewusst von "unmittelbaren" Anbietern. Es verlangt nicht, dass Sie die gesamte Lieferkette bis zum Rohmateriallieferanten absichern. Im Fokus stehen Ihre direkten Vertragspartner: der Cloud-Provider, der Managed-Service-Anbieter, der Softwareentwickler, der Reinigungsdienstleister mit Zugang zum Serverraum. Die Abgrenzung ist pragmatisch: Sie können Ihren Tier-1-Lieferanten vertraglich verpflichten. Was dieser mit seinen Unterauftragnehmern vereinbart, liegt in seiner Verantwortung.

Unmittelbare Anbieter vs. Diensteerbringer

§30 unterscheidet zwischen "Anbietern" (Produktlieferanten) und "Diensteerbringern" (Dienstleister). Ein Cloud-Hosting-Provider ist ein Diensteerbringer. Ein Hersteller von Netzwerk-Switches ist ein Anbieter. Die Unterscheidung ist relevant, weil die Risikobewertung unterschiedliche Kriterien anlegt: Beim Diensteerbringer zählt der Zugang zu Ihren Systemen und Daten. Beim Produktanbieter zählt die Integrität und Sicherheit des gelieferten Produkts (Stichwort: Supply Chain Attacks über kompromittierte Software-Updates).

Welche konkreten Maßnahmen §30 BSIG insgesamt verlangt, beschreibt unser Überblick zu den NIS2 Anforderungen. Hier konzentrieren wir uns auf Nr. 4: die Lieferkette.

Lieferanten-Risikobewertung

Nicht jeder Zulieferer stellt das gleiche Risiko dar. Der Büromateriallieferant hat kein IT-Risikopotenzial. Der Anbieter Ihrer ERP-Software hat Zugriff auf Ihre Kernsysteme. Eine Risikobewertung nach NIS2 muss diese Unterschiede abbilden.

Kritische vs. unkritische Zulieferer klassifizieren

Die Klassifizierung basiert auf drei Kriterien: Zugang zu Ihren informationstechnischen Systemen, Zugang zu vertraulichen Daten und Einfluss auf Ihre Verfügbarkeit. Ein Lieferant, der mindestens eines dieser Kriterien erfüllt, ist kritisch und braucht eine vertiefte Risikobewertung.

Bewertungskriterien: Zugang zu Systemen, Daten, Verfügbarkeit

Für jeden kritischen Lieferanten (Stufe A und B) dokumentieren Sie: Welche Systeme kann der Lieferant erreichen? Welche Datenklassen verarbeitet er? Wie abhängig ist Ihr Betrieb von seiner Leistung? Dazu kommen die Cybersecurity-Reifegrad-Indikatoren des Lieferanten selbst: Hat er ein ISMS? Ist er ISO 27001 zertifiziert? Wie geht er mit Sicherheitsvorfällen um?

Das BSI empfiehlt den C-SCRM-Ansatz (Cyber Supply Chain Risk Management) als Rahmenwerk. Der Kern: Lieferanten nicht nur einmal bei Vertragsschluss bewerten, sondern den Prozess kontinuierlich wiederholen, mindestens jährlich und nach jedem Sicherheitsvorfall.

Vertragliche Absicherung: Musterklauseln für NIS2

Die Risikobewertung allein reicht nicht. §30 verlangt Maßnahmen, und bei der Lieferkette sind die wichtigsten Maßnahmen vertraglicher Natur. Die NIS2-Durchführungsverordnung konkretisiert acht Bereiche, die in Lieferantenverträgen geregelt sein sollten.

Cybersecurity-Klauseln im Dienstleistungsvertrag

Jeder Vertrag mit einem kritischen Lieferanten sollte mindestens diese Punkte abdecken: Sicherheitsanforderungen an die gelieferten Produkte oder Dienstleistungen, Verpflichtung zur Einhaltung anerkannter Sicherheitsstandards (ISO 27001, BSI-Grundschutz oder branchenspezifische Standards) und Anforderungen an die Personalqualifikation und Zuverlässigkeitsprüfung beim Lieferanten.

In der Praxis scheitern viele Unternehmen nicht an der Formulierung, sondern an der Durchsetzung. Eine Cybersecurity-Klausel, die der Lieferant unterschreibt, aber nie überprüft wird, ist wertlos. Deshalb sind die nächsten beiden Punkte mindestens genauso wichtig.

Audit-Recht und Nachweispflichten

Vereinbaren Sie das Recht, die Einhaltung der Sicherheitsanforderungen zu überprüfen. Das kann ein eigenes Audit sein, die Einsicht in Prüfberichte Dritter (SOC 2, ISO 27001 Zertifikat) oder die Beantwortung eines standardisierten Sicherheitsfragebogens. Für Stufe-A-Lieferanten empfiehlt sich ein jährlicher Nachweis. Für Stufe-B-Lieferanten reicht ein Nachweis alle zwei bis drei Jahre.

Incident-Notification-Klausel

Die NIS2-Meldepflichten (24h/72h/1 Monat) treffen Ihr Unternehmen, nicht Ihren Lieferanten. Wenn ein Sicherheitsvorfall beim Lieferanten Ihre Systeme betrifft, müssen Sie melden. Dafür brauchen Sie die Information rechtzeitig. Vereinbaren Sie deshalb vertraglich, dass der Lieferant Sie bei sicherheitsrelevanten Vorfällen innerhalb von 24 Stunden informiert. Wie Sie die Meldung an das BSI korrekt umsetzen, beschreibt unser Artikel zur NIS2 Meldepflicht.

"Die meisten Unternehmen denken bei Lieferkettensicherheit an den großen Cloud-Provider. Dabei sind es oft die kleineren Dienstleister, die das höchste Risiko darstellen: der IT-Freelancer mit Admin-Zugang, das externe Callcenter mit Kundendaten, der Facility-Manager mit Zutritt zum Serverraum. Genau dort muss die Risikobewertung ansetzen."

Bettina Stearn, ISO/IEC 27001 Auditorin & QM-Fachexpertin bei SECJUR

Indirekt betroffene Zulieferer

NIS2 betrifft direkt nur besonders wichtige und wichtige Einrichtungen. Aber die Lieferketten-Anforderung erzeugt einen Kaskadeneffekt: Wenn Sie als NIS2-betroffenes Unternehmen Ihre Lieferanten vertraglich zur Einhaltung von Sicherheitsstandards verpflichten, werden diese Lieferanten indirekt NIS2-pflichtig, auch wenn sie selbst nicht unter die Richtlinie fallen.

Pflichten ohne eigene NIS2-Einstufung

Ein Zulieferer mit 30 Mitarbeitern im Maschinen- und Anlagenbau fällt unter Umständen nicht unter die NIS2-Schwellenwerte. Trotzdem wird sein Kunde (ein NIS2-betroffenes Unternehmen) vertragliche Cybersecurity-Anforderungen stellen, Auditnachweise verlangen und Incident-Notification-Fristen vereinbaren. Der Zulieferer muss diese Anforderungen erfüllen, um den Kunden nicht zu verlieren. Das BSI beaufsichtigt ihn zwar nicht direkt, aber sein Kunde wird es tun.

Vertraglicher Durchgriff der Kunden

Die Durchführungsverordnung empfiehlt, dass Lieferantenverträge auch Anforderungen an Unterauftragnehmer enthalten. Das bedeutet: Wenn Ihr Cloud-Provider Teile seiner Infrastruktur an einen Subunternehmer auslagert, sollte Ihr Vertrag regeln, dass der Subunternehmer vergleichbare Sicherheitsstandards einhalten muss. In der Praxis setzen das viele Unternehmen über eine Kaskadierungsklausel um: "Der Auftragnehmer verpflichtet sich, die in diesem Vertrag vereinbarten Sicherheitsanforderungen auch auf seine Unterauftragnehmer zu übertragen."

Wie Sie die Risiken in der gesamten Lieferkette systematisch bewerten und behandeln, erfahren Sie in unserem Artikel zum NIS2 Risikomanagement. Die grundlegende Methodik (Risikoinventar, Bewertungsmatrix, Behandlungsplan) gilt auch für Lieferantenrisiken.

Lieferkettensicherheit mit SECJUR managen

Die Herausforderung beim Lieferkettenmanagement nach NIS2 ist nicht die einmalige Bewertung, sondern die laufende Steuerung. Lieferantenlandschaften verändern sich: neue Verträge, Anbieterwechsel, veränderte Zugriffsrechte. Ein statisches Excel-Sheet mit einer Lieferantenliste reicht für die NIS2-Anforderungen nicht aus.

SECJUR bietet ein Lieferkettenmanagement-Modul mit integrierten Lieferantenaudits. Lieferanten erfassen, Risiken bewerten und Audit-Ergebnisse zentral verfolgen: Das Lieferkettenmanagement in SECJUR Digital Compliance Office deckt die Anforderungen aus §30 Abs. 2 Nr. 4 BSIG direkt ab. Der interne Aufwand sinkt erfahrungsgemäß um bis zu 50 %, weil die Plattform Audit-Fragebögen, Bewertungsvorlagen und Fristenmanagement mitbringt.

Der Einstieg beginnt mit einer Bestandsaufnahme: Welche Lieferanten haben Zugang zu welchen Systemen? Wo fehlen vertragliche Regelungen? Welche Audits sind überfällig? Von dort lässt sich das bestehende Lieferantenmanagement schrittweise auf NIS2-Niveau heben. Wie sich Ihre gesamte NIS2-Umsetzung strukturieren lässt, beschreibt unsere Übersicht zur NIS2-Richtlinie.