In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
NIS2 & Lieferketten: BCM und das Einbeziehen von Zulieferern

NIS2 & Lieferketten: BCM und das Einbeziehen von Zulieferern

Amin Abbaszadeh

Informationssicherheitsexperte

December 22, 2025

4 Minuten

Amin Abbaszadeh ist Informationssicherheitsexperte bei SECJUR und unterstützt Unternehmen dabei, Informationssicherheits- und Compliance-Standards wie ISO 27001 effektiv umzusetzen. Zuvor war er als Senior Consultant Cybersecurity bei NTT DATA tätig, wo er Projekte im Bereich IT-Compliance und ISMS verantwortete. Durch seine interdisziplinäre Erfahrung in Technik, Beratung und Management verbindet Amin strategisches Denken mit praxisnaher Umsetzung – immer mit dem Ziel, nachhaltige Sicherheits- und Compliance-Strukturen zu schaffen.

Key Takeaways

NIS2 rückt die gesamte Lieferkette in den Fokus. Resilienz endet nicht beim eigenen Unternehmen, sondern beginnt bei jedem kritischen Partner.

Unternehmen müssen Lieferantenrisiken systematisch bewerten, dokumentieren und vertraglich absichern.

Die Integration der Lieferanten in das Business Continuity Management stärkt die Sicherheit und die Stabilität.

Automatisierte Compliance-Tools erleichtern Risikoanalyse, Dokumentation und kontinuierliche Überwachung.

Aktualisierung vom 21.11.2025: NIS2 gilt in Deutschland ab dem Tag der Veröffentlichung des Umsetzungsgesetzes im Bundesgesetzblatt, was derzeit für Ende 2025 oder Anfang 2026 erwartet wird. Dann werden die Pflichten für Unternehmen rechtlich verbindlich.

Stellen Sie sich vor, ein kritischer Softwarelieferant Ihres Unternehmens fällt durch einen Cyberangriff aus. Ihre Produktion steht still, Ihre Dienstleistungen sind nicht erreichbar. Bisher war das vor allem ein Problem Ihres Lieferanten. Mit der neuen NIS2-Richtlinie ist es jetzt auch Ihr Problem – und potenziell ein persönliches Haftungsrisiko für die Geschäftsführung.

Viele Unternehmen glauben, ihr Notfallplan sei lückenlos. Doch die NIS2-Richtlinie zwingt uns, eine unbequeme Frage zu stellen: Wie resilient ist eigentlich das schwächste Glied unserer Kette? Die Antwort entscheidet nicht mehr nur über den Geschäftserfolg, sondern auch über empfindliche Bußgelder und den Ruf Ihres Unternehmens. Dieser Artikel erklärt, warum die Sicherheit Ihrer Lieferkette unter NIS2 zur Chefsache wird und wie Sie aus einer regulatorischen Pflicht einen strategischen Vorteil machen.

Die Grundlagen: Was sich bei Business Continuity durch NIS2 wirklich ändert

Um die neuen Anforderungen zu verstehen, müssen wir drei Kernkonzepte beleuchten und erkennen, wie NIS2 sie untrennbar miteinander verbindet. Oft werden diese Themen isoliert betrachtet, doch genau darin liegt die Falle.

  • Business Continuity Management (BCM): Traditionell ist BCM die Kunst, den Geschäftsbetrieb nach einem Störfall – wie einem Serverausfall oder einer Naturkatastrophe – so schnell wie möglich wiederherzustellen. Es ist im Kern eine reaktive Disziplin: Man plant für den Ernstfall, um den Schaden zu begrenzen.
  • Lieferkettenresilienz: Hier geht es darum, die Fähigkeit der gesamten Lieferkette sicherzustellen, Störungen zu widerstehen, sich anzupassen und sich davon zu erholen. Das betrifft nicht nur IT-Dienstleister, sondern auch Logistikpartner, Rohstofflieferanten oder externe Berater.
  • NIS2-Richtlinie: Diese EU-weite Gesetzgebung zur Cybersicherheit erhöht die NIS2 Anforderungen für viele Unternehmen drastisch. Der entscheidende Punkt ist: NIS2 betrachtet die Cybersicherheit nicht mehr als isoliertes IT-Thema, sondern als fundamentalen Bestandteil der gesamten unternehmerischen Resilienz.

Der "Aha-Moment" liegt in der Fusion dieser Konzepte: NIS2 zwingt Unternehmen, von einem reaktiven BCM zu einer proaktiven Resilienz der gesamten Wertschöpfungskette überzugehen. Es reicht nicht mehr, einen eigenen Notfallplan zu haben. Sie müssen aktiv die Sicherheitsvorkehrungen Ihrer Lieferanten bewerten, einfordern und in Ihre eigenen Pläne integrieren.

Das ist keine rein technische Aufgabe mehr, sondern eine strategische, die Einkauf, Rechtsabteilung und Management gleichermaßen betrifft.

Der 5-Schritte-Plan zur NIS2-konformen Lieferkettenresilienz

Die Umsetzung mag komplex erscheinen, lässt sich aber in fünf logische Schritte unterteilen. Dieser praxiserprobte Fahrplan hilft Ihnen, systematisch vorzugehen und nichts zu übersehen.

Schritt 1: Lieferkette identifizieren und kartieren

Sie können nicht schützen, was Sie nicht kennen. Der erste Schritt ist eine vollständige Bestandsaufnahme.

  • Wer sind Ihre Lieferanten? Erfassen Sie alle externen Dienstleister und Zulieferer – von der Cloud-Infrastruktur über Software-as-a-Service (SaaS)-Anbieter bis hin zu Logistik- und Wartungsfirmen.
  • Wer ist kritisch? Klassifizieren Sie jeden Lieferanten nach seiner Bedeutung für Ihre Geschäftsprozesse. Fragen Sie sich: "Was passiert, wenn dieser Lieferant morgen ausfällt?"

Schritt 2: Lieferanten-Risikobewertung durchführen

Sobald Sie wissen, wer Ihre kritischen Partner sind, müssen Sie deren Sicherheitsniveau bewerten.

  • Sicherheitslage analysieren: Bewerten Sie die Cybersicherheitsmaßnahmen Ihrer Lieferanten. Verfügen sie über anerkannte Zertifizierungen (z. B. ISO 27001)? Wie sehen ihre eigenen Notfallpläne aus?
  • Risiken identifizieren: Eine strukturierte IT Risikobewertung hilft, Schwachstellen zu erkennen. Das kann von unzureichenden Patch-Management-Prozessen bis hin zu fehlenden Zugriffskontrollen reichen.

Schritt 3: Geschäftsbeziehungen vertraglich absichern

Ihre Erkenntnisse aus der Risikobewertung müssen rechtlich verankert werden. Verlassen Sie sich nicht auf mündliche Zusagen.

  • Verträge anpassen: Integrieren Sie spezifische Cybersicherheitsklauseln in Ihre Verträge. Dazu gehören Informationspflichten bei Sicherheitsvorfällen, Audit-Rechte und klare Service Level Agreements (SLAs) für die Wiederherstellung.
  • Haftung klären: Definieren Sie klare Verantwortlichkeiten und Haftungsregeln für den Fall eines Sicherheitsvorfalls, der von einem Lieferanten ausgeht.

Schritt 4: Lieferanten in das Business Continuity Management (BCM) integrieren

Ein isolierter Notfallplan ist unter NIS2 nicht mehr ausreichend. Ihre Lieferanten müssen Teil Ihrer Strategie werden.

  • Gemeinsame Notfallpläne: Entwickeln Sie für kritische Lieferanten gemeinsame Reaktionspläne. Wer kommuniziert wann mit wem? Wie werden Daten wiederhergestellt?
  • Regelmäßige Tests: Ein Plan ist nur so gut wie seine letzte Überprüfung. Führen Sie gemeinsame Übungen und Simulationen durch, um die Zusammenarbeit im Ernstfall zu testen.

Schritt 5: Kontinuierliche Überwachung und Überprüfung

NIS2 ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Die Bedrohungslandschaft und Ihre Lieferkette verändern sich ständig.

  • Monitoring etablieren: Überwachen Sie die Sicherheitsleistung Ihrer Lieferanten kontinuierlich. Dies kann durch regelmäßige Fragebögen, Audits oder automatisierte Tools geschehen.
  • Regelmäßige Neubewertung: Führen Sie mindestens einmal jährlich oder bei wesentlichen Änderungen (z. B. Einführung neuer Systeme) eine Neubewertung Ihrer Lieferantenrisiken durch, um die NIS2 Compliance sicherzustellen.

Typische Fallstricke und wie Sie sie vermeiden

Auf dem Weg zur resilienten Lieferkette lauern einige klassische Fehler. Wer sie kennt, kann sie vermeiden.

  • Fallstrick 1: Nur auf neue Lieferanten fokussieren. Viele Unternehmen prüfen neue Partner intensiv, vergessen aber, ihre langjährigen Bestandslieferanten nach denselben Kriterien zu bewerten. NIS2 macht hier keinen Unterschied.
  • Fallstrick 2: ISO 27001 als Allheilmittel sehen. Eine Zertifizierung nach ISO 27001 ist eine hervorragende Grundlage, aber kein Freifahrtschein. NIS2 stellt spezifische Anforderungen, z. B. an die Meldepflichten, die über den Standard hinausgehen.
  • Fallstrick 3: Fehlende Kommunikation mit unkooperativen Lieferanten. Was tun, wenn ein wichtiger Lieferant die geforderten Nachweise nicht erbringen will oder kann? Suchen Sie das proaktive Gespräch, erklären Sie die regulatorischen Notwendigkeiten und erarbeiten Sie einen gemeinsamen Fahrplan. Im schlimmsten Fall müssen Sie die Geschäftsbeziehung überdenken.
  • Fallstrick 4: Regulatorisches Silo-Denken. Die Anforderungen von NIS2 überschneiden sich mit anderen Gesetzen wie dem Lieferkettensorgfaltspflichtengesetz (LkSG) oder branchenspezifischen Vorgaben wie DORA für den Finanzsektor. Es lohnt sich, Synergien zu nutzen und die Themen ganzheitlich zu betrachten, um Doppelarbeit zu vermeiden. Der Vergleich Cyber Resilience Act vs NIS2 zeigt ebenfalls, wie wichtig eine integrierte Strategie ist.

Der nächste Schritt: Von der Theorie zur Praxis

Die Sicherung der Lieferkette ist unter NIS2 keine Option mehr, sondern eine strategische Notwendigkeit. Sie schützt nicht nur vor Bußgeldern und Haftungsrisiken, sondern wird zunehmend zu einem entscheidenden Wettbewerbsvorteil. Kunden und Partner werden in Zukunft gezielt mit den Unternehmen zusammenarbeiten, die eine nachweislich resiliente Wertschöpfungskette vorweisen können.

Die manuelle Verwaltung dieser komplexen Anforderungen – von der Risikobewertung Dutzender Lieferanten bis zur kontinuierlichen Überwachung – kann jedoch schnell zu einer ressourcenintensiven Belastung werden, insbesondere in Bereichen wie der Security Fertigung.

Hier kommen intelligente Automatisierungslösungen ins Spiel. Eine Plattform für Digitale Compliance wie das Digital Compliance Office von SECJUR kann den gesamten Prozess zentralisieren und vereinfachen. Von der automatisierten Erfassung von Lieferantendaten über die geführte Risikobewertung bis hin zur lückenlosen Dokumentation für Audits – so verwandeln Sie eine komplexe Pflichtaufgabe in einen schlanken, beherrschbaren und wertschöpfenden Prozess.

FAQ: Häufig gestellte Fragen zur NIS2 und Lieferkettensicherheit

Was ist NIS2 und betrifft es mein Unternehmen?

NIS2 ist die Nachfolgerin der ersten EU-Richtlinie zur Netz- und Informationssicherheit. Sie erweitert den Anwendungsbereich auf deutlich mehr Sektoren (z. B. verarbeitendes Gewerbe, Lebensmittel, Abfallwirtschaft) und verschärft die Anforderungen. Ob Ihr Unternehmen direkt betroffen ist, hängt von seiner Größe und Branche ab. Wichtig: Selbst wenn Sie nicht direkt unter die NIS2 Regulation fallen, können Sie indirekt betroffen sein, wenn Sie ein wichtiger Zulieferer für ein NIS2-pflichtiges Unternehmen sind.

Was sind die konkreten Anforderungen von NIS2 an die Lieferkette?

Artikel 21 der NIS2-Richtlinie verlangt von Unternehmen, „die Sicherheit der Lieferkette zu gewährleisten“. Das bedeutet konkret, dass sie die Cybersicherheitsrisiken, die von ihren direkten Lieferanten und Dienstleistern ausgehen, identifizieren, bewerten und managen müssen. Dazu gehört die Auswahl sicherer Anbieter, die Festlegung von Sicherheitsanforderungen in Verträgen und die Überprüfung deren Einhaltung.

Wie gehe ich mit Lieferanten um, die die Anforderungen nicht erfüllen können oder wollen?

Dies ist eine der größten Herausforderungen. Der erste Schritt ist immer die transparente Kommunikation. Erklären Sie, warum diese Maßnahmen für Sie gesetzlich verpflichtend sind. Bieten Sie Unterstützung und setzen Sie realistische Fristen zur Verbesserung. Wenn ein kritischer Lieferant sich dauerhaft weigert, müssen Sie das Risiko neu bewerten und im Extremfall einen Anbieterwechsel in Betracht ziehen. Dokumentieren Sie diesen Prozess sorgfältig, um Ihre Sorgfaltspflicht nachzuweisen.

Reicht meine ISO 27001-Zertifizierung für NIS2 aus?

Eine ISO 27001-Zertifizierung ist ein starkes Fundament und deckt viele technische und organisatorische Maßnahmen ab, die auch NIS2 fordert. Sie ist jedoch nicht deckungsgleich. NIS2 stellt zum Beispiel sehr spezifische, strenge Anforderungen an die Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden, die über die ISO-Norm hinausgehen. Sehen Sie die Zertifizierung als Beschleuniger, nicht als Freifahrtschein.

Mehr erfahren
Amin Abbaszadeh

Amin Abbaszadeh ist Informationssicherheitsexperte bei SECJUR und unterstützt Unternehmen dabei, Informationssicherheits- und Compliance-Standards wie ISO 27001 effektiv umzusetzen. Zuvor war er als Senior Consultant Cybersecurity bei NTT DATA tätig, wo er Projekte im Bereich IT-Compliance und ISMS verantwortete. Durch seine interdisziplinäre Erfahrung in Technik, Beratung und Management verbindet Amin strategisches Denken mit praxisnaher Umsetzung – immer mit dem Ziel, nachhaltige Sicherheits- und Compliance-Strukturen zu schaffen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

August 18, 2025
Die ISO 9001 Normkapitel: Ein praktischer Leitfaden zur Umsetzung

ISO 9001 verständlich gemacht: Unser Leitfaden erklärt jedes Normkapitel praxisnah – von Kontextanalyse bis kontinuierlicher Verbesserung. Erfahren Sie, wie Sie typische Fehler vermeiden, Ihre Prozesse optimieren und den Weg zur Zertifizierung Schritt für Schritt erfolgreich meistern.

Lesen
January 7, 2026
5 Minuten
EU AI Act: Whistleblowing und sichere Meldewege

Whistleblowing wird im EU AI Act zu einem zentralen Schutzinstrument für faire und sichere KI. Dieser Leitfaden zeigt, wie Mitarbeitende Verstöße gegen Hochrisiko- und verbotene KI-Systeme sicher melden können, welche internen und externen Meldewege bestehen und welche rechtlichen Schutzmechanismen greifen. Erfahren Sie, wie der AI Act, das Hinweisgeberschutzgesetz und neue EU-Meldestellen zusammenwirken, um Diskriminierung, Manipulation und Sicherheitsrisiken in KI-Systemen frühzeitig zu stoppen – und warum Whistleblower damit zu einem entscheidenden Faktor für vertrauenswürdige KI werden.

Lesen
January 7, 2026
5 Minuten
EU AI Act: Wie werden Bußgelder und Sanktionen berechnet?

Wie hoch fallen EU-AI-Act-Bußgelder wirklich aus – und wovon hängen sie ab? Dieser Beitrag zeigt, nach welchen Kriterien Aufsichtsbehörden Sanktionen berechnen, welche Rolle Kooperation, Dokumentation und Risikomanagement spielen und wie Unternehmen ihre Strafhöhe aktiv beeinflussen können. Erfahren Sie, warum Compliance-Prozesse und AI-Governance nicht nur Pflicht, sondern der wirksamste Schutz vor Millionenstrafen sind.

Lesen
Related Resources
NIS2 im Energiesektor: Audit & Incident Reporting für KMU
December 22, 2025
NIS2 stellt KMU im Energiesektor vor neue Pflichten bei Audits und Incident Reporting. Dieser Praxisleitfaden zeigt verständlich, wie Sie NIS2-Anforderungen pragmatisch umsetzen, Meldefristen sicher einhalten und Audits souverän bestehen. Erfahren Sie, wie Sie mit verhältnismäßigem Risikomanagement, klaren Prozessen und Automatisierung Ihre Versorgungssicherheit stärken und regulatorische Pflichten in echte Resilienz verwandeln.
ISO 27001 – Der Komplett-Guide zum ISMS Standard
June 7, 2023
15 min
ISO 9001 Audit: Wirksamkeit messen und Erfolg steigern
October 30, 2025
5 Minuten
Marketing Tips for Niche Industries
ISO 27001: Identifikation interner und externer Faktoren
November 12, 2025
5 Minuten
NIS2 & Ladeinfrastruktur: Neue Pflichten für Betreiber
December 15, 2025
5 Minuten
NIS2: Der Leitfaden für die neuen Sektoren in Deutschland
November 14, 2025
4 Minuten
TO TOP