In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
NIS2 & Lieferketten: BCM und das Einbeziehen von Zulieferern

NIS2 & Lieferketten: BCM und das Einbeziehen von Zulieferern

Niklas Hanitsch

Volljurist und Compliance-Experte

November 4, 2025

4 Minuten

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Key Takeaways

NIS2 rückt die gesamte Lieferkette in den Fokus. Resilienz endet nicht beim eigenen Unternehmen, sondern beginnt bei jedem kritischen Partner.

Unternehmen müssen Lieferantenrisiken systematisch bewerten, dokumentieren und vertraglich absichern.

Die Integration der Lieferanten in das Business Continuity Management stärkt die Sicherheit und die Stabilität.

Automatisierte Compliance-Tools erleichtern Risikoanalyse, Dokumentation und kontinuierliche Überwachung.

Stellen Sie sich vor, ein kritischer Softwarelieferant Ihres Unternehmens fällt durch einen Cyberangriff aus. Ihre Produktion steht still, Ihre Dienstleistungen sind nicht erreichbar. Bisher war das vor allem ein Problem Ihres Lieferanten. Mit der neuen NIS2-Richtlinie ist es jetzt auch Ihr Problem – und potenziell ein persönliches Haftungsrisiko für die Geschäftsführung.

Viele Unternehmen glauben, ihr Notfallplan sei lückenlos. Doch die NIS2-Richtlinie zwingt uns, eine unbequeme Frage zu stellen: Wie resilient ist eigentlich das schwächste Glied unserer Kette? Die Antwort entscheidet nicht mehr nur über den Geschäftserfolg, sondern auch über empfindliche Bußgelder und den Ruf Ihres Unternehmens. Dieser Artikel erklärt, warum die Sicherheit Ihrer Lieferkette unter NIS2 zur Chefsache wird und wie Sie aus einer regulatorischen Pflicht einen strategischen Vorteil machen.

Die Grundlagen: Was sich bei Business Continuity durch NIS2 wirklich ändert

Um die neuen Anforderungen zu verstehen, müssen wir drei Kernkonzepte beleuchten und erkennen, wie NIS2 sie untrennbar miteinander verbindet. Oft werden diese Themen isoliert betrachtet, doch genau darin liegt die Falle.

  • Business Continuity Management (BCM): Traditionell ist BCM die Kunst, den Geschäftsbetrieb nach einem Störfall – wie einem Serverausfall oder einer Naturkatastrophe – so schnell wie möglich wiederherzustellen. Es ist im Kern eine reaktive Disziplin: Man plant für den Ernstfall, um den Schaden zu begrenzen.
  • Lieferkettenresilienz: Hier geht es darum, die Fähigkeit der gesamten Lieferkette sicherzustellen, Störungen zu widerstehen, sich anzupassen und sich davon zu erholen. Das betrifft nicht nur IT-Dienstleister, sondern auch Logistikpartner, Rohstofflieferanten oder externe Berater.
  • NIS2-Richtlinie: Diese EU-weite Gesetzgebung zur Cybersicherheit erhöht die NIS2 Requirements für viele Unternehmen drastisch. Der entscheidende Punkt ist: NIS2 betrachtet die Cybersicherheit nicht mehr als isoliertes IT-Thema, sondern als fundamentalen Bestandteil der gesamten unternehmerischen Resilienz.

Der "Aha-Moment" liegt in der Fusion dieser Konzepte: NIS2 zwingt Unternehmen, von einem reaktiven BCM zu einer proaktiven Resilienz der gesamten Wertschöpfungskette überzugehen. Es reicht nicht mehr, einen eigenen Notfallplan zu haben. Sie müssen aktiv die Sicherheitsvorkehrungen Ihrer Lieferanten bewerten, einfordern und in Ihre eigenen Pläne integrieren.

Das ist keine rein technische Aufgabe mehr, sondern eine strategische, die Einkauf, Rechtsabteilung und Management gleichermaßen betrifft.

Der 5-Schritte-Plan zur NIS2-konformen Lieferkettenresilienz

Die Umsetzung mag komplex erscheinen, lässt sich aber in fünf logische Schritte unterteilen. Dieser praxiserprobte Fahrplan hilft Ihnen, systematisch vorzugehen und nichts zu übersehen.

Schritt 1: Lieferkette identifizieren und kartieren

Sie können nicht schützen, was Sie nicht kennen. Der erste Schritt ist eine vollständige Bestandsaufnahme.

  • Wer sind Ihre Lieferanten? Erfassen Sie alle externen Dienstleister und Zulieferer – von der Cloud-Infrastruktur über Software-as-a-Service (SaaS)-Anbieter bis hin zu Logistik- und Wartungsfirmen.
  • Wer ist kritisch? Klassifizieren Sie jeden Lieferanten nach seiner Bedeutung für Ihre Geschäftsprozesse. Fragen Sie sich: "Was passiert, wenn dieser Lieferant morgen ausfällt?"

Schritt 2: Lieferanten-Risikobewertung durchführen

Sobald Sie wissen, wer Ihre kritischen Partner sind, müssen Sie deren Sicherheitsniveau bewerten.

  • Sicherheitslage analysieren: Bewerten Sie die Cybersicherheitsmaßnahmen Ihrer Lieferanten. Verfügen sie über anerkannte Zertifizierungen (z. B. ISO 27001)? Wie sehen ihre eigenen Notfallpläne aus?
  • Risiken identifizieren: Eine strukturierte IT Risikobewertung hilft, Schwachstellen zu erkennen. Das kann von unzureichenden Patch-Management-Prozessen bis hin zu fehlenden Zugriffskontrollen reichen.

Schritt 3: Geschäftsbeziehungen vertraglich absichern

Ihre Erkenntnisse aus der Risikobewertung müssen rechtlich verankert werden. Verlassen Sie sich nicht auf mündliche Zusagen.

  • Verträge anpassen: Integrieren Sie spezifische Cybersicherheitsklauseln in Ihre Verträge. Dazu gehören Informationspflichten bei Sicherheitsvorfällen, Audit-Rechte und klare Service Level Agreements (SLAs) für die Wiederherstellung.
  • Haftung klären: Definieren Sie klare Verantwortlichkeiten und Haftungsregeln für den Fall eines Sicherheitsvorfalls, der von einem Lieferanten ausgeht.

Schritt 4: Lieferanten in das Business Continuity Management (BCM) integrieren

Ein isolierter Notfallplan ist unter NIS2 nicht mehr ausreichend. Ihre Lieferanten müssen Teil Ihrer Strategie werden.

  • Gemeinsame Notfallpläne: Entwickeln Sie für kritische Lieferanten gemeinsame Reaktionspläne. Wer kommuniziert wann mit wem? Wie werden Daten wiederhergestellt?
  • Regelmäßige Tests: Ein Plan ist nur so gut wie seine letzte Überprüfung. Führen Sie gemeinsame Übungen und Simulationen durch, um die Zusammenarbeit im Ernstfall zu testen.

Schritt 5: Kontinuierliche Überwachung und Überprüfung

NIS2 ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Die Bedrohungslandschaft und Ihre Lieferkette verändern sich ständig.

  • Monitoring etablieren: Überwachen Sie die Sicherheitsleistung Ihrer Lieferanten kontinuierlich. Dies kann durch regelmäßige Fragebögen, Audits oder automatisierte Tools geschehen.
  • Regelmäßige Neubewertung: Führen Sie mindestens einmal jährlich oder bei wesentlichen Änderungen (z. B. Einführung neuer Systeme) eine Neubewertung Ihrer Lieferantenrisiken durch, um die NIS2 Compliance sicherzustellen.

Typische Fallstricke und wie Sie sie vermeiden

Auf dem Weg zur resilienten Lieferkette lauern einige klassische Fehler. Wer sie kennt, kann sie vermeiden.

  • Fallstrick 1: Nur auf neue Lieferanten fokussieren. Viele Unternehmen prüfen neue Partner intensiv, vergessen aber, ihre langjährigen Bestandslieferanten nach denselben Kriterien zu bewerten. NIS2 macht hier keinen Unterschied.
  • Fallstrick 2: ISO 27001 als Allheilmittel sehen. Eine Zertifizierung nach ISO 27001 ist eine hervorragende Grundlage, aber kein Freifahrtschein. NIS2 stellt spezifische Anforderungen, z. B. an die Meldepflichten, die über den Standard hinausgehen.
  • Fallstrick 3: Fehlende Kommunikation mit unkooperativen Lieferanten. Was tun, wenn ein wichtiger Lieferant die geforderten Nachweise nicht erbringen will oder kann? Suchen Sie das proaktive Gespräch, erklären Sie die regulatorischen Notwendigkeiten und erarbeiten Sie einen gemeinsamen Fahrplan. Im schlimmsten Fall müssen Sie die Geschäftsbeziehung überdenken.
  • Fallstrick 4: Regulatorisches Silo-Denken. Die Anforderungen von NIS2 überschneiden sich mit anderen Gesetzen wie dem Lieferkettensorgfaltspflichtengesetz (LkSG) oder branchenspezifischen Vorgaben wie DORA für den Finanzsektor. Es lohnt sich, Synergien zu nutzen und die Themen ganzheitlich zu betrachten, um Doppelarbeit zu vermeiden. Der Vergleich Cyber Resilience Act vs NIS2 zeigt ebenfalls, wie wichtig eine integrierte Strategie ist.

Der nächste Schritt: Von der Theorie zur Praxis

Die Sicherung der Lieferkette ist unter NIS2 keine Option mehr, sondern eine strategische Notwendigkeit. Sie schützt nicht nur vor Bußgeldern und Haftungsrisiken, sondern wird zunehmend zu einem entscheidenden Wettbewerbsvorteil. Kunden und Partner werden in Zukunft gezielt mit den Unternehmen zusammenarbeiten, die eine nachweislich resiliente Wertschöpfungskette vorweisen können.

Die manuelle Verwaltung dieser komplexen Anforderungen – von der Risikobewertung Dutzender Lieferanten bis zur kontinuierlichen Überwachung – kann jedoch schnell zu einer ressourcenintensiven Belastung werden, insbesondere in Bereichen wie der Security Fertigung.

Hier kommen intelligente Automatisierungslösungen ins Spiel. Eine Plattform für digital compliance wie das Digital Compliance Office von SECJUR kann den gesamten Prozess zentralisieren und vereinfachen. Von der automatisierten Erfassung von Lieferantendaten über die geführte Risikobewertung bis hin zur lückenlosen Dokumentation für Audits – so verwandeln Sie eine komplexe Pflichtaufgabe in einen schlanken, beherrschbaren und wertschöpfenden Prozess.

FAQ: Häufig gestellte Fragen zur NIS2 und Lieferkettensicherheit

Was ist NIS2 und betrifft es mein Unternehmen?

NIS2 ist die Nachfolgerin der ersten EU-Richtlinie zur Netz- und Informationssicherheit. Sie erweitert den Anwendungsbereich auf deutlich mehr Sektoren (z. B. verarbeitendes Gewerbe, Lebensmittel, Abfallwirtschaft) und verschärft die Anforderungen. Ob Ihr Unternehmen direkt betroffen ist, hängt von seiner Größe und Branche ab. Wichtig: Selbst wenn Sie nicht direkt unter die NIS2 Regulation fallen, können Sie indirekt betroffen sein, wenn Sie ein wichtiger Zulieferer für ein NIS2-pflichtiges Unternehmen sind.

Was sind die konkreten Anforderungen von NIS2 an die Lieferkette?

Artikel 21 der NIS2-Richtlinie verlangt von Unternehmen, „die Sicherheit der Lieferkette zu gewährleisten“. Das bedeutet konkret, dass sie die Cybersicherheitsrisiken, die von ihren direkten Lieferanten und Dienstleistern ausgehen, identifizieren, bewerten und managen müssen. Dazu gehört die Auswahl sicherer Anbieter, die Festlegung von Sicherheitsanforderungen in Verträgen und die Überprüfung deren Einhaltung.

Wie gehe ich mit Lieferanten um, die die Anforderungen nicht erfüllen können oder wollen?

Dies ist eine der größten Herausforderungen. Der erste Schritt ist immer die transparente Kommunikation. Erklären Sie, warum diese Maßnahmen für Sie gesetzlich verpflichtend sind. Bieten Sie Unterstützung und setzen Sie realistische Fristen zur Verbesserung. Wenn ein kritischer Lieferant sich dauerhaft weigert, müssen Sie das Risiko neu bewerten und im Extremfall einen Anbieterwechsel in Betracht ziehen. Dokumentieren Sie diesen Prozess sorgfältig, um Ihre Sorgfaltspflicht nachzuweisen.

Reicht meine ISO 27001-Zertifizierung für NIS2 aus?

Eine ISO 27001-Zertifizierung ist ein starkes Fundament und deckt viele technische und organisatorische Maßnahmen ab, die auch NIS2 fordert. Sie ist jedoch nicht deckungsgleich. NIS2 stellt zum Beispiel sehr spezifische, strenge Anforderungen an die Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden, die über die ISO-Norm hinausgehen. Sehen Sie die Zertifizierung als Beschleuniger, nicht als Freifahrtschein.

Mehr erfahren
Niklas Hanitsch

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 7, 2023
5 min
ISMS-Standard – SECJUR-Ratgeber zur Wahl Ihres ISMS-Standards

Müssen Sie sich in Ihrem Unternehmen mit einem Informationssicherheitsmanagementsystem (ISMS) beschäftigen? Dann wissen Sie: Den richtigen ISMS-Standard zu wählen ist nicht einfach. ‍ Wir gehen in diesem Artikel daher auf einige der bekanntesten Informationssicherheits-Standards und ihre Anwendungsbereiche sowie ihre Unterschiede zur ISO/IEC 27001 ein.

Lesen
November 15, 2023
10 min
ISMS Tool: Schnell zum zertifizierbaren ISMS

Erfahren Sie, wie ein ISMS Tool Unternehmen dabei unterstützt, ein ISO 27001-zertifizierbares Informationssicherheitsmanagementsystem (ISMS) aufzubauen. Vom automatisierten Erfassen von Informationen bis zur zentralen Verwaltung von Sicherheitsrichtlinien bietet das Tool effektive Lösungen, um Zeit und Ressourcen zu sparen. Wir beleuchten die Vorteile, darunter Effizienzsteigerung, konsistente Anwendung von Sicherheitsstandards und automatisierte Überwachung.

Lesen
November 3, 2025
5 Minuten
NIS2: Koordination bei EU-weiten Cyberangriffen

Grenzüberschreitende Cyberangriffe stellen Unternehmen vor eine neue Herausforderung: die NIS2-Meldepflicht über mehrere EU-Länder hinweg. Erfahren Sie, wie Sie im Ernstfall richtig reagieren, Zuständigkeiten eindeutig klären und die 24- und 72-Stunden-Fristen sicher einhalten. Dieser Leitfaden zeigt praxisnah, wie Sie nationale und europäische Meldeprozesse effizient koordinieren und Chaos in der Krisenkommunikation vermeiden.

Lesen
Related Resources
ISO 27001 – Der Komplett-Guide zum ISMS Standard
June 7, 2023
15 min
Arbeitnehmerdatenschutz: Grundlagen, Rechte und heikle Verarbeitungen
June 2, 2023
10 min
GPS Überwachung von Angestellten - erlaubt oder illegal?
June 5, 2023
Marketing Tips for Niche Industries
GPS Überwachung von Angestellten - erlaubt oder illegal?
June 5, 2023
NIS2: Cloud-Notfallplan mit automatisierte Wiederherstellung
November 4, 2025
5 Minuten
Datenschutz-Folgenabschätzung: So funktioniert das Risiko-Werkzeug
June 5, 2023
10 min
TO TOP