Lieferkettensicherheit unter NIS2

Inhalt

Die NIS2-Richtlinie verpflichtet betroffene Unternehmen nicht nur, die eigene IT-Infrastruktur abzusichern. Sie schreibt ausdrücklich vor, auch Risiken aus der Lieferkette und durch externe Dienstleister systematisch zu managen. Wir erklären, wie Sie Dienstleister wirksam prüfen und was zu tun ist, wenn ein Anbieter nicht mitspielt.

In aller Kürze

  • NIS2 verpflichtet betroffene Unternehmen, nicht nur die eigene IT, sondern auch Risiken in der Lieferkette und bei externen Dienstleister systematisch zu steuern – und zwar dauerhaft.
  • Relevant sind vor allem Lieferanten und Dienstleister, die Zugriff auf kritische Systeme, Daten oder IT-Infrastrukturen haben.
  • Zertifizierungen können wichtige Nachweise liefern, müssen aber immer auf ihren konkreten Geltungsbereich geprüft werden.
  • Verträge mit wichtigen Dienstleistern sollten klare Meldepflichten bei Vorfällen, Auditrechte und Nachweispflichten enthalten.

Was schreibt NIS2 zur Lieferkettensicherheit vor?

Art. 21 der NIS2-Richtlinie, in Deutschland umgesetzt durch § 30 BSIG, zählt die Sicherheit der Lieferkette ausdrücklich zu den Risikomanagementmaßnahmen, die betroffene Einrichtungen ergreifen müssen. Konkret verlangt § 30 Abs. 2 Nr. 4 BSIG von wichtigen und besonders wichtigen Einrichtungen, geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen zu ergreifen. Das umfasst ausdrücklich „die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen einzelnen Beteiligten sowie ihren unmittelbaren Anbietern oder Diensteanbietern”.

Der Hintergrund ist klar: Angreifer nutzen gezielt Sicherheitslücken bei Zulieferern oder IT-Dienstleistern als Einfallstor. Wer die eigene Sicherheitslage nur intern bewertet, greift zu kurz.

Unternehmen müssen daher die Qualität und Resilienz von Produkten und Diensten ihrer Lieferanten bewerten und zudem prüfen, ob Anbieter ihrerseits sichere Entwicklungsprozesse einhalten. Dies gilt für Cloud-Dienstleister, Managed-Service-Provider, Softwareanbieter und sonstige IKT-Zulieferer gleichermaßen.

Achtung: Die Verantwortung verbleibt dabei vollständig beim durch NIS2 regulierten Unternehmen, auch wenn die Leistung extern erbracht wird.

Wer gehört zur Lieferkette im Sinne von NIS2?

Nicht jeder Lieferant und nicht jeder Dienstleister ist für NIS2 gleichermaßen relevant. Maßgeblich ist keine formale Kategorie, sondern die funktionale Rolle: Zur Lieferkette im Sinne des § 30 Abs. 2 Nr. 4 BSIG gehört, wer Produkte oder Dienste bereitstellt, die mit den eigenen Netz- und Informationssystemen so verbunden sind, dass daraus Sicherheitsrisiken entstehen können. Das können direkte Vertragspartner sein, aber auch Lieferanten von Lieferanten, zu denen keine unmittelbare Vertragsbeziehung besteht. Typische Beispiele sind Anbieter von Hard- und Software, Cloud- und Hosting-Provider sowie Managed Service Provider.

In der Praxis empfiehlt es sich, die eigene Lieferantenbasis systematisch zu sichten und dabei folgende Leitfragen zu stellen:

  • Welche Dienstleister haben Zugang zu kritischen Systemen oder Daten?
  • Welche Lieferanten stellen Software, Hardware oder Cloud-Dienste bereit, die für den Betrieb essenziell sind?
  • Welche externen Partner könnten im Angriffsfall als Einfallstor dienen?

Wer diese Fragen beantwortet, hat eine belastbare Grundlage für eine risikobasierte Priorisierung seiner Lieferantenbewertung.

Wie lässt sich die Lieferkette auf NIS2-Konformität prüfen?

Wer die Lieferkettensicherheit gewährleisten muss, steht vor einer praktischen Herausforderung: Eine vollständige technische Prüfung aller Dienstleister ist weder realistisch noch verhältnismäßig.

Welche Zertifizierungen sind bei Dienstleistern aussagekräftig?

Anerkannte Zertifizierungen bieten eine strukturierte Grundlage für die Bewertung eines Dienstleisters. Eine wichtige Referenz ist eine Zertifizierung nach ISO/IEC 27001, die ein Informationssicherheits-Managementsystem (ISMS) nach einem international anerkannten Standard bescheinigt.

Achtung: Entscheidend ist dabei nicht die Zertifizierung als solche, sondern der konkrete Geltungsbereich, also welche Systeme, Standorte und Prozesse tatsächlich vom Zertifikat erfasst sind. Ein Anbieter, der nur für einen Teilbereich seines Unternehmens zertifiziert ist, muss das nicht für die Leistung sein, die er Ihnen erbringt.

Weitere relevante Nachweise sind je nach Kontext SOC 2 Type II (besonders im Cloud-Umfeld), BSI C5-Testate für Cloud-Dienste sowie branchenspezifische Zertifizierungen (z. B. ein TISAX Assessment im Automobilbereich). Die Europäische Cybersicherheitsagentur ENISA hat zudem Good Practices for Supply Chain Cybersecurity veröffentlicht, die als Orientierung dienen.

Beispiel aus der Praxis: In unserer Beratung begegnet uns folgendes Szenario regelmäßig: Ein technischer Dienstleister ist ISO-27001-zertifiziert, aber der Geltungsbereich des Zertifikats deckt den konkret genutzten Dienst nicht ab. Eine sofortige Kündigung ist in solchen Fällen selten realistisch. Bewährt hat sich stattdessen ein pragmatischer Zwischenweg: zusätzliche vertragliche Zusicherungen des Anbieters, ein vereinbarter Zeitplan zur Erweiterung des Zertifikatsumfangs und regelmäßige Penetrationstests als Übergangslösung.

Entscheidend ist, dass dieser Prozess dokumentiert wird, denn genau das will das BSI im Prüffall sehen.

Wie prüfen Sie Dienstleister ohne anerkannte Sicherheitsnachweise??

Nicht jeder Dienstleister verfügt über eine ISO-27001-Zertifizierung oder ein vergleichbares Testat. Das ist in der Praxis sogar häufig der Fall, insbesondere bei kleineren oder spezialisierten Anbietern. NIS2 verlangt eine solche Zertifizierung auch nicht, weder vom regulierten Unternehmen selbst noch von seinen Dienstleistern. Gefordert ist ein risikobasierter Ansatz: Wer keine anerkannten Nachweise vorweisen kann, muss auf andere Weise belegen, dass er ein angemessenes Sicherheitsniveau einhält.

In der Praxis haben sich dafür folgende Instrumente bewährt:

  • Ein strukturierter Sicherheitsfragebogen, auch Vendor Security Assessment genannt, erfasst gezielt die eingesetzten Sicherheitsmaßnahmen, Zugriffskontrollen, Patch-Prozesse und Notfallpläne des Anbieters.
  • Ergänzend können unabhängige Auditberichte oder Atteste angefordert werden, die der Dienstleister von einem Dritten eingeholt hat.
  • Bei Anbietern mit besonders kritischem Systemzugang empfiehlt sich zusätzlich die vertragliche Vereinbarung von Penetrationstests oder Incident-Response-Tests, deren Ergebnisse dem Auftraggeber offenzulegen sind.

Vertraglich sollten in jedem Fall konkrete Sicherheitspflichten, Meldepflichten bei Vorfällen sowie Auditrechte verankert sein. Für den Fall, dass ein Dienstleister dauerhaft kein ausreichendes Sicherheitsniveau nachweisen kann, empfiehlt es sich, bereits im Vertrag einen klaren Eskalations- und Ausstiegspfad zu definieren.

Tipp: Das BSI veröffentlicht Listen zertifizierter IT-Sicherheitsdienstleister für IS-Revision und Penetrationstests sowie für Vorfallbearbeitung, die als Orientierung bei der Auswahl geeigneter Prüfer dienen können.

Lesen Sie dazu auch, wie Sie generell NIS2-Nachweise erbringen, was bestehende ISMS-Zertifizierungen dafür bringen und wie ISMS ggfs. erweitert werden müssen, um NIS2-Compliance zu erreichen.

Was müssen NIS2-konforme Verträge mit Dienstleistern mindestens regeln?

Zertifizierungen der Lieferanten und Dienstleister allein reichen unter NIS2 für eine ausreichende Lieferkettensicherheit nicht aus. Bestehende Verträge mit wichtigen Dienstleistern sollten im Lichte von NIS2 überprüft und wo nötig nachverhandelt werden. Mindestens folgende Punkte vertraglich verankert sein:

  • Pflicht zur Einhaltung eines definierten Sicherheitsniveaus,
  • Meldepflichten bei Sicherheitsvorfällen (gegenüber Auftraggeber),
  • Auditrechte des Auftraggebers,
  • Recht auf Nachweis der Zertifizierungsstatus durch unabhängige Dritte.

Für neue Vertragsbeziehungen empfiehlt es sich, diese NIS2-Anforderungen von vornherein als Vertragsbestandteil zu verankern. Ergänzend können Fragebögen und Selbstauskünfte, sogenannte Vendor Security Assessments, eingesetzt werden, mit denen Dienstleister gezielt zu ihren Sicherheitsmaßnahmen, Incident-Response-Prozessen und Sub-Dienstleistern befragt werden.

Was tun, wenn ein Dienstleister die NIS2-Anforderungen nicht erfüllt?

Stellt ein von NIS2 betroffenes Unternehmen fest, dass ein Dienstleister den Sicherheitsanforderungen nicht genügt, sind abgestufte Reaktionen möglich und geboten. Untätigkeit ist keine Option, da die Verantwortung für die Supply Chain Compliance stets beim regulierten Unternehmen verbleibt.

Schritt 1: Risikobewertung

Der erste Schritt ist eine Risikobewertung: Nicht jede Sicherheitslücke bei einem Lieferanten stellt das gleiche Risiko dar. Entscheidend ist, welchen Zugang der Dienstleister zu kritischen Systemen oder Daten hat. Leitfragen sind:

  • Welche Schäden können im Angriffsfall entstehen?
  • Wie tief ist die Systemintegration?

Schritt 2: Frist zur Mängelbehebung setzen

Danach sollte das Unternehmen de Dienstleister konkret auf die identifizierten Mängel hinweisen und eine angemessene Frist zur Behebung setzen. Bei langjährigen Partnern kann aktive Unterstützung sinnvoll sein, etwa durch gemeinsame Notfallübungen oder das Teilen von Bedrohungsinformationen.

Schritt 3: Formelle Beanstandung

Werden vereinbarte Sicherheitsstandards dauerhaft nicht eingehalten, bieten vertraglich verankerte Auditrechte und Sicherheitsklauseln die Grundlage für formelle Beanstandungen oder Vertragsstrafen.

Schritt 4: Anbieterwechsel

Ist ein Anbieter strukturell nicht in der Lage, das erforderliche Sicherheitsniveau zu erreichen, muss ein Wechsel in Betracht gezogen werden. Das gilt insbesondere dann, wenn der Dienstleister Zugang zu besonders sensiblen oder kritischen Teilen der IT-Infrastruktur hat.

Hinweis: Unternehmen sollten nicht erst bei einem Sicherheitsvorfall reagieren. Die Pflicht zum Lieferkettenmanagement ist eine Daueraufgabe und sollte in den regulären Einkaufs- und Beschaffungsprozess integriert werden. Eine Risikobewertung bereits beim Onboarding, anhand eines standardisierten Fragebogens und der Prüfung relevanter Zertifizierungen, spart späteren Aufwand erheblich.

Wie kann activeMind Unternehmen bei der Lieferkettensicherheit unter NIS2 unterstützen?

Um die Sicherheit der Lieferkette von Unternehmen unter NIS2 sicherzustellen, setzen wir vor allem auf drei Maßnahmen:

  • Mit unserer NIS2-Gap-Analyse identifizieren wir auch Lücken in Ihrem Lieferantenmanagement — und liefern eine priorisierte Liste, welche Dienstleister wie geprüft werden müssen.
  • Bei identifizierten Missständen unterstützen wir bei der Vertragsanpassung mit Lieferanten oder einer etwaigen Neuauswahl in der Lieferkette. 
  • Mit unserer auf NIS2 spezialisierten Software activeMind.cloud bilden wir Ihre Lieferanten als Assets in der Risikolandkarte ab und dokumentieren deren Bewertung revisionssicher und auditfähig.

Ihre Vorteile: 

  • Unsere über 25 Jahre Erfahrung in der Informationssicherheit übertragen wir direkt auf die NIS2-Lieferkettenanforderungen: Wir kennen die Fallstricke aus der Praxis, etwa wann eine ISO-27001-Zertifizierung tatsächlich aussagekräftig ist und wann nicht.
  • Sie erhalten eine belastbare, dokumentierte Grundlage für Ihr Lieferantenmanagement. Im Ergebnis reduzieren Sie nicht nur das Risiko von NIS2-Bußgeldern, sondern schließen auch echte Sicherheitslücken, bevor sie zum Einfallstor werden.

Die NIS2-Anforderungen an die Lieferkette sind komplex und erfordern viel Arbeit. Das übersteigt schnell die Kapazitäten interner Teams. Unsere Experten unterstützen Sie dabei gerne.

Kontaktieren Sie uns jetzt für ein kostenfreies Erstgespräch!

Fazit: Lieferkettensicherheit ist Chefsache

NIS2 macht unmissverständlich klar: Die Cybersicherheitspflichten enden nicht an den eigenen Unternehmensgrenzen. Betroffene Einrichtungen müssen ihre Dienstleister und Zulieferer systematisch in ihr Risikomanagement einbeziehen, mit konkreten Anforderungen, nachvollziehbaren Nachweisen und klar geregelten Konsequenzen bei Mängeln. Wer das versäumt, riskiert empfindliche Bußgelder.

Wichtig ist: Lieferkettensicherheit ist kein einmaliges Setup. Stattdessen gilt es diese dauerhaft zu etablieren und Lieferanten regelmäßig je nach Risiko zu kontrollieren.

Wer diese Strukturen frühzeitig aufbaut, schützt nicht nur die eigene Infrastruktur, sondern stärkt auch die operative Resilienz gegenüber einer wachsenden Bedrohungslage.

Weiterlesen

NIS2-Compliance: Darauf kommt es wirklich an!

Unsere Experten haben ihre Erfahrungen aus zahlreichen NIS2-Projekten für Sie gesammelt. 

Diese senden wir Ihnen kostenfrei und unverbindlich zu. Melden Sie sich jetzt an und erhalten alle Tipps zu NIS2 und BSIG! 

Für Unternehmen der
Finanzbranche

Vereinfachtes IKT-Risikomanagement
bei DORA

Webinar: 21. Okt. 2025 (11-12 Uhr)

Anmeldeschluss: 30. Sept. 2025!

Kostenfreies Erstgespräch

Sie schildern Ihr Anliegen zum CRA. Unsere Experten geben Ihnen eine ehrliche Einschätzung. 30 Minuten am Telefon, kostenfrei und unverbindlich. 

Wir melden uns umgehend mit einem Terminvorschlag!

Kostenfreies Erstgespräch

Sie schildern Ihr Anliegen zu NIS2. Unsere Experten geben Ihnen eine ehrliche Einschätzung. 30 Minuten am Telefon, kostenfrei und unverbindlich. 

Wir melden uns umgehend mit einem Terminvorschlag!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.