Die NIS2-Richtlinie verpflichtet betroffene Unternehmen nicht nur, die eigene IT-Infrastruktur abzusichern. Sie schreibt ausdrücklich vor, auch Risiken aus der Lieferkette und durch externe Dienstleister systematisch zu managen. Wer Sicherheitslücken bei Zulieferern oder IT-Dienstleistern ignoriert, riskiert nicht nur einen erfolgreichen Angriff, sondern auch empfindliche NIS2-Bußgelder. Wir erklären, wie Sie Dienstleister wirksam prüfen und was zu tun ist, wenn ein Anbieter nicht mitspielt.
Was schreibt NIS2 zur Lieferkettensicherheit vor?
Art. 21 der NIS2-Richtlinie, in Deutschland umgesetzt durch § 30 BSIG, zählt die Sicherheit der Lieferkette ausdrücklich zu den Risikomanagementmaßnahmen, die betroffene Einrichtungen ergreifen müssen. Konkret verlangt § 30 Abs. 2 Nr. 4 BSIG von wichtigen und besonders wichtigen Einrichtungen, geeignete und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen zu ergreifen. Das umfasst ausdrücklich „die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen einzelnen Beteiligten sowie ihren unmittelbaren Anbietern oder Diensteanbietern”.
Der Hintergrund ist klar: Angreifer nutzen gezielt Sicherheitslücken bei Zulieferern oder IT-Dienstleistern als Einfallstor. Wer die eigene Sicherheitslage nur intern bewertet, greift zu kurz.
Unternehmen müssen daher die Qualität und Resilienz von Produkten und Diensten ihrer Lieferanten bewerten und zudem prüfen, ob Anbieter ihrerseits sichere Entwicklungsprozesse einhalten. Dies gilt für Cloud-Dienstleister, Managed-Service-Provider, Softwareanbieter und sonstige IKT-Zulieferer gleichermaßen.
Achtung: Die Verantwortung verbleibt dabei vollständig beim durch NIS2 regulierten Unternehmen, auch wenn die Leistung extern erbracht wird.
Wer gehört zur Lieferkette im Sinne von NIS2?
Nicht jeder Lieferant und nicht jeder Dienstleister ist für NIS2 gleichermaßen relevant. Maßgeblich ist keine formale Kategorie, sondern die funktionale Rolle: Zur Lieferkette im Sinne des § 30 Abs. 2 Nr. 4 BSIG gehört, wer Produkte oder Dienste bereitstellt, die mit den eigenen Netz- und Informationssystemen so verbunden sind, dass daraus Sicherheitsrisiken entstehen können. Das können direkte Vertragspartner sein, aber auch Lieferanten von Lieferanten, zu denen keine unmittelbare Vertragsbeziehung besteht. Typische Beispiele sind Anbieter von Hard- und Software, Cloud- und Hosting-Provider sowie Managed-Service-Provider.
In der Praxis empfiehlt es sich, die eigene Lieferantenbasis systematisch zu sichten und dabei folgende Leitfragen zu stellen: Welche Dienstleister haben Zugang zu kritischen Systemen oder Daten? Welche Lieferanten stellen Software, Hardware oder Cloud-Dienste bereit, die für den Betrieb essenziell sind? Welche externen Partner könnten im Angriffsfall als Einfallstor dienen?
Wer diese Fragen beantwortet, hat eine belastbare Grundlage für eine risikobasierte Priorisierung seiner Lieferantenbewertung.
Wie lässt sich die Lieferkette auf NIS2-Konformität prüfen?
Wer die Lieferkettensicherheit gewährleisten muss, steht vor einer praktischen Herausforderung: Eine vollständige technische Prüfung aller Dienstleister ist weder realistisch noch verhältnismäßig.
Welche Zertifizierungen sind bei Dienstleistern aussagekräftig?
Anerkannte Zertifizierungen bieten eine strukturierte Grundlage für die Bewertung eines Dienstleisters. Eine wichtige Referenz ist eine Zertifizierung nach ISO/IEC 27001, die ein Informationssicherheits-Managementsystem (ISMS) nach einem international anerkannten Standard bescheinigt.
Achtung: Entscheidend ist dabei nicht die Zertifizierung als solche, sondern der konkrete Geltungsbereich, also welche Systeme, Standorte und Prozesse tatsächlich vom Zertifikat erfasst sind. Ein Anbieter, der nur für einen Teilbereich seines Unternehmens zertifiziert ist, muss das nicht für die Leistung sein, die er Ihnen erbringt.
Wie prüfen Sie Dienstleister ohne anerkannte Sicherheitsnachweise??
Nicht jeder Dienstleister verfügt über eine ISO-27001-Zertifizierung oder ein vergleichbares Testat. Das ist in der Praxis sogar häufig der Fall, insbesondere bei kleineren oder spezialisierten Anbietern. NIS2 verlangt eine solche Zertifizierung auch nicht, weder vom regulierten Unternehmen selbst noch von seinen Dienstleistern. Gefordert ist ein risikobasierter Ansatz: Wer keine anerkannten Nachweise vorweisen kann, muss auf andere Weise belegen, dass er ein angemessenes Sicherheitsniveau einhält. In der Praxis haben sich dafür folgende Instrumente bewährt:- Ein strukturierter Sicherheitsfragebogen, auch Vendor Security Assessment genannt, erfasst gezielt die eingesetzten Sicherheitsmaßnahmen, Zugriffskontrollen, Patch-Prozesse und Notfallpläne des Anbieters.
- Ergänzend können unabhängige Auditberichte oder Atteste angefordert werden, die der Dienstleister von einem Dritten eingeholt hat.
- Bei Anbietern mit besonders kritischem Systemzugang empfiehlt sich zusätzlich die vertragliche Vereinbarung von Penetrationstests oder Incident-Response-Tests, deren Ergebnisse dem Auftraggeber offenzulegen sind.
Tipp: Lesen Sie dazu auch, wie Sie generell NIS2-Nachweise erbringen, was bestehende ISMS-Zertifizierungen dafür bringen und wie ISMS ggfs. erweitert werden müssen, um NIS2-Compliance zu erreichen.
Was müssen NIS2-konforme Verträge mit Dienstleistern mindestens regeln?
Zertifizierungen der Lieferanten und Dienstleister allein reichen unter NIS2 für eine ausreichende Lieferkettensicherheit nicht aus. Bestehende Verträge mit wichtigen Dienstleistern sollten im Lichte von NIS2 überprüft und wo nötig nachverhandelt werden. Mindestens folgende Punkte vertraglich verankert sein:
- Pflicht zur Einhaltung eines definierten Sicherheitsniveaus,
- Meldepflichten bei Sicherheitsvorfällen (gegenüber Auftraggeber),
- Auditrechte des Auftraggebers,
- Recht auf Nachweis der Zertifizierungsstatus durch unabhängige Dritte.
Für neue Vertragsbeziehungen empfiehlt es sich, diese NIS2-Anforderungen von vornherein als Vertragsbestandteil zu verankern. Ergänzend können Fragebögen und Selbstauskünfte, sogenannte Vendor Security Assessments, eingesetzt werden, mit denen Dienstleister gezielt zu ihren Sicherheitsmaßnahmen, Incident-Response-Prozessen und Sub-Dienstleistern befragt werden. Orientierung bietet dabei das NIS2-Infopaket des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Was tun, wenn ein Dienstleister die NIS2-Anforderungen nicht erfüllt?
Stellt ein von NIS2 betroffenes Unternehmen fest, dass ein Dienstleister den Sicherheitsanforderungen nicht genügt, sind abgestufte Reaktionen möglich und geboten. Untätigkeit ist keine Option, da die Verantwortung für die Lieferkettensicherheit stets beim regulierten Unternehmen verbleibt.
Der erste Schritt ist eine Risikobewertung: Nicht jede Sicherheitslücke bei einem Lieferanten stellt das gleiche Risiko dar. Entscheidend ist, welchen Zugang der Dienstleister zu kritischen Systemen oder Daten hat. Leitfragen sind:
- Welche Schäden können im Angriffsfall entstehen?
- Wie tief ist die Systemintegration?
Danach sollte das Unternehmen de Dienstleister konkret auf die identifizierten Mängel hinweisen und eine angemessene Frist zur Behebung setzen. Bei langjährigen Partnern kann aktive Unterstützung sinnvoll sein, etwa durch gemeinsame Notfallübungen oder das Teilen von Bedrohungsinformationen.
Werden vereinbarte Sicherheitsstandards dauerhaft nicht eingehalten, bieten vertraglich verankerte Auditrechte und Sicherheitsklauseln die Grundlage für formelle Beanstandungen oder Vertragsstrafen.
Ist ein Anbieter strukturell nicht in der Lage, das erforderliche Sicherheitsniveau zu erreichen, muss ein Wechsel in Betracht gezogen werden. Das gilt insbesondere dann, wenn der Dienstleister Zugang zu besonders sensiblen oder kritischen Teilen der IT-Infrastruktur hat.
Hinweis: Unternehmen sollten nicht erst bei einem Sicherheitsvorfall reagieren. Die Pflicht zum Lieferkettenmanagement ist eine Daueraufgabe und sollte in den regulären Einkaufs- und Beschaffungsprozess integriert werden. Eine Risikobewertung bereits beim Onboarding, anhand eines standardisierten Fragebogens und der Prüfung relevanter Zertifizierungen, spart späteren Aufwand erheblich.
Beispiel aus der Praxis: In unserer Beratung begegnet uns folgendes Szenario regelmäßig: Ein technischer Dienstleister ist ISO-27001-zertifiziert, aber der Geltungsbereich des Zertifikats deckt den konkret genutzten Dienst nicht ab. Eine sofortige Kündigung ist in solchen Fällen selten realistisch. Bewährt hat sich stattdessen ein pragmatischer Zwischenweg: zusätzliche vertragliche Zusicherungen des Anbieters, ein vereinbarter Zeitplan zur Erweiterung des Zertifikatsumfangs und regelmäßige Penetrationstests als Übergangslösung.
Entscheidend ist, dass dieser Prozess dokumentiert wird, denn genau das will das BSI im Prüffall sehen.
Fazit: Lieferkettensicherheit ist Chefsache
NIS2 macht unmissverständlich klar: Die Cybersicherheitspflichten enden nicht an den eigenen Unternehmensgrenzen. Betroffene Einrichtungen müssen ihre Dienstleister und Zulieferer systematisch in ihr Risikomanagement einbeziehen, mit konkreten Anforderungen, nachvollziehbaren Nachweisen und klar geregelten Konsequenzen bei Mängeln. Wer das versäumt, riskiert empfindliche Bußgelder.
Der erste Schritt ist eine vollständige Bestandsaufnahme aller relevanten Dienstleister und deren Zugang zu kritischen Systemen. Darauf aufbauend braucht es eine klare Anforderungsdefinition und die konsequente Verankerung von Sicherheitspflichten in Verträgen.
Wichtig ist: Lieferkettensicherheit ist kein einmaliges Setup. Stattdessen gilt es diese dauerhaft zu etablieren und Lieferanten regelmäßig je nach Risiko zu kontrollieren.
Wer diese Strukturen frühzeitig aufbaut, schützt nicht nur die eigene Infrastruktur, sondern stärkt auch die operative Resilienz gegenüber einer wachsenden Bedrohungslage.
