Cybervize - Cybersecurity Beratung

Lieferkettensicherheit unter NIS2

NIS-2CEOCISOISMS ManagerEinkauf/Vendor-Management

Kernaussage

Lieferkettensicherheit ist unter NIS2 kein optionaler Reifegrad, sondern ein ausdrücklich genannter Pflichtbereich der Risikomanagementmaßnahmen: Die Richtlinie (EU) 2022/2555 nennt die Sicherheit der Lieferkette einschließlich der Beziehungen zu Anbietern und Dienstleistern als einen der mindestens zehn abzudeckenden Bereiche (Art. 21).

Anbieter- und Dienstleisterrisiko muss deshalb systematisch bewertet, vertraglich gesteuert und nachweisbar überwacht werden, als Teil des gefahrenübergreifenden ("all-hazards") Risikomanagements und nicht als reine Beschaffungsfrage. Die Verantwortung liegt bei der Leitungsebene (Art. 20).

Problem in der Praxis

In vielen Unternehmen ist Lieferantensicherheit an den Einkauf delegiert und reduziert sich auf einen einmaligen Fragebogen bei Vertragsbeginn; eine laufende Steuerung findet nicht statt. Gleichzeitig sind kritische Abhängigkeiten oft nicht sichtbar: Cloud-Dienste, Managed-Service-Provider, Software-Zulieferer und deren Subunternehmer werden dezentral beschafft, ohne dass eine zentrale Stelle das Gesamtbild kennt.

Fällt ein Anbieter aus oder wird er kompromittiert, fehlen Informationsrechte, definierte Meldewege und eine Vorstellung davon, welche eigenen Prozesse betroffen sind. So entsteht eine Beschaffungsroutine ohne belastbare Kontrolle über ein Risiko, das über Dritte direkt in die eigene Betriebsfähigkeit hineinwirkt. Spätestens bei einem Vorfall mit Meldepflicht (Art. 23) wird diese Lücke sichtbar.

CISO-Einordnung

NIS2 verlangt vom CISO, das Lieferkettenrisiko in dieselbe Steuerungslogik zu heben wie die übrigen Risikofelder. Zwei Bereiche aus Art. 21 greifen ineinander: die Sicherheit der Lieferkette inklusive der Anbieterbeziehungen sowie die Sicherheit bei Erwerb, Entwicklung und Wartung von IT- und Netzwerksystemen einschließlich Schwachstellenmanagement.

Maßstab ist Verhältnismäßigkeit nach dem Stand der Technik: Nicht jeder Lieferant erfordert dieselbe Tiefe. Die Kritikalität einer Beziehung richtet sich an ihrer Bedeutung für die eigenen wesentlichen Dienste aus. Ob eine Einrichtung als wesentlich oder wichtig gilt, beeinflusst Aufsichtsintensität und Sanktionsrahmen, nicht die Pflicht zur Behandlung des Lieferkettenrisikos.

Über die einzelne Einrichtung hinaus sieht die Richtlinie koordinierte Sicherheitsrisikobewertungen kritischer Lieferketten auf Unionsebene vor (vgl. Richtlinie (EU) 2022/2555, Art. 22), getragen von Kooperationsgruppe, Kommission und ENISA. Eigene Lieferantenbewertungen können so durch unionsweite Einschätzungen zu bestimmten Diensten, Technologien oder Anbietern ergänzt werden. Welche konkreten Vorgaben daraus folgen, ist anhand der Richtlinie und der nationalen Umsetzung zu prüfen, nicht als unionsweit fixiertes Ergebnis vorauszusetzen.

Umsetzungsperspektive

Aus CISO-Sicht baut sich die Steuerung in klaren Schritten auf:

  • Transparenz schaffen: ein gepflegtes Inventar relevanter Anbieter und Dienstleister, inklusive Subdienstleister bei kritischen Leistungen.
  • Kritikalität einstufen: Welche Anbieter berühren wesentliche Dienste, Verfügbarkeit, vertrauliche Daten oder die eigenen Meldepflichten?
  • Risiko bewerten: abgestuft nach Kritikalität, von einfacher Selbstauskunft bis zu Nachweisen, Zertifikaten oder Audits.
  • Vertraglich steuern: Sicherheitsanforderungen, Informations- und Auditrechte, Weitergabe von Vorfall-Meldepflichten sowie Anforderungen an Subunternehmer und an die Beendigung der Beziehung verbindlich festlegen.
  • Laufend überwachen: statt Momentaufnahme eine wiederkehrende Prüfung mit Eskalationswegen, angebunden an das eigene Vorfall- und Risikomanagement.

Diese Schritte erzeugen genau die Nachweise, die gegenüber Aufsichtsbehörde, Leitungsorgan und im Vorfallfall benötigt werden. Sinnvoll ist, die vertraglichen Anforderungen in einem abgestuften Klauselbaukasten zu standardisieren statt je Vertrag neu zu verhandeln.

Typische Fehler

  1. Lieferantensicherheit wird vollständig an den Einkauf delegiert, ohne Anbindung an das Sicherheitsrisikomanagement.
  2. Anbieter werden einmalig per Fragebogen geprüft, danach nie wieder.
  3. Verträge enthalten keine durchsetzbaren Sicherheits-, Audit- und Meldeklauseln.
  4. Subunternehmer kritischer Dienstleister bleiben unsichtbar.
  5. Alle Lieferanten werden gleich behandelt, statt nach Kritikalität abzustufen.

Risiken und Trade-offs

Zu tiefe Anforderungen an jeden Lieferanten erzeugen Aufwand ohne Risikonutzen und stoßen bei kleineren Anbietern an Grenzen der Durchsetzbarkeit. Zu flache Anforderungen lassen kritische Abhängigkeiten ungesteuert. Die Kunst liegt in der Abstufung nach Kritikalität.

Ein weiterer Trade-off betrifft Marktmacht: Bei großen Cloud- oder Plattformanbietern lassen sich individuelle Klauseln oft nicht verhandeln. Hier helfen standardisierte Nachweise, Zertifizierungen und kompensierende eigene Maßnahmen statt nicht erreichbarer Vertragsanpassungen. Und Dokumentation allein erzeugt Scheinsicherheit: Ein unterschriebenes Anforderungsdokument ersetzt keine gelebte Überwachung; Nachweise müssen aus laufenden Prozessen entstehen, nicht erst auf Anfrage.

Entscheidungspunkte

  • Nach welchen Kriterien stuft das Unternehmen die Kritikalität von Anbietern ein?
  • Welche Sicherheitsanforderungen sind je Kritikalitätsstufe vertraglich verpflichtend?
  • Welche Informations-, Melde- und Auditrechte braucht das Unternehmen mindestens?
  • Wie werden Subunternehmer kritischer Dienstleister erfasst und gesteuert?
  • Wie werden unionsweite koordinierte Risikobewertungen und nationale Vorgaben in die eigene Lieferantenbewertung eingespeist?

Praktische Empfehlungen

  1. Führen Sie ein zentrales, gepflegtes Verzeichnis kritischer Anbieter und ihrer relevanten Subdienstleister.
  2. Stufen Sie Anbieter nach ihrer Bedeutung für wesentliche Dienste ab und richten Sie die Prüftiefe daran aus.
  3. Standardisieren Sie Sicherheitsklauseln in einem abgestuften Baukasten statt in Einzelverhandlungen.
  4. Geben Sie die eigenen Meldepflichten vertraglich weiter und definieren Sie konkrete Meldewege und Fristen.
  5. Verankern Sie wiederkehrende Überprüfungen und binden Sie das Lieferantenrisiko an Ihr Vorfall- und Risikomanagement an.

Relevante Normreferenzen

  • Richtlinie (EU) 2022/2555 (NIS2), insbesondere Art. 20 (Governance), Art. 21 (Risikomanagementmaßnahmen, u. a. Sicherheit der Lieferkette), Art. 22 (koordinierte Sicherheitsrisikobewertungen) und Art. 23 (Meldepflichten).
  • Nationale Umsetzung, in Deutschland das NIS2-Umsetzungsgesetz; Schwellen, Fristen und Detailauslegung sind dem nationalen Recht zu entnehmen.
  • ISO/IEC 27001 (ISMS als Umsetzungsvehikel) und ISO/IEC 27036 (Informationssicherheit in Lieferantenbeziehungen) als referenzierte Normen.
  • IT-Grundschutz (BSI): alternatives ISMS-Vehikel mit Bausteinen zum Dienstleister- und Outsourcing-Management.

Häufige Fragen

Ist Lieferkettensicherheit unter NIS2 verpflichtend?+

Ja. Die Sicherheit der Lieferkette einschließlich der Anbieterbeziehungen ist einer der in Art. 21 der Richtlinie (EU) 2022/2555 genannten Pflichtbereiche.

Muss ich meine Meldepflichten an Dienstleister weitergeben?+

Praktisch ja: Ohne vertragliche Informations- und Meldepflichten der Dienstleister können die eigenen Fristen nach Art. 23 im Vorfall nicht eingehalten werden.

Was sind koordinierte Risikobewertungen?+

Die Richtlinie sieht auf Unionsebene koordinierte Sicherheitsrisikobewertungen kritischer Lieferketten vor (Art. 22), getragen von Kooperationsgruppe, Kommission und ENISA. Konkrete Vorgaben sind anhand der Richtlinie und nationalen Umsetzung zu prüfen.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen NIS-2 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: nis2-005.