NIS2 und Lieferkettenmanagement — Pflichten für betroffene Unternehmen
Was NIS2 von Unternehmen im Umgang mit Lieferanten und Dienstleistern verlangt und wie Sie die Anforderungen umsetzen.
Lieferkettensicherheit ist kein optionales Kapitel
NIS2 macht eines unmissverständlich klar: Die Sicherheit Ihres Unternehmens endet nicht an Ihrer Türschwelle. Sie erstreckt sich auf jeden Dienstleister, jeden Lieferanten und jeden IT-Anbieter, der Zugriff auf Ihre Systeme oder Daten hat.
Artikel 21 Absatz 2 Buchstabe d der NIS2-Richtlinie verpflichtet betroffene Unternehmen ausdrücklich zur “Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern”.
Das ist keine Empfehlung. Das ist eine Pflicht.
Was NIS2 konkret verlangt
Risikobewertung der Lieferanten
Unternehmen müssen die Cybersicherheitsrisiken bewerten, die von ihren Lieferanten und Dienstleistern ausgehen. Dabei sind zu berücksichtigen:
- Cybersicherheitspraktiken des Anbieters (einschließlich sicherer Entwicklungsprozesse)
- Schwachstellen der spezifischen Produkte und Dienste
- Gesamtqualität der Produkte und der Cybersicherheitsmaßnahmen
- Ergebnisse koordinierter Risikobewertungen kritischer Lieferketten auf EU-Ebene
Vertragliche Absicherung
Die Sicherheitsanforderungen müssen vertraglich verankert werden. Auch wenn NIS2 keine so detaillierte Klauselliste wie DORA Art. 30 vorschreibt, ergibt sich aus der Pflicht zur Lieferkettensicherheit, dass Unternehmen:
- Sicherheitsanforderungen in Verträge aufnehmen
- Audit- und Prüfrechte vereinbaren
- Meldepflichten für Sicherheitsvorfälle beim Anbieter regeln
- Anforderungen an Sub-Dienstleister definieren
Laufende Überwachung
Risikobewertung ist kein Einmalprojekt. Unternehmen müssen:
- Regelmäßig überprüfen, ob Lieferanten die vereinbarten Sicherheitsstandards einhalten
- Auf Änderungen reagieren (neue Anbieter, geaenderte Leistungen, Sicherheitsvorfälle)
- Die Geschäftsleitung über wesentliche Risiken informieren
Die besondere Herausforderung für NIS2-betroffene Unternehmen
Im Vergleich zum Finanzsektor, der durch DORA bereits detaillierte Vorgaben hat, stehen viele NIS2-betroffene Unternehmen vor einer anderen Ausgangslage:
Kein regulatorisches Vorwissen
In Sektoren wie Energie, Produktion oder Gesundheit gibt es oft kein etabliertes Third-Party Risk Management. Was in Banken seit Jahren Standard ist — Dienstleister-Register, Risikoscoring, Vertragsprüfungen — existiert in vielen Industrieunternehmen schlicht nicht.
Größere Lieferantenlandschaft
Ein Industrieunternehmen hat typischerweise Hunderte oder Tausende von Lieferanten. Nicht alle sind IT-Dienstleister, aber viele haben Zugriff auf vernetzte Systeme (OT, IoT, Cloud-Dienste). Die Abgrenzung “welche Lieferanten fallen unter NIS2-Pflichten?” ist nicht trivial.
IT/OT-Konvergenz
In Sektoren wie Energie oder Produktion verschmelzen IT- und OT-Systeme (Operational Technology). Ein Lieferant, der Steuerungssoftware für eine Produktionsanlage liefert, ist ein anderes Risiko als ein Cloud-Provider — aber beide fallen potenziell unter die Lieferkettenpflichten.
Praktischer Ansatz: In fünf Schritten zur NIS2-konformen Lieferkette
1. Scope definieren
Nicht jeder Lieferant ist gleich relevant. Fokussieren Sie auf:
- Dienstleister mit Zugriff auf Ihre IT-Systeme oder Daten
- Lieferanten von Software und IT-Infrastruktur
- Anbieter, die kritische Geschäftsprozesse unterstützen
- Lieferanten mit Zugang zu OT-Systemen
2. Register aufbauen
Erfassen Sie alle relevanten Lieferanten in einem zentralen Register:
- Name, Funktion, Art der Dienstleistung
- Zugriff auf welche Systeme und Daten
- Kritikalität für den Geschäftsbetrieb
- Vertragliche Grundlage
3. Risiken bewerten
Für jeden erfassten Lieferanten:
- Welche Cybersicherheitsmaßnahmen hat der Anbieter?
- Welche Zertifizierungen liegen vor?
- Welches Risiko entsteht bei einem Sicherheitsvorfall beim Anbieter?
Methodik: Lieferantenrisiken bewerten.
4. Verträge überprüfen und anpassen
Stellen Sie sicher, dass Ihre Verträge mindestens enthalten:
- Sicherheitsanforderungen, die der Anbieter erfuellen muss
- Meldepflichten bei Sicherheitsvorfällen
- Audit- und Überprüfungsrechte
- Regelungen für Sub-Dienstleister
5. Prozess etablieren
Lieferkettenmanagement ist ein laufender Prozess:
- Regelmäßige Neubewertung (mindestens jährlich)
- Prozess für neue Lieferanten (Sicherheitsprüfung vor Vertragsschluss)
- Prozess für Sicherheitsvorfälle beim Lieferanten
- Berichterstattung an die Geschäftsleitung
Überschneidungen mit DSGVO Art. 28
Viele NIS2-betroffene Unternehmen haben bereits Erfahrung mit Auftragsverarbeitungsverträgen nach DSGVO Art. 28. Die gute Nachricht: Wer seine Auftragsverarbeiter im Griff hat, hat bereits einen Teil der NIS2-Lieferkettenpflichten abgedeckt.
Die DSGVO-Anforderungen decken aber nicht alles ab:
- DSGVO fokussiert auf Datenschutz, NIS2 auf breite Cybersicherheit
- NIS2 betrifft auch Lieferanten ohne Personendatenzugriff
- NIS2 verlangt eine umfassendere Risikobewertung
Ein guter Ausgangspunkt ist trotzdem: Nehmen Sie Ihre bestehende Auftragsverarbeiterliste und erweitern Sie sie um die NIS2-relevanten Aspekte.
Nächste Schritte
- Was ist NIS2? — für den breiteren regulatorischen Kontext
- NIS2 Geschäftsführer-Haftung — warum Lieferkettenmanagement Chefsache ist
- Was ist Third-Party Risk Management? — Grundlagen des Drittparteienmanagements
- Lieferantenrisiken bewerten — Methoden für die Risikobewertung