NIS2 und Supply-Chain-Security: Wie Lieferketten zum Compliance-Risiko werden

1 Min. Lesezeit

NIS2 verpflichtet Unternehmen erstmals explizit zur Absicherung ihrer Lieferketten. Das bedeutet: Risikobewertung für alle kritischen Zulieferer, vertragliche Security-Anforderungen und kontinuierliches Monitoring.

Das Wichtigste in Kürze

Der SolarWinds-Hack 2020 hat gezeigt, wie verheerend Supply-Chain-Angriffe sein können. Ein kompromittiertes Software-Update infizierte über 18.000 Organisationen weltweit. NIS2 zieht daraus Konseqünzen.

Was NIS2 konkret fordert

Artikel 21 der NIS2-Richtlinie verlangt von betroffenen Unternehmen Massnahmen zur „Sicherheit der Lieferkette, einschliesslich der Sicherheit zwischen jedem Unternehmen und seinen direkten Zulieferern oder Dienstleistern“. Konkret bedeutet das:

Risikobewertung: Identifikation und Bewertung der Cybersecurity-Risiken aller kritischen Zulieferer
Vertragliche Anforderungen: Security-Klauseln in Lieferantenverträgen (Patch-Management, Incident Notification, Audit-Rechte)
Monitoring: Kontinuierliche Überwachung der Sicherheitslage von Schlüssellieferanten
Dokumentation: Nachweisfähige Dokumentation aller Massnahmen für Audits

Die Kaskadeneffekte

NIS2 betrifft direkt über 30.000 Unternehmen in Deutschland. Aber die Supply-Chain-Anforderungen wirken wie ein Multiplikator: Auch Zulieferer, die selbst nicht unter NIS2 fallen, werden über vertragliche Anforderungen ihrer Kunden indirekt reguliert. Schätzungen gehen von 100.000+ indirekt betroffenen Unternehmen aus.

Praxisbeispiel: Software-Lieferkette

Ein mittelständisches Fertigungsunternehmen nutzt 47 verschiedene SaaS-Dienste und 12 kritische Softwareprodukte von Drittanbietern. Unter NIS2 muss es:

Alle Software-Zulieferer inventarisieren
Risikobewertung pro Zulieferer durchführen
Security-Anforderungen in Verträge aufnehmen
Regelmäßig prüfen, ob Zulieferer die Anforderungen erfüllen
Einen Notfallplan für den Ausfall kritischer Zulieferer vorhalten

Tools und Frameworks

Für die praktische Umsetzung empfehlen sich:

SBOM (Software Bill of Materials): Inventar aller Software-Komponenten und deren Abhängigkeiten
SecurityScorecard / BitSight: Externe Risikobewertung von Zulieferern
ISO 27036: Standard für Informationssicherheit in Lieferantenbeziehungen
NIST CSF Supply Chain Risk Management: Umfassender Rahmen für Supply-Chain-Security

Key Facts

NIS2 Artikel 21 fordert explizit Lieferketten-Absicherung

Über 100.000 Unternehmen in Deutschland indirekt betroffen

SBOM wird zum Standard für Software-Lieferketten

Vertragliche Security-Klauseln werden für alle Zulieferer nötig

SolarWinds, Kaseya und Log4j haben die Regulierung beschleunigt

Fakt: Die NIS2-Meldepflicht verlangt eine Erstmeldung an die zuständige Behörde innerhalb von 24 Stunden.

Fakt: Geschäftsführer haften nach NIS2 persönlich für die Umsetzung der Cybersecurity-Anforderungen.

Häufige Fragen

Mein Zulieferer ist nicht NIS2-pflichtig. Muss ich trotzdem handeln?

Ja. Ihre Pflicht zur Lieferketten-Absicherung besteht unabhängig davon, ob Ihr Zulieferer selbst unter NIS2 fällt. Sie müssen das Risiko bewerten und angemessene Massnahmen treffen.

Wie priorisiere ich meine Zulieferer?

Nach Kritikalität für Ihr Geschäft und nach dem Zugriffsgrad auf Ihre Systeme und Daten. Ein SaaS-Provider mit Zugriff auf Kundendaten ist kritischer als ein Büromöbel-Lieferant.

Weiterführende Artikel

NIS2-Richtlinie: Was Unternehmen wissen müssen

Cyber-Versicherung 2026

Zero Trust: Die 7 häufigsten Fehler

Wie unterscheidet sich NIS2 von der DSGVO?

Die DSGVO schützt personenbezogene Daten, NIS2 sichert die Cybersecurity von Netzwerken und Informationssystemen. NIS2 verlangt technische und organisatorische Maßnahmen, Meldepflichten innerhalb von 24 Stunden und regelmäßige Risikobewertungen – mit deutlich kürzeren Fristen als die DSGVO.

Hier schreibt Tobias Massow für Sie

Mehr Artikel vom Autor Tobias Massow

Auch verfügbar in

Français Español English

Lesen Sie weiter

Compliance

Cybersecurity

Drittanbieter

NIS2