Icon Informationssicherheit
Informationssicherheit

Lieferkettensicherheit unter NIS-2: Was Zulieferer und Dienstleister jetzt wissen müssen

Verfasst von:

Fabian Eggers
Fachredaktion, Content Lead und Corporate Knowledge

NIS-2 endet nicht an der eigenen Unternehmensgrenze. Auch Dienstleister wie unter anderem Cloud-Anbieter und spezialisierte IT-Partner werden im neuen Gesetz bedacht. Wir erklären, welche Anforderungen an Lieferkettensicherheit gelten, wie sie sich auf Verträge, Audits und Nachweise auswirken und wie sich Zulieferer in kritischen Sektoren als verlässlicher, NIS-2-konformer Partner positionieren können.

Wer NIS-2 hört, denkt oft zuerst an Betreiber kritischer Dienste wie Krankenhäuser, Energieversorger, Verwaltungen oder Telekommunikation. In der Praxis trifft die Richtlinie aber längst nicht mehr nur „die Großen“. Sie wirkt tief in die Lieferketten hinein. Dienstleister und Zulieferer in kritischen Sektoren geraten ebenso in den Fokus wie die Unternehmen, die diese beauftragen.

Genau hier liegt für viele Organisationen die eigentliche Herausforderung: Die eigenen Systeme sind vielleicht schon gut abgesichert, aber was passiert bei den Partnern, auf deren Leistungen Sie täglich angewiesen sind? Und umgekehrt: Wie gut sind Sie selbst aufgestellt, wenn ein wichtiger Kunde NIS-2-pflichtig ist und plötzlich konkrete Anforderungen an Ihre Lieferkettensicherheit stellt?

Dieser Beitrag zeigt, warum Lieferkettensicherheit in NIS-2 eine zentrale Rolle spielt, welche Anforderungen auf Zulieferer und Dienstleister in kritischen Sektoren zukommen und wie Sie sich sowohl als Auftraggeber wie als Dienstleister pragmatisch darauf vorbereiten können.

 

1. Warum Lieferkettensicherheit in NIS-2 so wichtig ist

Die EU verfolgt mit NIS-2 ein klares Ziel: die Cybersicherheit in Europa insgesamt erhöhen. Dafür reicht es nicht, nur die „sichtbaren“ kritischen Einrichtungen zu adressieren. Ein Angreifer nutzt gerne den Weg des geringsten Widerstands und der führt häufig über Dienstleister, Softwareanbieter oder kleinere Zulieferer.

Genau deshalb rückt die Lieferkettensicherheit stärker in den Mittelpunkt. Organisationen sollen nicht nur ihre eigenen Netz- und Informationssysteme schützen, sondern auch die Risiken in ihrer Lieferkette verstehen und steuern.

Für Sie bedeutet das:

  • Wenn Ihr Unternehmen unter den NIS-2-Geltungsbereich fällt, müssen Sie auch Ihre Dienstleister und Zulieferer betrachten.
  • Wenn Sie selbst „nur“ Dienstleister sind, kann NIS-2 indirekt Druck aufbauen, weil Ihre Kundschaft höhere Anforderungen stellt.

Damit verschwimmen die Grenzen: Lieferkettensicherheit wird zu einem gemeinsamen Thema von Auftraggebenden und Auftragnehmenden.

 

 

2. Für wen die neuen Vorgaben besonders relevant sind

Die Anforderungen von NIS-2 an die Lieferkettensicherheit betreffen vor allem drei Gruppen:

  1. Betreiber kritischer oder wichtiger Dienste
    Organisationen, die direkt unter NIS-2 fallen, müssen künftig systematisch prüfen, wie abhängig sie von bestimmten Dienstleistern sind und wie diese abgesichert sind.
  2. IT- und Cloud-Dienstleister
    Hosting-Anbieter, SaaS-Lösungen, Plattformen für Fachverfahren oder Kommunikationssysteme. Also alle, die zentrale IT-Dienste bereitstellen, werden häufig als sicherheitskritische Teile der Lieferkette eingestuft. Sie sind also entweder selbst unmittelbar als Betroffene einzustufen oder aber sie werden von ihren Auftraggebern, welche selbst betroffen sind, in die Pflicht genommen.
  3. Spezialisierte Zulieferer in kritischen Sektoren
    In Gesundheit, Sozialwirtschaft, Industrie oder Verkehr gibt es viele spezialisierte Fachanwendungen und technische Dienstleister. Fällt ein solcher Service aus, steht oft mehr auf dem Spiel als „nur“ Komfort.

Kurz gesagt: NIS-2 trifft nicht nur Organisationen mit eigener großer Infrastruktur, sondern auch diejenigen, die im Hintergrund dafür sorgen, dass Prozesse überhaupt laufen.

3. Anforderungen von NIS-2 an die Lieferkettensicherheit

Was bedeutet das konkret? Die Richtlinie verlangt, dass Organisationen Risiken in ihrer Lieferkette systematisch berücksichtigen. Typische Elemente sind:

1) Kontext verstehen

Unternehmenskontext analysieren (interne und externe Einflüsse)

Anwendungsbereich des ISMS definieren

Stakeholder und deren Anforderungen identifizieren

2) Assets identifizieren

Welche Geschäftsprozesse, Informationen, Anwendungen, IT-Systeme, Räume etc. sind schützenswert?

Klassifizierung nach Vertraulichkeit, Integrität, Verfügbarkeit Risiken identifizieren

Welche potenziellen Bedrohungen (z. B. Hacker, Naturkatastrophen, vorsätzliche Handlungen) gibt es?

Welche Schwachstellen (z. B. veraltete Software, fehlende Schulungen) sind vorhanden?

Welche Auswirkungen können diese Bedrohungen und Schwachstellen auf die Informationssicherheit haben?

3) Risikobewertung durchführen

Risikokategorien für die Eintrittswahrscheinlichkeit und Schadensauswirkungen festlegen

Kriterien für die Risikobewertung festlegen (z. B. mit einer Risikomatrix)

Risikoakzeptanzkriterien festlegen (akzeptables Risikoniveau für die Organisation)

Zuweisung von Risikoeigentümern

4) Risikobehandlung

Mögliche Strategien:

Vermeiden (z. B. Aufgabe eines riskanten Projekts)

Verringern (z. B. durch Umsetzung von Sicherheitsmaßnahmen)

Übertragen (z. B. durch Versicherung oder Outsourcing)

Akzeptieren (bewusst in Kauf nehmen)

Auswahl geeigneter Maßnahmen, z. B. aus Anhang A der ISO 27001 oder Maßnahmen, die aus den Anforderungen des IT-Grundschutz-Kompendiums abgeleitet wurden

Jeder Maßnahme bzw. jedem Risiko sollte eine verantwortliche Person zugeordnet werden.

5) Dokumentation

Ergebnisse der Risikoanalyse dokumentieren

Diese Dokumentation dient der Nachvollziehbarkeit und ist auditrelevant.

6) Regelmäßige Überprüfung/Konsolidierung

Risiken und Maßnahmen müssen regelmäßig überprüft und aktualisiert werden, z. B. bei Änderungen in der Organisation der Einrichtung oder nach Sicherheitsvorfällen.

b) Sicherheitsanforderungen in der Beschaffung

NIS-2 fordert, dass Sicherheitsaspekte bereits im Einkaufs- und Vergabeprozess berücksichtigt werden. Das kann bedeuten:

  • Mindestanforderungen an Informationssicherheit und Datenschutz,
  • strukturierte Sicherheitsfragen in Ausschreibungen.

Diese lassen sich zum Beispiel durch eine Zertifizierungen nach ISO 27001 abbilden.

Wer den Zuschlag will, sollte also künftig mehr liefern als nur einen guten Preis. 

 

c) Vertragliche Regelungen und Nachweise

Ein zentrales Instrument sind Verträge. Diese sollten mindestens folgende Themen bearbeiten:

1. Resilienz gegenüber Cyberangriffen

Ein einziger kompromittierter Zulieferer kann IT-Systeme lahmlegen, Datenlecks verursachen und dadurch den Geschäftsbetrieb stören. Je komplexer die Lieferkette, desto größer die Angriffsfläche für Cyberkriminelle.

2. Vermeidung von Schadsoftware und kompromittierter Hardware

Hat eine Lieferkette Schwachstellen, kann bereits bei der Entwicklung oder Auslieferung von Hardware oder Software Schadcode eingeschleust werden (z. B. durch manipulierte Updates oder kompromittierte Komponenten).

3. Schutz sensibler Daten und Systeme

Schwachstellen in der Informationssicherheit der Lieferkette erhöhen das Risiko für Datendiebstahl, Industriespionage oder Systemmanipulation.

4. Vertrauen in Produkte und Anbieter

Unternehmen müssen sich darauf verlassen können, dass ihre Produkte nicht kompromittiert oder manipuliert werden oder wurden. Eine vertrauenswürdige Lieferkette bedeutet: Verifizierte Herkunft, geprüfte Komponenten und nachvollziehbare Prozesse. Vorfälle gefährden nicht nur sensible Informationen, sondern auch Vertrauen, Handlungsfähigkeit und Reputation eines Unternehmens.

 

d) Monitoring und Zusammenarbeit im Incident-Management

Lieferkettensicherheit ist kein einmaliger Haken in einer Checkliste. Sie erfordert laufendes Monitoring:

  • regelmäßige Überprüfung wichtiger Dienstleister,
  • strukturierte Reviews von Nachweisen, Berichten oder Zertifikaten,
  • abgestimmte Prozesse für den Umgang mit Sicherheitsvorfällen.

Wird ein Dienstleister Opfer eines Cyberangriffs, stellt sich unter NIS-2 schnell die Frage: Welche Vorfallsmeldungen sind erforderlich und wer meldet was an wen? Ohne vorherige Abstimmung wird das im Ernstfall unangenehm.

 

 

4. Auswirkungen auf Zulieferer und Dienstleister in kritischen Sektoren

Für Zulieferer und Dienstleister ist NIS-2 eine deutliche Zäsur. Vieles, was bisher „nice to have“ war, wird nun zum Wettbewerbsfaktor und teilweise zur Voraussetzung für Geschäftsbeziehungen.

Typische Veränderungen:

  • Mehr Fragebögen und Sicherheitsabfragen
    Kundinnen und Kunden verlangen detaillierte Angaben zu technischen und organisatorischen Maßnahmen, Incident-Management, Backup-Strategien oder Zugriffsrechten.
  • Nachweise statt Absichtserklärungen
    Aussagen wie „Wir kümmern uns um IT-Sicherheit“ reichen nicht mehr. Gefordert werden dokumentierte Prozesse, Richtlinien und messbare Kontrollen.
  • Wachsende Bedeutung von Zertifizierungen
    Eine ISO 27001-Zertifizierung oder vergleichbare Standards können helfen, NIS-2-Anforderungen an Lieferkettensicherheit effizient zu adressieren. Sie sind kein Muss, aber in Ausschreibungen zunehmend ein Pluspunkt.
  • Verstärkte vertragliche Verpflichtungen
    Service Level, Reaktionszeiten, Meldewege, technische Mindeststandards. All das findet sich zunehmend in Verträgen wieder. Wer hier nicht mitziehen kann, verliert mittelfristig Aufträge.

Gerade für mittelständische Dienstleister in kritischen Sektoren kann das anstrengend wirken. Gleichzeitig eröffnet es eine klare Chance: Wer NIS-2-Anforderungen an Lieferkettensicherheit früh und sichtbar erfüllt, positioniert sich als verlässlicher Partner in einem Markt, in dem Vertrauen immer wichtiger wird.

 

 

5. Praxisbild: Wenn der Kunde plötzlich NIS-2-pflichtig wird

Icon Hersteller

Stellen Sie sich ein Softwareunternehmen vor, das eine Fachanwendung für Einrichtungen im Gesundheits- oder Sozialbereich bereitstellt – klassisch als Cloud-Service. Bisher ging es in Gesprächen mit Kundschaft vor allem um Funktionen, Preise und Support.

Mit NIS-2 ändert sich die Perspektive:

  • Eine große Einrichtung stellt fest, dass sie als „wichtige“ oder „wesentliche“ Einrichtung gilt.
  • Im Rahmen der NIS-2-Umsetzung wird die Abhängigkeit von der Fachanwendung als kritisch identifiziert.
  • Die Einrichtung fordert nun detaillierte Nachweise zur Lieferkettensicherheit: Informationssicherheitskonzept, Backup-Strategie, Incident-Response-Prozesse, Verschlüsselung, Zugriffskonzept, Meldewege.

Wer als Dienstleister darauf vorbereitet ist, kann innerhalb kurzer Zeit liefern: Richtlinien, Prozesse, ggf. ein ISMS, strukturiert dokumentiert. Wer das nicht kann, steht mit dem Rücken zur Wand, obwohl sich am eigentlichen Produkt nichts geändert hat.

 

 

6. Wie Unternehmen Lieferkettensicherheit unter NIS-2 praktisch angehen können

Ob Sie selbst unter NIS-2 fallen oder „nur“ eng mit NIS-2-pflichtigen Organisationen zusammenarbeiten: Ein strukturiertes Vorgehen hilft, den Aufwand beherrschbar zu halten.

Schritt 1: Überblick schaffen

  • Erfassen Sie Ihre wichtigsten Dienstleister und Zulieferer.
  • Markieren Sie diejenigen, die für kritische Prozesse wesentlich sind oder sensible Daten verarbeiten.
  • Prüfen Sie, welche davon möglicherweise selbst unter NIS-2 fallen.

Schritt 2: Kritikalität und Anforderungen definieren

  • Teilen Sie Dienstleister in Klassen ein. Etwa „kritisch“, „wichtig“, „unproblematisch“.
  • Legen Sie pro Klasse Mindestanforderungen fest (z. B. bestimmte Sicherheitskontrollen, Nachweise, maximale Ausfallzeiten).
  • Stimmen Sie diese Kriterien mit Informationssicherheit, Datenschutz und Compliance ab.

Schritt 3: Verträge und Prozesse überprüfen

  • Prüfen Sie bestehende Verträge auf Sicherheitsanforderungen, Meldepflichten und Auditrechte.
  • Ergänzen Sie diese, wo nötig, pragmatisch und abgestuft nach Kritikalität.
  • Richten Sie einen standardisierten Onboarding-Prozess für neue Dienstleister ein, in dem Sicherheitsfragen verbindlicher Teil der Auswahl sind.

Schritt 4: Nachweise und Monitoring etablieren

  • Vereinbaren Sie, welche Nachweise Dienstleister regelmäßig liefern sollen (z. B. Zertifikate, Prüfberichte, Sicherheitsberichte).
  • Definieren Sie klare Ansprechpersonen für Sicherheitsfragen auf beiden Seiten.
  • Verankern Sie regelmäßige Bewertungen kritischer Dienstleister im Risikomanagement.

Schritt 5: Incident-Response gemeinsam denken

  • Stimmen Sie mit wichtigen Dienstleistern ab, wie Sie im Sicherheitsvorfall zusammenarbeiten.
  • Legen Sie Meldewege, Ansprechpartner und Eskalationsstufen fest.
  • Üben Sie, sofern möglich, gemeinsam Szenarien, bei denen ein Vorfall beim Dienstleister Auswirkungen auf Ihre Organisation hat.

So wird Lieferkettensicherheit nicht zum bürokratischen Monster, sondern zu einem nachvollziehbaren Baustein im NIS-2-konformen Risikomanagement.

 

 

7. Fazit: Lieferkettensicherheit ist Gemeinschaftsaufgabe

Icon Team

NIS-2 macht deutlich, was in der Praxis längst gilt: Die Sicherheit einer Organisation endet nicht an der Firewall. Sie ist so stark wie die Summe aller Glieder in der Lieferkette.

Für NIS-2-pflichtige Unternehmen heißt das: Lieferkettensicherheit aktiv gestalten, Risiken systematisch bewerten und Anforderungen klar kommunizieren.

Für Zulieferer und Dienstleister ohne eigene unmittelbare Betroffenheit bedeutet es: NIS-2-Anforderungen nicht als lästige Hürde, sondern als Chance zu verstehen. Als Möglichkeit, Professionalität zu zeigen, Vertrauen zu stärken und sich klar von Wettbewerbern abzusetzen, die Sicherheit noch immer als Anhängsel behandeln.

Wer früh beginnt, Strukturen aufzubauen, Nachweise vorzubereiten und Lieferkettensicherheit im eigenen Risikomanagement zu verankern, hat einen klaren Vorteil: NIS-2 wird dann nicht zum Ad-hoc-Projekt unter Zeitdruck, sondern zu einem Baustein einer souveränen, verlässlichen digitalen Zusammenarbeit.

Weitere Informationen zu NIS-2 sowie unser Beratungsangebot mit Themenspezifischen Produkten finden Sie hier

chevron_left zurück zur Übersicht

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.