Die NIS2-Richtlinie erkennt an, dass Cyberangriffe oft nicht direkt auf das Zielunternehmen erfolgen, sondern über Schwachstellen in der Lieferkette. Ein prominentes Beispiel ist der SolarWinds-Hack 2020, bei dem Angreifer Software-Updates eines IT-Dienstleisters kompromittierten und so Zugang zu tausenden Unternehmen erhielten.
NIS2 fordert daher von betroffenen Unternehmen, die Cybersicherheit ihrer direkten Zulieferer und Dienstleister (Art. 21 Abs. 2 lit. d) zu bewerten und in das eigene Risikomanagement einzubeziehen. Dies gilt sowohl für IT-Dienstleister als auch für Lieferanten von Produktionskomponenten, die Software enthalten (z.B. Maschinensteuerungen).
Welche Lieferketten-Risiken bestehen?
1. Kompromittierte Software-Updates
Angreifer infiltrieren den Update-Mechanismus eines Softwareanbieters und verteilen Malware an alle Kunden.
Beispiele: SolarWinds-Hack (2020), CCleaner-Hack (2017)
2. Unsichere Cloud-Dienstleister
Ein Cloud-Anbieter wird gehackt, wodurch Daten oder Systeme der Kunden kompromittiert werden.
Beispiele: Microsoft Exchange-Lücken (2021), MOVEit-Transfer-Hack (2023)
3. Hardware-Backdoors
Hardware-Komponenten (z.B. Netzwerkgeräte) enthalten versteckte Hintertüren, die Angreifer ausnutzen können.
Beispiel: Debatte um chinesische Telekom-Ausrüster (Huawei, ZTE)
4. Phishing über Zulieferer
Angreifer kompromittieren einen Zulieferer und nutzen dessen E-Mail-Kommunikation, um Kunden mit Phishing-Mails zu täuschen.
Fachbegriff: Business Email Compromise (BEC)
5. Ausfall kritischer Zulieferer
Ein Zulieferer wird selbst Opfer eines Cyberangriffs und kann seine Leistung nicht mehr erbringen.
Beispiel: Produktionsstillstand durch Ransomware beim Logistikpartner
Was fordert NIS2 konkret?
Art. 21 NIS2-Richtlinie verlangt angemessene und verhältnismäßige technische und organisatorische Maßnahmen zur Sicherung der Lieferkette. Die Durchführungsverordnung (EU) 2024/2690 konkretisiert diese Pflichten für bestimmte Einrichtungen des digitalen Sektors (u. a. Cloud-, Rechenzentrums-, DNS- und Managed-Service-Anbieter); für andere Sektoren dient sie als Orientierung – ergänzt durch praktische Guidance der ENISA.
Gesetzliche Bewertungskriterien (Art. 21 Abs. 3)
Bei der Risikobewertung direkter Zulieferer müssen laut Richtlinie drei Kriterien berücksichtigt werden:
- Spezifische Schwachstellen jedes einzelnen direkten Zulieferers und Diensteanbieters
- Gesamtqualität der Produkte und Cybersicherheitspraxis der Zulieferer, einschließlich ihrer sicheren Entwicklungsverfahren
- Ergebnisse koordinierter Risikobewertungen kritischer Lieferketten (nach Art. 22), soweit verfügbar
Koordinierte EU-Risikobewertung (Art. 22)
Die EU kann koordinierte Sicherheitsrisikobewertungen bestimmter kritischer Lieferketten durchführen. Betroffene Einrichtungen müssen die Ergebnisse dieser Bewertungen berücksichtigen, wenn sie ihre eigene Lieferketten-Sicherheit bewerten.
1. Risikobewertung der Lieferkette
Unternehmen müssen systematisch analysieren, welche direkten Zulieferer kritisch für den Betrieb sind:
- Welche Dienstleister haben Zugriff auf kritische Systeme?
- Welche Software-Komponenten werden von Drittanbietern bezogen?
- Gibt es Single Points of Failure in der Supply Chain?
- Welche Zulieferer verarbeiten sensible Daten?
2. Sicherheitsanforderungen an Zulieferer
Art. 21 verlangt angemessene und verhältnismäßige Maßnahmen – folgende Standards und Praktiken erfüllen diesen Anspruch und werden als Praxisempfehlung betrachtet:
- Zertifizierungen (z.B. ISO 27001, SOC 2)
- Regelmäßige Penetrationstests
- Verschlüsselte Datenübertragung (mindestens TLS 1.2, empfohlen TLS 1.3)
- Incident-Response-Prozesse
- Datenlöschung nach Vertragsende
3. Regelmäßige Audits (Praxisempfehlung)
Die Einhaltung der Sicherheitsanforderungen sollte regelmäßig überprüft werden. NIS2 schreibt keine konkreten Audit-Frequenzen vor – die folgenden Intervalle sind branchenübliche Praxis:
- Selbstauskünfte: Jährliche Fragebögen an Zulieferer
- Audits: Vor Ort oder remote (bei kritischen Zulieferern)
- Zertifikate prüfen: Einsicht in ISO 27001, SOC 2 Type II Reports
4. Verträge anpassen (Praxisempfehlung)
Bestehende Verträge mit direkten Zulieferern sollten um NIS2-relevante Klauseln erweitert werden. Die Richtlinie schreibt keine konkreten Vertragsklauseln vor, aber folgende sind empfehlenswert:
- Meldepflicht bei Sicherheitsvorfällen (binnen 24h)
- Recht auf Sicherheitsaudits
- Haftung bei Sicherheitsverstößen
- Kündigungsrecht bei schweren Sicherheitsmängeln
Praxisbeispiel: Bewertung eines Cloud-Dienstleisters
Schritt 1: Kritikalität bewerten
Frage: Wie kritisch ist der Dienstleister für unser Geschäft?
- Hoch: Produktionssysteme, Kundendatenbank, ERP-System
- Mittel: Marketing-Tools, CRM, Projektmanagement
- Niedrig: Newsletter-Software, Social-Media-Tools
Schritt 2: Sicherheitsniveau prüfen
Checkliste:
- ISO 27001-Zertifizierung vorhanden?
- SOC 2 Type II Report verfügbar? (nicht älter als 12 Monate)
- DSGVO-konforme Datenverarbeitung (AVV vorhanden)?
- Verschlüsselte Speicherung (at rest) und Übertragung (in transit)?
- Multi-Faktor-Authentifizierung (MFA) verpflichtend?
- Regelmäßige Penetrationstests (mindestens jährlich)?
- Backup & Disaster Recovery (RPO/RTO definiert)?
- Incident-Response-Prozess dokumentiert?
Schritt 3: Vertragliche Absicherung
Mindestanforderungen im Vertrag:
- Meldepflicht bei Sicherheitsvorfällen binnen 24h
- Jährliches Audit-Recht (angekündigt oder unangekündigt)
- Haftung bei Datenpannen (Schadenersatz bis €X)
- Datenlöschung binnen 30 Tagen nach Kündigung
- Subunternehmer-Genehmigung (keine Weitergabe ohne Zustimmung)
Schritt 4: Laufendes Monitoring
Regelmäßige Überprüfung:
- Quartalsweise: Selbstauskunft zu Sicherheitsvorfällen
- Jährlich: Zertifikate verlängert? Audit-Reports aktuell?
- Bei Bedarf: On-Demand-Audits bei kritischen Änderungen (z.B. Umzug in neues Rechenzentrum, Übernahme durch anderen Konzern)
Häufige Fehler bei der Lieferketten-Sicherheit
1. "Wir haben eine AVV, das reicht"
Falsch! Die Auftragsverarbeitung nach DSGVO (AVV) deckt nur Datenschutz ab. NIS2 fordert darüber hinaus IT-Sicherheitsmaßnahmen(z.B. Incident Response, Backup-Strategie, Penetrationstests).
2. "Kleine Zulieferer sind nicht kritisch"
Falsch! Auch ein kleiner IT-Dienstleister kann zum Single Point of Failure werden, wenn er Zugang zu kritischen Systemen hat (z.B. Wartung der Produktionssteuerung, Verwaltung der Cloud-Infrastruktur).
3. "Zertifikate = Sicherheit"
Teilweise richtig. ISO 27001 ist ein guter Indikator, aber keine Garantie. Zusätzlich sollten Penetrationstests und Incident-Response-Prozessegeprüft werden. Auch zertifizierte Unternehmen können gehackt werden!
4. "Einmal prüfen genügt"
Falsch! Das Sicherheitsniveau kann sich ändern (z.B. durch Übernahmen, Personalwechsel, neue Technologien, Outsourcing). Regelmäßige Re-Auditssind angezeigt – NIS2 schreibt jedoch keine feste Frequenz vor (Art. 21 verlangt laufendes Risikomanagement; jährlich ist branchenübliche Praxis).
Tools zur Lieferketten-Bewertung
Die NIS2-Lieferketten-Anforderungen lassen sich direkt mit ComplianceScan umsetzen: Im NIS2-Assistenten erfassen und bewerten Sie kritische Zulieferer strukturiert (Dienstleistung, Land, Risiko-Stufe, Vertragsreferenz, Sicherheitsbewertung, Cyberklauseln) und dokumentieren das Ergebnis prüfsicher. Für das technische Security-Rating einzelner Anbieter ergänzen spezialisierte Drittlösungen:
1. Security-Rating-Plattformen
Kommerzielle Plattformen bewerten Zulieferer automatisiert anhand öffentlich beobachtbarer Signale – etwa IP-Reputation, offene Ports, TLS-/SSL-Konfiguration, bekannte Schwachstellen (CVEs) und Patch-Stand. Sie liefern ein fortlaufendes Außen-Rating, ersetzen aber keine vertragliche und organisatorische Absicherung.
2. Fragebögen (Self-Assessment)
Standardisierte Sicherheitsfragebögen helfen, Zulieferer strukturiert zu bewerten:
- CAIQ (Cloud Security Alliance): 260+ Fragen zu Cloud-Security (Version 4)
- SIG (Shared Assessments): 1.500+ Fragen (sehr umfangreich)
- Custom Questionnaires: Auf Ihr Unternehmen zugeschnittene Fragebögen
3. Vertragsmanagement-Software
Vertrags- und Lifecycle-Management-Tools können Ablaufdaten von Zertifikaten und Sicherheitsnachweisen tracken, Re-Audits terminieren und vereinbarte Security-Klauseln zentral verwalten – nützlich, um die Zulieferer-Dokumentation aktuell zu halten.
FAQ zu Lieferketten-Sicherheit
Haftet mein Unternehmen, wenn ein Zulieferer gehackt wird?
Möglich, ja – allerdings nicht für den Vorfall beim Zulieferer als solchen, sondern wenn Sie Ihre eigene Sorgfaltspflicht verletzt haben (z.B. kein Risikoassessment durchgeführt, unsichere Zulieferer trotz bekannter Mängel weiter genutzt). NIS2 verlangt von Ihnen, Zulieferer-Risiken proaktiv zu managen.
Vertragliche Haftungsklauseln können das finanzielle Risiko reduzieren, befreien aber nicht von der Pflicht zur Prüfung. Die NIS2-Bußgelder können trotzdem anfallen!
Muss ich alle Zulieferer prüfen?
Nein, priorisieren Sie nach Kritikalität:
- Kritisch: Systeme mit Zugang zu Produktions- oder Kundendaten, Single Points of Failure
- Mittel: Systeme mit begrenztem Schadenspotenzial (z.B. CRM ohne sensible Daten)
- Niedrig: Office-Software, Marketing-Tools (kein Zugang zu kritischen Daten)
Fokussieren Sie Ressourcen auf kritische Zulieferer – das sind typischerweise 10-20% aller Lieferanten.
Was tun bei Sicherheitsmängeln eines Zulieferers?
Eskalationsstufen:
- Mahnung: Mängel schriftlich dokumentieren, Frist zur Behebung setzen (z.B. 30 Tage bei unkritischen, 7 Tage bei kritischen Mängeln)
- Audit: Bei Nicht-Behebung externes Audit beauftragen (auf Kosten des Zulieferers, wenn vertraglich vereinbart)
- Alternativen prüfen: Parallel nach sichereren Anbietern suchen, Migrationsplan erstellen
- Kündigung: Bei schweren Mängeln oder Nicht-Kooperation Vertrag kündigen (sofern vertraglich möglich, Kündigungsfrist beachten!)
Gilt Lieferketten-Sicherheit auch in Österreich und der Schweiz?
Ja – die Lieferketten-Anforderungen gelten überall, wo NIS2 umgesetzt wurde: Deutschland (NIS2UmsuCG, seit 6.12.2025), Österreich (NISG 2026, ab 1.10.2026). → Details zur nationalen Umsetzung
Schweiz: NIS2 gilt nicht direkt, aber seit 1. April 2025 besteht eine 24-Stunden-Meldepflicht für Cyberangriffe auf kritische Infrastrukturen an das BACS. Bei EU-Geschäft können NIS2-Anforderungen zudem vertraglich relevant werden.