Die meisten Organisationen glauben, dass sie Lieferantensicherheit betreiben. Das stimmt nicht. Sie haben Tabellen, veraltete Fragebögen und blindes Vertrauen in Cloud-Anbieter.
NIS 2 ändert alles. Im neuen Rechtsrahmen ist das Risiko durch Dritte keine optionale Angelegenheit mehr ; es ist reguliert, prüfbar und durchsetzbar. Wenn ein Lieferant versagt, Sie sind verantwortlich.
So setzen Sie Supply-Chain-Sicherheit unter NIS 2 richtig um.
NIS2 does not care how big your supplier is, what logo they have, or whether they’re “ISO certified.” Regulierungsbehörden prüfen, ob:
- Sie Ihre kritischen Abhängigkeiten identifiziert haben
- Sie diese bewertet haben
- Sie diese überwachen
- Sie diese vertraglich steuern
- Sie im Falle eines Ausfalls einen Ausstieg vollziehen können
- Sie ohne diese weiterhin operieren können
Das ist kein Lieferantenmanagement ; es ist operative Resilienz über Ihr gesamtes digitales Ökosystem.
Im Folgenden werden die konkreten Anforderungen erläutert.
1. Beginnen Sie mit Abhängigkeitsmapping (Der eigentliche blinde Fleck)
Sie können nicht bewerten, was Sie nicht sehen. Ihre erste Pflicht unter NIS 2 ist die Erfassung Ihrer Drittparteienabhängigkeiten.
Sie müssen folgende Bereiche kartieren:
- Ihre direkten SaaS-Anbieter
- Ihre MSPs / IT-Dienstleister
- Ihre Cloud-Plattformen
- Ihre Zahlungsdienstleister
- Ihre OT- & IoT-Anbieter (sofern relevant)
- Ihre Hosting-Umgebungen
- Ihre Subunternehmer
- die von Ihren Lieferanten eingesetzten Unterauftragsverarbeiter
Bleiben Sie nicht bei Tier 1 stehen. Ein SaaS-Anbieter, der seinerseits auf einen anderen SaaS-Anbieter angewiesen ist, bleibt Ihre Abhängigkeit.
Praxisbeispiel: Ein Unternehmen bestand ein NIS 2-Pilotaudit allein deshalb, weil es eine vollständige Abhängigkeitskarte vorweisen konnte ; noch bevor vollständige Sicherheitskontrollen vorhanden waren.
Transparenz ist Ihr erstes Ergebnis.
2. Klassifizieren Sie Ihre Lieferanten (Kritisch, Wichtig, Nicht-Kritisch)
NIS 2 verlangt eine risikobasierte Priorisierung.
Verwenden Sie ein einfaches, verteidigbares Drei-Ebenen-Modell:
Kritisch
Wenn dieser Lieferant ausfällt, kommt der Betrieb zum Stillstand. Beispiele: Cloud-Hosting, Kern-SaaS, Identity-Provider, MSPs.
Wichtig
Störungen beeinträchtigen Effizienz, Sicherheit oder rechtliche Verpflichtungen. Beispiele: HR-Plattformen, CRM, Lohnbuchhaltung, Zahlungsabwicklung.
Nicht-Kritisch
Ein Ausfall ist beherrschbar. Beispiele: Marketing-Tools, unkritische Analysetools.
Hinweis: Die Klassifizierung erfolgt anhand Ihrer geschäftlichen Auswirkungen ; nicht anhand der Größe oder des Rufs des Lieferanten.
3. Führen Sie strukturierte Risikobewertungen durch (Pflicht unter NIS 2)
Für kritische und wichtige Lieferanten müssen Sie eine dokumentierte, prüfbare Risikobewertung erstellen.
Bewerten Sie:
- Sicherheitsstatus (Kontrollen)
- Resilienzstatus (BC/DR)
- Vorfallshistorie
- Datensensitivität
- regulatorische Exposition
- Subunternehmerketten
- Cloud-Regionsrisiken
- Konzentrationsrisiko
- Ausstiegsmöglichkeit
Ergebnisse:
Eine klare, datierte Bewertung mit Belegen.
Hilfreiche Tools:
- Eramba (bestes Preis-Leistungs-Verhältnis)
- CISO Assistant (leichtgewichtig)
- OneTrust (Enterprise)
- Vanta/Drata (automatisierungsgetrieben, Mittelstand)
Hinweis: Beginnen Sie mit den Top-10-Lieferanten ; weiten Sie den Scope anschließend aus.
4. Fügen Sie verbindliche NIS 2-Vertragsklauseln hinzu
Dies ist eine der größten Neuerungen. NIS 2 verpflichtet Sie, Cybersicherheitsanforderungen vertraglich durchzusetzen.
Ihre Verträge müssen Folgendes enthalten:
- Sicherheitsanforderungen
- Anforderungen an Logging & Monitoring
- Fristen für die Vorfallsmeldung
- Transparenz bei Unterauftragsverarbeitern
- Audit- oder Prüfungsrecht
- BC/DR-Anforderungen
- Transparenz zum Datenspeicherort
- Ausstiegs- und Übergangspläne
Praxisbeispiel: Ein Finanzinstitut lehnte einen SaaS-Anbieter ab, weil dieser seine Unterauftragsverarbeiter nicht offenlegen konnte ; die Aufsichtsbehörde hätte die Geschäftsbeziehung ohnehin abgelehnt.
Wenn ein Anbieter vertragliche Pflichten ablehnt, ist er für Sie nicht NIS 2-konform.
5. Bewerten Sie Cloud- und MSP-Anbieter mit besonderer Sorgfalt
Cloud-Dienste und MSPs gelten unter NIS 2 als Hochrisiko-Abhängigkeiten.
Sie müssen bewerten:
- regionale Redundanz
- DR-Fähigkeiten
- Ausfallhistorie
- Eskalationszusagen
- SOC/SIEM-Integration
- Modell für privilegierten Zugriff
- Subunternehmer (z. B. Drittanbieter-DB-Hosting)
- Ausstiegsstrategie
- Datenlokalisierung
NIS 2 erwartet eine tiefgehende Überprüfung für Cloud- und MSP-Anbieter ; keine Checkbox-Fragebögen.
6. Implementieren Sie kontinuierliches Monitoring (Jährliche Befragungen reichen nicht aus)
Lieferantenrisiko ist kein jährlicher Fragebogen mehr. NIS 2 erwartet eine laufende Überwachung.
Ansätze für kontinuierliches Monitoring:
- Quartalsreviews
- Überwachung von Cloud Trust Centers / Statusseiten
- Beobachtung von CIS-Sicherheitsempfehlungen
- automatisiertes Security Scoring (begrenzt, aber nützlich)
- Neubewertung nach jedem größeren Vorfall
- Überwachung von Änderungen bei Subunternehmern
- laufende SLA-Überprüfung
Wenn Sie Lieferanten nur einmal jährlich neu bewerten, sind Sie nicht NIS 2-bereit.
7. Entwickeln Sie eine Ausstiegsstrategie für kritische Anbieter
NIS 2 fördert operative Resilienz ; das bedeutet, Sie müssen den Betrieb auch dann aufrechterhalten können, wenn ein Anbieter ausfällt.
Ein Ausstiegsplan umfasst:
- wie Sie Ihre Daten exportieren
- wie Sie den Dienst neu aufbauen
- am Markt verfügbare Alternativen
- Migrationsaufwand
- Zeitpläne
- technische Hindernisse
- vertragliche Offboarding-Unterstützung
Cloud-Ausstieg ist Pflicht.SaaS-Ausstieg wird für kritische Tools erwartet.
Wenn Sie einen Lieferanten nicht verlassen können, ist dieser Lieferant ein regulatorisches Risiko.
8. Integrieren Sie Drittparteienrisiken in Ihren Incident-Response-Plan
Wenn ein Lieferant einen Vorfall hat, haben Sie einen Vorfall.
Ihr IRP muss Folgendes enthalten:
- Eskalationskontakte bei Lieferantenvorfällen
- Meldeworkflows innerhalb von 24h/72h
- Mapping von Abhängigkeitskritikalität
- Cloud-Vorfallsszenarien
- MSP-Sicherheitsverletzungsszenarien
- Kommunikationsplan
- Verfahren zur Beweissicherung
Eine Aufsichtsbehörde wird fragen: “How do you handle a breach in a supplier you don’t control?”
Die Antwort muss dokumentiert vorliegen.
9. Dokumentieren Sie alles: Nachweise sind der Beweis Ihrer Konformität
NIS 2-Konformität bedeutet die Fähigkeit, Folgendes vorzuweisen:
- Bewertungen
- Verträge
- Monitoring-Protokolle
- Besprechungsprotokoll
- Maßnahmen zur Behebung von Mängeln
- Ausstiegspläne
- IRP-Aktualisierungen
- Lieferantenklassifizierung
- Abhängigkeitskarten
Was nicht versioniert und in Ihrer Nachweisbibliothek gespeichert ist, existiert nicht.
Abschließende Überlegung
NIS2 turns supply chain security from a “nice program to have” into a regulatorischen Verpflichtung mit Konsequenzen.
Konformität erfordert:
- Transparenz über Abhängigkeiten
- Priorisierung von Lieferanten
- strukturierte Bewertungen
- vertragliche Kontrollen
- kontinuierliches Monitoring
- Incident-Readiness
- Ausstiegsstrategien
- Nachweise
Wer seine Lieferkette gut steuert, macht NIS 2 zu einem Vorteil. Wer das nicht tut, verwandelt sie in die größte Angriffsfläche seiner Organisation ; und in das erste Thema der Aufsichtsbehörde.
Supply-Chain-Sicherheit ist heute Teil Ihrer operativen Identität. Behandeln Sie sie entsprechend.
Wer ein vollständiges, praxisorientiertes Playbook für NIS 2-Lieferanten-Governance sucht ; von der Klassifizierung bis zu Ausstiegsplänen ; genau das vermitteln wir im Cyber Academy Lead Implementer. Nehmen Sie an der nächsten Session teil und sichern Sie Ihr digitales Ökosystem.
