Skip to content

NIS2 Umsetzungsgesetz & Lieferkette: Pflichten, Haftung und Compliance für Unternehmen

NIS-2 und Lieferkette

Die Die NIS-2 Richtlinie und deren nationale Umsetzung durch das NIS2UmsuCG bringt weitreichende neue Anforderungen an die Cybersicherheit mit sich. Unternehmen, die unter den Anwendungsbereich von NIS-2 fallen, müssen nicht nur ihre eigenen Prozesse, IT‑Systeme und Sicherheitsmaßnahmen auf ein höheres Sicherheitsniveau bringen, sie müssen auch die Sicherheit ihrer gesamten Lieferkette im Blick behalten.

Gerade die Lieferkette stellt heute häufig einen der größten Einfallstore für Cyberangriffe dar. Angriffe auf Dienstleister oder IT‑Provider sind für Cyberkriminelle attraktiv, weil sie dadurch Zugang zu vielen Unternehmen gleichzeitig erhalten. Bekannte Beispiele aus der Vergangenheit zeigen, dass bereits ein einziges schwaches Glied in der Lieferkette ausreicht, um ein ansonsten gut geschütztes Unternehmen zu kompromittieren.

Indirekte Betroffenheit: Warum NIS-2 auch Nicht-KRITIS-Lieferanten trifft

Über die Anforderung, Sicherheit in der Lieferkette zu gewährleisten, landet die gesetzliche Pflicht zur Cybersicherheit, die für „wesentliche und wichtige Einrichtungen“ gilt, zumindest als vertragliche Verpflichtung bei allen Lieferanten von NIS-2-pflichtigen Unternehmen. Diese haben daher für Cybersicherheit im Unternehmen zu sorgen, unabhängig davon, ob sie selbst NIS-2‑pflichtig sind oder nicht. Damit können Unternehmen, die eigentlich nicht direkt unter NIS-2 fallen, dennoch mittelbar verpflichtet sein, erhöhte IT‑Sicherheitsstandards einzuhalten – allein deshalb, weil sie Leistungen für ein NIS-2‑pflichtiges Unternehmen erbringen.

Das entspricht auch den Vorgaben aus dem KRITIS‑UmfeldMaßgeblich sind diesbezüglich insbesondere die „Best Practice Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in Kritischen Infrastrukturen“ (Version 4.0, UP KRITIS): Wenn der Dienstleister die Themen Informations- und IT-Sicherheit, sowie Datenschutz nicht bereits in seinem Standard-Portfolio ausreichend nach dem Stand der Technik auf dem Niveau für die IT der kritischen Dienstleistungen des jeweiligen Unternehmens unterstützt und nachweist, wird von Branchenverbänden dringend empfohlen, diesen Service nicht einzusetzen.

NIS-2 sorgt damit für die Übertragung dieses Grundsatzes in einen europaweiten, branchenübergreifenden Rechtsrahmen: Lieferanten müssen ein Sicherheitsniveau nachweisen können, das den Anforderungen des Auftraggebers entspricht – ansonsten gefährden sie dessen Compliance.

Warum die Lieferkette ein kritischer Angriffsvektor ist

Viele erfolgreiche Cyberangriffe der letzten Jahre hatten einen ähnlichen Ursprung: Der Angriff erfolgte nicht auf das eigentliche Zielunternehmen, sondern über einen weniger gut geschützten Dienstleister.

Typische Szenarien sind kompromittierte Software‑Updates, manipulierte Cloud‑Dienste oder der Missbrauch von Wartungszugängen. Je stärker Unternehmen vernetzt sind, desto größer ist die Angriffsfläche. NIS-2 setzt deshalb bewusst auf ein ganzheitliches Sicherheitsverständnis und verpflichtet Unternehmen, die Risiken ihrer Lieferanten systematisch zu kontrollieren. NIS-2 verschärft hierbei auch die Geschäftsführerhaftung: Die Leitungsebene ist nun persönlich verpflichtet, die Überwachung der Risikomanagementmaßnahmen sicherzustellen.

NIS-2 Compliance-Checkliste: Verträge, Audits und Bußgelder im Griff

Um NIS-2‑konform zu handeln, benötigen Unternehmen einen strukturierten Prozess zur Bewertung und Überwachung ihrer Lieferanten. Dazu gehört eine Risikoanalyse der eingesetzten Dienstleister, die Prüfung ihrer technischen und organisatorischen Sicherheitsmaßnahmen sowie eine kontinuierliche Überwachung der Einhaltung dieser Standards. Eine Vernachlässigung dieser Prüfung kann nicht nur zu Sicherheitslücken, sondern auch zu empfindlichen Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes führen.

Ein zentraler Bestandteil der NIS-2‑Compliance ist die vertragliche Absicherung. Unternehmen sollten vertragliche Mindeststandards zur Informationssicherheit festlegen, einschließlich Vorgaben zur Incident‑Meldung, Audit‑Rechten, Sicherheitszertifizierungen und Pflichten für Sub‑Dienstleister. Ohne klare vertragliche Grundlagen – etwa mit IT-Dienstleistern – lässt sich die eigene NIS-2‑Verantwortung kaum rechtssicher erfüllen.

Unterstützung bei NIS-2‑Pflichten: Fokus Lieferkettenprüfung

Viele Unternehmen stehen nun vor der Herausforderung, ihre Lieferantenbeziehungen, ihre Prozesse und ihre Verträge an die Anforderungen von NIS-2 anzupassen. Wir unterstützen Sie dabei umfassend – rechtlich fundiert und praxisorientiert.

Unsere Leistungen umfassen unter anderem:

  • die Analyse Ihrer bestehenden Lieferantenverhältnisse,
  • die Entwicklung eines NIS-2‑konformen Supplier‑Management‑Prozesses,
  • die Erstellung oder Überarbeitung Ihrer Vertragsklauseln,
  • die Prüfung, Bewertung und Auditierung von Dienstleistern sowie
  • die strategische Beratung zur Cybersicherheit entlang der gesamten Lieferkette.

Mit einem klar strukturierten Ansatz stellen Sie sicher, dass Ihre Lieferkette nicht zum Sicherheitsrisiko wird und dass Sie Ihre NIS-2‑Pflichten zuverlässig erfüllen. Wir arbeiten eng mit technischen Sicherheitsanbietern zusammen, um eine reibungslose und ganzheitliche NIS-2‑Compliance sicherzustellen, da diese sowohl juristisches als auch technisches Fachwissen erfordert.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN
Logo 25 Jahre Rickert Rechtsanwaltsgesellschaft