NIS-2 und die Lieferkette: Warum Unternehmen jetzt genauer hinschauen müssen
Die NIS-2‑Richtlinie bringt weitreichende neue Anforderungen an die Cybersicherheit mit sich. Unternehmen, die unter den Anwendungsbereich von NIS-2 fallen, müssen nicht nur ihre eigenen Prozesse, IT‑Systeme und Sicherheitsmaßnahmen auf ein höheres Sicherheitsniveau bringen, sie müssen auch die Sicherheit ihrer gesamten Lieferkette im Blick behalten.
Gerade die Lieferkette stellt heute häufig einen der größten Einfallstore für Cyberangriffe dar. Angriffe auf Dienstleister oder IT‑Provider sind für Cyberkriminelle attraktiv, weil sie dadurch Zugang zu vielen Unternehmen gleichzeitig erhalten. Bekannte Beispiele aus der Vergangenheit zeigen, dass bereits ein einziges schwaches Glied in der Lieferkette ausreicht, um ein ansonsten gut geschütztes Unternehmen zu kompromittieren.
NIS-2 betrifft nicht nur die betroffenen Unternehmen, sondern auch deren Lieferanten
Über die Anforderung, Sicherheit in der Lieferkette zu gewährleisten, landet die gesetzliche Pflicht der NIS-2-pflichtigen Unternehmen zur Cybersicherheit zumindest als vertragliche Verpflichtung bei allen Lieferanten von NIS-2-pflichtigen Unternehmen. Diese haben daher für Cybersicherheit im Unternehmen zu sorgen, unabhängig davon, ob sie selbst NIS-2‑pflichtig sind oder nicht. Damit können Unternehmen, die eigentlich nicht direkt unter NIS-2 fallen, dennoch mittelbar verpflichtet sein, erhöhte IT‑Sicherheitsstandards einzuhalten – allein deshalb, weil sie Leistungen für ein NIS-2‑pflichtiges Unternehmen erbringen.
Das entspricht auch den Vorgaben aus dem KRITIS‑Umfeld. Maßgeblich sind diesbezüglich insbesondere die „Best Practice Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in Kritischen Infrastrukturen“ (Version 4.0, UP KRITIS): Wenn der Dienstleister die Themen Informations- und IT-Sicherheit, sowie Datenschutz nicht bereits in seinem Standard-Portfolio ausreichend nach dem Stand der Technik auf dem Niveau für die IT der kritischen Dienstleistungen des jeweiligen Unternehmens unterstützt und nachweist, wird von Branchenverbänden dringend empfohlen, diesen Service nicht einzusetzen.
NIS-2 sorgt damit für die Übertragung dieses Grundsatzes in einen europaweiten, branchenübergreifenden Rechtsrahmen: Lieferanten müssen ein Sicherheitsniveau nachweisen können, das den Anforderungen des Auftraggebers entspricht – ansonsten gefährden sie dessen Compliance.
Warum die Lieferkette ein kritischer Angriffsvektor ist
Viele erfolgreiche Cyberangriffe der letzten Jahre hatten einen ähnlichen Ursprung: Der Angriff erfolgte nicht auf das eigentliche Zielunternehmen, sondern über einen weniger gut geschützten Dienstleister.
Typische Szenarien sind kompromittierte Software‑Updates, manipulierte Cloud‑Dienste oder der Missbrauch von Wartungszugängen. Je stärker Unternehmen vernetzt sind, desto größer ist die Angriffsfläche. NIS-2 setzt deshalb bewusst auf ein ganzheitliches Sicherheitsverständnis und verpflichtet Unternehmen, die Risiken ihrer Lieferanten systematisch zu kontrollieren.
Was Unternehmen jetzt tun müssen: Lieferanten prüfen, Standards definieren, Verträge modernisieren
Um NIS-2‑konform zu handeln, benötigen Unternehmen einen strukturierten Prozess zur Bewertung und Überwachung ihrer Lieferanten. Dazu gehört eine Risikoanalyse der eingesetzten Dienstleister, die Prüfung ihrer technischen und organisatorischen Sicherheitsmaßnahmen sowie eine kontinuierliche Überwachung der Einhaltung dieser Standards.
Ein zentraler Bestandteil der NIS-2‑Compliance ist die vertragliche Absicherung. Unternehmen sollten vertragliche Mindeststandards zur Informationssicherheit festlegen, einschließlich Vorgaben zur Incident‑Meldung, Audit‑Rechten, Sicherheitszertifizierungen und Pflichten für Sub‑Dienstleister. Ohne klare vertragliche Grundlagen – etwa mit IT-Dienstleistern – lässt sich die eigene NIS-2‑Verantwortung kaum rechtssicher erfüllen.
Unterstützung bei NIS-2‑Pflichten: Fokus Lieferkettenprüfung
Viele Unternehmen stehen nun vor der Herausforderung, ihre Lieferantenbeziehungen, ihre Prozesse und ihre Verträge an die Anforderungen von NIS-2 anzupassen. Wir unterstützen Sie dabei umfassend – rechtlich fundiert und praxisorientiert.
Unsere Leistungen umfassen unter anderem:
- die Analyse Ihrer bestehenden Lieferantenverhältnisse,
- die Entwicklung eines NIS-2‑konformen Supplier‑Management‑Prozesses,
- die Erstellung oder Überarbeitung Ihrer Vertragsklauseln,
- die Prüfung, Bewertung und Auditierung von Dienstleistern sowie
- die strategische Beratung zur Cybersicherheit entlang der gesamten Lieferkette.
Mit einem klar strukturierten Ansatz stellen Sie sicher, dass Ihre Lieferkette nicht zum Sicherheitsrisiko wird und dass Sie Ihre NIS-2‑Pflichten zuverlässig erfüllen. Wir arbeiten eng mit technischen Sicherheitsanbietern zusammen, um eine reibungslose und ganzheitliche NIS-2‑Compliance sicherzustellen, da diese sowohl juristisches als auch technisches Fachwissen erfordert.
