Zum Hauptinhalt springen Skip to page footer

NIS2: Ihre IT ist sicher – aber wie steht es um Ihre Lieferkette?

Die neue EU-Richtlinie fordert nicht nur Schutz der eigenen Systeme, sondern auch strenge Anforderungen an Dienstleister und digitale Zulieferer.

Warum Drittparteien zum Risikofaktor werden können – und wie Sie Ihre Lieferkette jetzt strukturiert absichern, lesen Sie im aktuellen Blogartikel.

Die NIS2-Richtlinie der EU bringt frischen Wind in die IT-Sicherheitsanforderungen – und eine neue Perspektive: Nicht nur die eigene IT-Infrastruktur muss geschützt werden, sondern auch die digitale Lieferkette eines Unternehmens. Insbesondere mittelständische Unternehmen in Bereichen wie Logistik, Produktion oder digitale Infrastruktur stehen vor der Herausforderung, ihre Dienstleister und Zulieferer in die Sicherheitsstrategie einzubeziehen. NIS2 erweitert den Geltungsbereich auf 15 Sektoren und erhöht die Anforderungen deutlich. Was bedeutet das konkret? Dieser Artikel beleuchtet, warum NIS2 nicht an der eigenen Firmen-IT Halt macht, wie Risiken in der Lieferkette entstehen, welche Pflichten NIS2 in Bezug auf Drittparteien auferlegt und wie Unternehmen pragmatisch vorgehen können, um ihre Supply Chain digital abzusichern.

NIS2: Cybersicherheit endet nicht an der eigenen Firewall

Viele Unternehmen investieren bereits erheblich in die Sicherheit ihrer internen IT – von Firewalls über Monitoring bis hin zu Notfallplänen und Awareness-Schulungen. Dabei entsteht jedoch oft die trügerische Illusion, man hätte das Risiko vollständig im Griff, solange das eigene Firmennetzwerk dicht ist. Die Realität sieht anders aus: Moderne Geschäftsmodelle sind ohne externe IT-Dienstleister, Cloud-Anbieter, Software-Zulieferer und Subunternehmer kaum denkbar. Genau hier lauern große Ungewissheiten und Risiken.

NIS2 reagiert auf diese Entwicklung und stellt klar, dass Cybersicherheit nicht an der Unternehmensgrenze aufhört. Die Richtlinie verpflichtet Unternehmen, ihre Liefer- und Dienstleisterketten strategisch neu zu bewerten – externe Abhängigkeiten werden explizit als Teil der Sicherheitsarchitektur gesehen und zur Management-Verantwortung erklärt. Konkret weitet NIS2 den Fokus über die eigene IT hinaus aus: Drittparteien wie direkte Dienstleister und deren nachgelagerte Unterauftragnehmer rücken mit ins Visier. Entscheidend ist nicht mehr, ob ein Sicherheitsvorfall intern oder extern seinen Ursprung hat, sondern welche Auswirkung er auf kritische Geschäftsprozesse hat. Mit anderen Worten: Wer z.B. wesentliche Prozesse an einen Cloud-Provider auslagert, bleibt dennoch in der Verantwortung, die dadurch entstehenden Risiken zu beherrschen.

Lieferkettenrisiken – Entstehung und besondere Kritikalität

Warum sind Lieferketten und Dienstleister aus Sicht der IT-Sicherheit so kritisch? Angreifer wählen zunehmend diesen Weg, weil sie wissen, dass sie über schwächere Glieder in der Kette leichter ans Ziel kommen. Studien und Vorfallsanalysen zeigen seit Jahren, dass immer häufiger Dritte als Einfallstor dienen. Einige Gründe dafür:

  • Privilegierter Zugang: Externe Partner erhalten oft weitreichende Zugriffe auf Systeme oder sensible Daten und sind tief in die Abläufe integriert. Wird ein Dienstleister kompromittiert, können Angreifer diese Vertrauensstellung missbrauchen und Sicherheitsbarrieren umgehen. Selbst wenn das eigene System gut geschützt ist – ein verwundbarer Zulieferer öffnet den Angreifern die Hintertür.
     
  • Ungleiche Sicherheitsniveaus: Kleine Anbieter oder spezialisierte Zulieferer haben nicht immer die gleichen hohen Sicherheitsstandards wie große Organisationen. Ein Unternehmen mag ISO-zertifiziert sein, der beauftragte Subunternehmer jedoch nicht – was ein Ungleichgewicht schafft, das attackiert werden kann.
     
  • Intransparenz: Oft fehlt der vollständige Einblick in die Lieferkette. Unternehmen wissen nicht genau, welche Sub-Dienstleister ihre Anbieter wiederum einsetzen oder wie Zugriffe technisch geregelt sind. Diese fehlende Transparenz führt zu einer fragmentierten Sicherheitslandschaft, in der Risiken zwar existieren, aber kaum quantifizierbar sind. Ein klassisches Beispiel sind Software-Lieferketten: Nutzt ein Zulieferer z.B. Open-Source-Komponenten, die eine Schwachstelle (wie im Fall Log4j) enthalten, so betrifft dies am Ende alle Abnehmer dieser Software, oft unbemerkt.

All das macht die Lieferkette zum attraktiven Angriffsziel. Sicherheitsvorfälle wie manipulierte Software-Updates oder kompromittierte Dienstleister zeigen, dass der Schaden enorm sein kann, da sie den Sicherheitsperimeter des eigentlichen Zielunternehmens aushebeln. Die Risiken in der Lieferkette sind somit besonders kritisch, weil sie außerhalb des direkten Einflussbereichs entstehen und dennoch die volle Wucht auf das eigene Unternehmen haben können.

NIS2-Anforderungen für Dienstleister und Zulieferer

Angesichts dieser Gefahren verschärft NIS2 die Pflichten rund um Third-Party Risk Management deutlich. Zwar schreibt die Richtlinie keine detaillierten technischen Maßnahmen vor, aber sie definiert klare Schutzziele und verlangt nachweislich wirksame Prozesse – insbesondere im Umgang mit externen Partnern. Folgende Kernanforderungen sind im Kontext von Dienstleistern und Lieferanten hervorzuheben:

  • Lieferketten inventarisieren: Unternehmen müssen systematisch alle wesentlichen Abhängigkeiten identifizieren. Welche Dienstleister und Zulieferer sind kritisch für unsere Betriebsabläufe? Welche Daten verarbeiten sie und welche Zugriffsrechte haben sie? Ohne eine vollständige Übersicht der Lieferkette lässt sich kein effektives Risikomanagement betreiben.
     
  • Risikobewertung durchführen: Jeder kritische Drittanbieter ist einer gründlichen Risikoanalyse zu unterziehen. Dazu gehört, die Sicherheitsmaßnahmen und Schwachstellen des Partners zu beleuchten, dessen Sicherheitsvorfälle und Policies zu kennen und abzuschätzen, welches Risiko er für das eigene Unternehmen darstellt. NIS2 verlangt einen risikobasierten Ansatz – nicht alle Lieferanten sind gleich kritisch, aber die wirklich wichtigen müssen priorisiert betrachtet werden.
     
  • Sicherheitsanforderungen definieren und vertraglich festschreiben: Aus der Risikobewertung abgeleitet sind angemessene Sicherheitsauflagen für Drittparteien festzulegen – und zwar proportional zum Risiko und ausdrücklich in Verträge aufzunehmen. NIS2 erwartet, dass Unternehmen Sicherheitsklauseln und Haftungsregelungen in die Verträge mit Dienstleistern integrieren. Dazu zählen z.B. Mindeststandards (wie die Verpflichtung zu bestimmten technischen Maßnahmen oder Zertifizierungen), Meldepflichten bei Sicherheitsvorfällen sowie das Recht, Audits oder Nachweise zu verlangen.
     
  • Kontinuierliche Überwachung und Audits: Anders als eine einmalige Zertifikatsabfrage fordert NIS2 ein ständiges Monitoring der Lieferantenrisiken. Risiken verändern sich – Geschäftsmodelle, Bedrohungslagen und Technik entwickeln sich weiter, also muss auch die Sicherheitsbewertung laufend aktualisiert werden. Unternehmen müssen regelmäßig überprüfen, ob die Partner die vereinbarten Sicherheitsstandards wirklich einhalten (z.B. durch jährliche Audits, Sicherheitsberichte oder automatisierte Scans). Compliance-Überwachung ist essenziell: Es reicht nicht, Anforderungen zu stellen – ihre Umsetzung muss verifiziert werden.
     
  • Meldung von Vorfällen in der Lieferkette: Eine weitere Verschärfung besteht in der Vorfallmeldung. NIS2 verpflichtet betroffene Unternehmen, schwerwiegende Sicherheitsvorfälle bei ihren Dienstleistern unverzüglich an die zuständigen Stellen zu melden und darauf zu reagieren, sobald diese die eigenen kritischen Dienste beeinträchtigen. Das heißt, wenn z.B. ein Cloud-Anbieter oder IT-Dienstleister gehackt wird und dadurch Ihre Systeme betroffen sind, müssen Sie innerhalb enger Fristen reagieren und Bericht erstatten – unabhängig davon, dass der Vorfall extern passierte.
     
  • Dokumentation und Nachweisführung: NIS2 legt großen Wert auf Dokumentation. Unternehmen müssen umfassende Aufzeichnungen über alle Aktivitäten im Third-Party Risk Management führen. Dazu zählen Risikoanalysen, Prüfergebnisse, Compliance-Bewertungen, Berichte über Vorfälle und Reaktionspläne. Diese Dokumente müssen im Zweifel einem Auditor oder der Aufsichtsbehörde vorgelegt werden können, um die Erfüllung der NIS2-Pflichten nachzuweisen. Kurz gesagt: Was nicht dokumentiert ist, gilt als nicht getan.

Man erkennt: NIS2 schreibt kein konkretes Tool oder eine Checkliste vor, aber es verschärft die Erwartung an echte Cybersicherheit statt bloßer Papier-Compliance. Unternehmen sollen wirksame Maßnahmen implementieren, die Sicherheit in der Lieferkette tatsächlich erhöhen – und nicht bloß Häkchen in Fragebögen setzen. Insbesondere die Chefetage steht in der Verantwortung, denn NIS2 hebt die Bedeutung von Cybersicherheit auf die Management- und Vorstandsebene.

Lieferkettenabsicherung in der Praxis: Prozesse, Fragen, Tools

Vor der Umsetzung dieser Anforderungen mag einem der Berg an Aufgaben groß erscheinen. Doch mit einer strukturierten Vorgehensweise lässt sich das Thema Lieferkettensicherheit pragmatisch angehen. Ein möglicher Fahrplan für IT-Verantwortliche und Geschäftsführer:innen könnte so aussehen:

  1. Bestandsaufnahme und Priorisierung: Listen Sie alle externen IT-Dienstleister, Service-Provider und wichtigen Zulieferer auf. Bewerten Sie deren Kritikalität für Ihre Geschäftsprozesse (etwa anhand der Fragen: Würde ein Ausfall dieses Partners Ihren Betrieb erheblich stören? Hat der Dienstleister Zugang zu sensiblen Systemen oder Daten?). Diese Priorisierung ist wichtig – NIS2 verlangt, sich auf die wesentlichen Abhängigkeiten zu konzentrieren. Nicht jeder kleine Zulieferer braucht dieselbe Aufmerksamkeit wie ein Cloud-Rechenzentrumsbetreiber, der Ihre Kernsysteme hostet.
     

  2. Risikobewertung pro Partner: Für die als kritisch eingestuften Drittparteien führen Sie eine detaillierte Risikoanalyse durch. Dabei helfen strukturierte Fragebögen oder Standards. Wichtige Aspekte und Fragen an den Dienstleister können sein:

    Sicherheitsorganisation: Gibt es ein Informationssicherheits-Managementsystem (ISMS) beim Dienstleister? Ist er ggf. zertifiziert (z.B. nach ISO 27001 oder branchenspezifischen Standards)? 

    Schutzmaßnahmen: Welche konkreten Sicherheitsmaßnahmen setzt der Lieferant ein (Firewalls, Verschlüsselung, Multi-Faktor-Authentifizierung etc.)? Werden regelmäßige Schwachstellen-Scans oder Penetrationstests durchgeführt?

    Incident Response: Verfügt der Partner über einen Notfallplan für Cybervorfälle und wie werden Sie als Kunde im Ernstfall informiert bzw. eingebunden? (Stichwort: Meldewege und Eskalationskontakte)

    Zugriff und Daten: Wie regelt der Dienstleister Zugriffsrechte auf Ihre Daten und Systeme? Werden Mitarbeiter geprüft und geschult (Security Awareness)?

    Subunternehmer (Fourth Parties): Setzt der Dienstleister selbst wieder Unterauftragnehmer ein, die Zugriff auf Ihre Daten/Systeme haben, und wie stellt er die Sicherheit in dieser weiteren Kette sicher?

    Anhand solcher Fragen gewinnen Sie ein Bild vom Sicherheitsreifegrad des Partners. Wo nötig, können Sie zusätzliche Nachweise anfordern, etwa Sicherheitszertifikate, Audit-Berichte oder Ergebnisprotokolle von Tests. Wichtig ist, alle Erkenntnisse zu dokumentieren und das Risikoniveau einzuschätzen: z.B. hoch (erhebliche Schwachstellen oder unklare Sicherheit) bis niedrig (Partner weist robustes Sicherheitsmanagement auf).

    3. Vertragsgestaltung und Zusagen einholen: Nutzen Sie die Erkenntnisse aus der Risikoanalyse, um klare Sicherheitsanforderungen zu formulieren. Diese sollten in Vertragsklauseln mit aufgenommen werden. Typische vertragliche Vereinbarungen umfassen z.B.:

    - Verpflichtung des Dienstleisters zur Einhaltung definierter Sicherheitsstandards (z.B. Aktualisierungspflichten für Software, Mindestanforderungen an Zugriffsmanagement, Patch-Management usw.).

    - Meldepflicht für Sicherheitsvorfälle: Der Lieferant muss Ihnen innerhalb definierter Fristen sicherheitsrelevante Vorfälle melden, die Ihre Systeme oder Daten betreffen könnten.

    - Audit- und Prüfrechte: Sie als Kunde erhalten das Recht, nach Vorankündigung Sicherheitsaudits beim Dienstleister durchzuführen oder Zertifizierungen/Nachweise regelmäßig einzusehen.

    - Haftungsregelungen: Klären Sie, inwiefern der Dienstleister für Schäden durch Vernachlässigung von Sicherheitsauflagen haftet. NIS2 selbst droht Ihrem Unternehmen bei Verstößen hohe Bußgelder an – diese Verantwortung sollten Sie intern weitertragen, indem Partner bei grober Fahrlässigkeit zur Rechenschaft gezogen werden können (so weit rechtlich möglich).

    Solche Punkte sollten idealerweise in Service Level Agreements (SLAs) oder eigenständigen Sicherheitsanhängen zum Vertrag festgehalten werden. Die Erfahrung zeigt: Was vertraglich fixiert ist, wird eher ernst genommen. 

    4. Implementierung von Maßnahmen und Zusammenarbeit: Sicherheit in der Lieferkette ist keine Einbahnstraße. Arbeiten Sie mit Ihren Dienstleistern zusammen, um die Anforderungen umzusetzen. Kommunizieren Sie klar, warum bestimmte Maßnahmen nötig sind (verweisen Sie ruhig auf NIS2) und unterstützen Sie Partner bei der Verbesserung, wo sinnvoll. Dies kann z.B. bedeuten, gemeinsam Prozesse zu erarbeiten, wie Patches schnell ausgerollt werden, oder Schulungen anzubieten. Einige Unternehmen erstellen für ihre Lieferanten sogar Security Guidelines oder Checklisten, die den erwarteten Standard transparent machen.

    5. Kontinuierliches Monitoring: Wie von NIS2 gefordert, darf Third-Party Risk Management kein einmaliges Projekt bleiben. Etablieren Sie einen Prozess zur fortlaufenden Überwachung. Praktisch heißt das: Planen Sie regelmäßige Review-Termine ein (z.B. jährlich oder halbjährlich je nach Kritikalität des Partners), in denen die Sicherheitslage neu bewertet wird. Lassen Sie sich aktuelle Nachweise schicken (z.B. den neuesten Pentest-Report oder Zertifikatserneuerungen). Beobachten Sie aktiv die allgemeine Bedrohungslage – etwa durch Threat Intelligence Feeds oder Sicherheitsbulletins, die auch Schwachstellen bei Drittanbietern melden. Wenn eine neue Sicherheitslücke in einer Software-Bibliothek bekannt wird, die Ihr Lieferant nutzt, sollten Sie das möglichst früh erfahren. Technisch kann hier der Einsatz von Tools helfen: z.B. ein Software Bill of Materials (SBOM), also eine Stückliste aller Software-Komponenten, kann Ihnen aufzeigen, ob Sie von einer bestimmten Schwachstelle in der Lieferkette betroffen sind. Ebenso bieten einige Dienstleister oder Plattformen automatisierte Sicherheitsratings für Zulieferer an oder überwachen öffentlich zugängliche Indikatoren (wie geleakte Zugangsdaten im Dark Web) – solche Tools können ergänzend eingesetzt werden, um ein Frühwarnsystem zu etablieren.

    6. Notfallplanung mit Lieferanten: Ein oft vergessener Aspekt ist die Einbindung von Dienstleistern in Ihren Notfallplan. Definieren Sie im Vorfeld, was passieren soll, wenn ein kritischer Partner ausfällt oder gehackt wird. Haben Sie Backup-Lieferanten oder Alternativprozesse? Wer kontaktiert den betroffenen Dienstleister, wer informiert Kunden oder Behörden? Legen Sie klare Eskalationswege fest – idealerweise ist bei jedem wichtigen Partner ein Ansprechpartner benannt, der 24/7 im Notfall erreichbar ist. Denken Sie auch über vertragliche Exit-Strategien nach: Wie schnell könnten Sie den Anbieter wechseln, wenn es nötig wäre? NIS2 schreibt zwar diesen Detailgrad nicht vor, aber im Ernstfall entscheidet eine gute Vorbereitung darüber, wie resilient Ihr Unternehmen tatsächlich ist.

Durch dieses strukturierte Vorgehen wird das abstrakte Thema Lieferkettenrisiko greifbarer. Es geht im Kern darum, Transparenz zu schaffen, Verantwortlichkeiten zu klären und einen kontinuierlichen Verbesserungsprozess zu etablieren. Je nach Unternehmensgröße und Ressourcen kann es sinnvoll sein, für das Third-Party Risk Management auch dedizierte Rollen oder Tools einzuführen. Wichtig ist: Bleiben Sie pragmatisch – nicht jeder Zulieferer erfordert einen Full Audit. NIS2 erwartet vor allem, dass Sie wissen, wo Ihre größten externen Risiken liegen und dass Sie dort mit angemessenen Mitteln für Sicherheit sorgen.

Lieferkettenrisiko: oft unterschätzt, im Ernstfall entscheidend

Trotz immer häufigerer Vorfälle bleibt der Aspekt der Lieferkettensicherheit in vielen mittelständischen Unternehmen noch unterschätzt. Warum? Zum einen wiegt man sich gerne in Sicherheit, wenn interne Systeme gut abgesichert sind – die Gefahr über Partner wird ausgeblendet. Zum anderen schien es bisher ausreichend, sich Compliance-mäßig abzusichern: Man lässt Lieferanten Fragebögen ausfüllen, sammelt Zertifikate ein, und hakt Punkte auf einer Checkliste ab. Doch dieses Vorgehen erzeugt Papier, aber keine Sicherheit. NIS2 bricht mit diesem Schema und fordert ein ehrliches Bild der tatsächlichen Sicherheitslage entlang der gesamten Lieferkette. Die Richtlinie „zwingt” Unternehmen gewissermaßen, sich der unbequemen Wahrheit zu stellen: Outsourcing entbindet nicht von Verantwortung[8]. Wer kritische Prozesse auslagert, bleibt dennoch in der Pflicht, sich um die Absicherung zu kümmern – rechtlich wie praktisch.

Gerade im Ernstfall zeigt sich, wie entscheidend dieser Aspekt ist. Ein einziger schwacher Lieferant kann im Falle eines Cyberangriffs das gesamte Unternehmen lahmlegen. Man denke an einen zentralen Cloud-Dienst, der durch Ransomware ausfällt, oder an einen Software-Zulieferer, dessen Update Tausende Systeme mit Malware infiziert. Ohne Vorbereitung und Plan stehen die eigenen Mitarbeiter dann hilflos da, die Produktion oder Dienstleistung steht still – und neben finanziellen Verlusten drohen durch NIS2 gegebenenfalls auch hohe Bußgelder und Reputationsschäden wegen mangelhafter Vorkehrungen. Umgekehrt zahlt es sich aus, Lieferkettenrisiken aktiv anzugehen: Wer seine Abhängigkeiten realistisch bewertet und absichert, erhöht nicht nur die Compliance, sondern auch die betriebliche Resilienz erheblich. Transparente Lieferbeziehungen, klar geregelte Sicherheitsstandards und geübte Notfallprozesse machen die gesamte Wertschöpfungskette stabiler – im Krisenfall kann dies über Fortbestand oder Ausfall eines Unternehmens entscheiden. Lieferketten sind somit vom vermeintlichen Schwachpunkt zum strategischen Faktor für nachhaltige Geschäftskontinuität geworden.

Fazit

Die NIS2-Richtlinie schärft das Bewusstsein dafür, dass Cybersicherheit ganzheitlich gedacht werden muss – über die eigene IT hinaus bis tief in die Lieferketten. Für IT-Verantwortliche und Geschäftsführer:innen bedeutet das einerseits mehr Aufwand und neue Pflichten, andererseits bietet es die Chance, die eigene Organisation widerstandsfähiger zu machen. Wichtig ist, jetzt proaktiv zu handeln: Schätzen Sie die Risiken ehrlich ein, leiten Sie konkrete Maßnahmen ab und leben Sie die Sicherheitsanforderungen auch gegenüber Ihren Partnern. Im Idealfall entwickeln Sie so mit der Zeit ein vertrauensvolles, aber kontrolliertes Verhältnis zu Ihren Dienstleistern, bei dem alle Seiten vom höheren Sicherheitsniveau profitieren.

Zum Abschluss ein Praxis-Tipp: Nutzen Sie den kostenlosen NIS2-Quick-Check von SpaceNet (als PDF-Download verfügbar), um einen ersten Eindruck zu gewinnen, wo Ihr Unternehmen in Bezug auf NIS2 steht. Dieser kurze Selbsttest hilft Ihnen dabei, Lücken zu identifizieren und geeignete nächste Schritte einzuleiten – damit Sie und Ihre Lieferkette bestens auf die Anforderungen der NIS2 vorbereitet sind.

Jetzt downloaden und den NIS2-Status Ihres Unternehmens überprüfen! 

Kostenloses Webinar am 19. März
NIS2 einfach umsetzen ➡