NIS2-Leitfaden

NIS2-Leitfaden · 7 Min.

Nutzen Ihre Lieferanten KI? NIS2-Lieferantenrisiko trifft den EU AI Act

Unter NIS2 sind Sie für das Cyberrisiko Ihrer Lieferanten verantwortlich (Artikel 21 Absatz 2 Buchstabe d). Zunehmend gehört KI dazu: Lieferanten betten KI in Dienste ein, von denen Sie abhängen, und deren Lieferanten tun dasselbe. Der EU AI Act, jetzt in der schrittweisen Durchsetzung, fügt Pflichten für Organisationen hinzu, die KI-Systeme einsetzen oder sich auf sie verlassen, auch auf solche von Dritten. Die meisten Lieferantenbewertungen fragen KI überhaupt nicht ab. Dieser Leitfaden erklärt, wo KI von Lieferanten und in der n-ten Ebene Risiken unter NIS2 und dem AI Act schafft, was zu bewerten ist und wie Sie den Überblick behalten.

Kernpunkte

  • NIS2 macht das Cyberrisiko Ihrer Lieferanten zu Ihrer Verantwortung; von Lieferanten eingebettete KI gehört nun dazu.
  • Der EU AI Act fügt Pflichten hinzu, wenn Sie sich auf KI Dritter verlassen, einschließlich Hochrisikosystemen.
  • Die meisten Fragebögen ignorieren KI; KI in der n-ten Ebene (die Lieferanten Ihrer Lieferanten) ist der schwierigste blinde Fleck.

Wo KI in Ihre Lieferkette gelangt

KI erreicht Sie über Lieferanten auf drei Wegen: ein Anbieter nutzt KI in einem Dienst, den Sie beziehen; ein Anbieter verarbeitet Ihre Daten mit KI (Training, Inferenz, Support-Werkzeuge); und die Anbieter Ihres Anbieters tun dasselbe (n-te Ebene). Jeder erhöht die Angriffsfläche (Modell- und Datenexposition, Prompt-Injection, neue Integrationen) und die regulatorische Exposition. NIS2 Artikel 21(2)(d) macht Sie für die Sicherheit dieser Beziehungen verantwortlich, und der EU AI Act fügt Transparenz- und Risikomanagementpflichten hinzu, wenn Sie KI-Systeme einsetzen oder sich auf sie verlassen, auch auf solche Dritter.

Offizielle Quellen: NIS2-Richtlinie auf EUR-Lex — Artikel 21(2)(d); dazu der EU AI Act (Verordnung (EU) 2024/1689) für KI-spezifische Pflichten.

Was Sie zur KI der Lieferanten bewerten sollten

Nehmen Sie diese in die Lieferantenbewertung auf. Sie entsprechen den Lieferkettenmaßnahmen von NIS2 und den Pflichten des AI Act für jene, die sich auf KI verlassen.

1

Wo KI Ihre Daten berührt

Fragen Sie, welche Teile des Dienstes KI nutzen, ob Ihre Daten für Training oder Inferenz verwendet werden und wo diese Verarbeitung stattfindet. Das bestimmt sowohl Ihre NIS2-Exposition als auch Ihre Position nach AI Act und DSGVO.

2

Ob die KI nach dem AI Act hochriskant ist

Fällt die KI eines Lieferanten in eine Hochrisikokategorie des AI Act, erben Sie Transparenz-, Aufsichts- und Dokumentationserwartungen, wenn Sie sich darauf verlassen. Bestätigen Sie die Einstufung und die Konformitätsarbeit des Lieferanten.

3

KI in der n-ten Ebene (die Lieferanten Ihres Lieferanten)

Lieferanten verkaufen oder betten zunehmend KI Dritter ein (Foundation-Modelle, KI-APIs). Verlangen Sie die Offenlegung dieser Unteranbieter, damit ein Modellausfall, ein Datenvorfall oder eine Richtlinienänderung Sie nicht überrascht.

4

KI-spezifische Sicherheitskontrollen

Schutz vor Prompt-Injection und Datenlecks, Zugriffskontrolle auf Modellendpunkte, Protokollierung und menschliche Aufsicht über automatisierte Entscheidungen. Das ist die KI-Erweiterung der Basis nach Artikel 21(2).

5

Meldung von KI-Vorfällen

Erweitern Sie die Meldeklausel Ihres Vertrags um KI-spezifische Ausfälle (Datenleck über ein Modell, schädliche oder manipulierte Ausgabe), damit ein KI-Vorfall eines Lieferanten Sie rechtzeitig für Ihre eigene Meldung erreicht.

Sehen Sie, wie Ihre Lieferanten tatsächlich abschneiden

7 Tage kostenlos · keine Kreditkarte · jederzeit kündbar

Wie Sie den Überblick behalten, während KI sich ausbreitet

Der KI-Einsatz in Ihrer Lieferkette ändert sich schneller als ein jährlicher Fragebogen: ein Lieferant fügt eine KI-Funktion hinzu, wechselt den Modellanbieter oder ein neuer Unterauftragsverarbeiter erscheint. Kombinieren Sie den Fragebogen mit kontinuierlicher externer Überwachung und einem aktuellen Viertparteien-Inventar, sodass neue KI-Abhängigkeiten und die dahinterstehenden Unteranbieter auftauchen, sobald sie entstehen, zugeordnet zu den ausgelösten NIS2- und AI-Act-Pflichten statt erst beim nächsten Prüfzyklus.

Häufige Fehler

  • Ein Lieferantenfragebogen, der KI überhaupt nicht abfragt.
  • Den direkten Lieferanten zu bewerten, aber das Drittanbieter-Modell oder die KI-API hinter seinem Dienst zu ignorieren.
  • KI rein als Innovationsthema zu behandeln, nicht als Lieferkettensicherheit und AI-Act-Konformität.
  • Keine vertragliche Pflicht, die KI-Nutzung offenzulegen oder KI-spezifische Vorfälle zu melden.

Sehen Sie, wie Lieferanten- und KI-Risiko NIS2 zugeordnet wird

Ein Beispiel-Lieferantenbericht (Befunde, NIS2-Zuordnung und Nachweise) in zwei Minuten.

7 Tage kostenlos · keine Kreditkarte · jederzeit kündbar

Verwandte Leitfäden

Wie Sie NIS2 erfüllen: ein Schritt-für-Schritt-Fahrplan

Die Schritte zur NIS2-Konformität in der richtigen Reihenfolge: Anwendungsbereich bestätigen, registrieren, Verantwortung der Leitung (Art. 20), die Maßnahmen nach Art. 21 Abs. 2, Lieferkettensicherheit, Vorfallmeldung (Art. 23) und fortlaufende, nachgewiesene Absicherung.

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.

NIS2 für Lieferanten: Sie sind nicht eingestuft, aber Ihre Kunden

Die meisten Unternehmen werden nie unter NIS2 eingestuft, müssen aber dennoch konform sein. Wie die Lieferkettenpflicht eines erfassten Kunden nach Artikel 21 Absatz 2 Buchstabe d auf Sie übergeht, was er verlangt und wie Sie glaubwürdig reagieren.

NIS2 und die Lieferkettenpflicht: was das in der Praxis bedeutet

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

NIS2 Art. 21(2): Sicherheits-Checkliste für Lieferanten

Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.

NIS2-Vorfallmeldung: die 24- und 72-Stunden-Fristen erklärt

Was ein erheblicher Vorfall ist, der Zeitplan nach Artikel 23 (24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht nach einem Monat) und wann der Vorfall eines Lieferanten zu Ihrer Pflicht wird.

NIS2 und die Verantwortung der Leitung: Was Vorstand und Geschäftsführung wissen müssen

Was NIS2 vom Leitungsorgan erwartet: Genehmigungs- und Aufsichtspflichten, persönliche Haftung (Art. 20), Schulung, Vorstands-KPIs und die Sanktionen nach Art. 34.

ISO 27001 und NIS2: Was Ihr ISMS bereits abdeckt, und die Lücken, die bleiben

Wenn Sie ISO 27001 halten: was auf NIS2 übertragbar ist und was nicht (gesetzliche Vorfallmeldung, Haftung der Leitung, Registrierung und kontinuierliche Lieferkettensicherung) und wie Sie die Lücke schließen.

NIS2-Bußgelder und Sanktionen: wie hoch, wer haftet und wie man sie vermeidet

Was NIS2-Sanktionen sind: die Obergrenzen nach Artikel 34 (10 Mio. € / 2 % für wesentliche, 7 Mio. € / 1,4 % für wichtige Einrichtungen), die persönliche Haftung der Leitung (Art. 20, Art. 32), nicht-monetäre Durchsetzung und wie man sie vermeidet.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.

DSGVO vs. NIS2: Überschneidungen, Unterschiede und wann ein Vorfall beide auslöst

Wie sich DSGVO und NIS2 unterscheiden und überschneiden, wann ein Vorfall beide auslöst (DSGVO Art. 33 72 h an die Datenschutzbehörde vs. NIS2 Art. 23 24 h/72 h/ein Monat an das CSIRT), die Art.-35-Kooperation und das Verbot des doppelten Bußgelds, und was beide für die Lieferanten-Sorgfaltsprüfung bedeuten.

Der EU Cyber Resilience Act (CRA): Anwendungsbereich, Zeitplan und was er für Ihre Lieferkette bedeutet

Was der CRA verlangt, seine gestaffelten Termine (in Kraft 2024, Meldung Sep. 2026, volle Konformität Dez. 2027), wer in den Anwendungsbereich fällt und warum reine SaaS oft nicht, wie er NIS2 ergänzt und was er für Beschaffung und Lieferanten-Sorgfaltsprüfung bedeutet.

Die EU-KI-Verordnung: Risikostufen, Zeitplan und die Pflichten der Betreiber (Artikel 26)

Was die EU-KI-Verordnung verlangt: die Risikostufen, die gestaffelten Termine (in Kraft 2024, verboten Feb. 2025, GPAI Aug. 2025, Hochrisiko Aug. 2026), die Betreiberpflichten nach Art. 26, wie sie sich mit NIS2 und der DSGVO stapelt und was sie für die KI-Beschaffung bedeutet.

NIS2-Umsetzungsstand: in welchen EU-Ländern es in Kraft ist

Welche der 27 EU-Mitgliedstaaten NIS2 in nationales Recht überführt haben und welche noch daran arbeiten, und warum die Lücken Ihre Lieferkette ohnehin betreffen.

NIS2-Lieferantenvertragsklauseln: was Sie von Ihren Lieferanten verlangen sollten

Die Vertragsklauseln, die die Lieferkettenpflicht von NIS2 durchsetzbar machen: Sicherheitsbasis, Meldefenster, Nachweis- und Auditrechte, Weitergabe an Subunternehmer und laufende Überprüfung.

Ihre externe Sicherheitslage unter NIS2: was Lieferanten und Kunden sehen

Die öffentlich sichtbaren Signale, die Kunden nach NIS2 Art. 21(2)(d) bewerten: E-Mail-Fälschbarkeit (SPF/DMARC), Zertifikatshygiene, aus dem Internet erreichbare Systeme und geleakte Zugangsdaten, warum jedes zählt und wie man sie prüft und behebt.

Lieferanten-Identitätsbetrug und CEO-Fraud (BEC): E-Mail-Spoofing, DMARC und NIS2

Einer der häufigsten Lieferkettenangriffe braucht keinen Einbruch: gefälschte E-Mail, die eine Zahlung umlenkt oder Daten stiehlt. Wie BEC und Lieferanten-Identitätsbetrug funktionieren, welche SPF-, DKIM- und DMARC-Einstellungen sie stoppen und wie das zu NIS2 Art. 21(2)(d) passt.

Zuletzt geprüft: 19. Juni 2026

Dieser Leitfaden bietet allgemeine Informationen zum EU-Recht, keine Rechtsberatung. NIS2 wird durch das nationale Umsetzungsgesetz jedes EU-Mitgliedstaats wirksam, das im Detail abweichen kann. Prüfen Sie die für Sie geltenden Pflichten mit Ihrer zuständigen Behörde oder Ihrem Rechtsbeistand.