NIS2-Leitfaden · 7 Min.
Ihre externe Sicherheitslage unter NIS2: was Lieferanten und Kunden sehen
Unter NIS2 sind Ihre Kunden für die Sicherheit ihrer Lieferanten verantwortlich (Artikel 21 Absatz 2 Buchstabe d) und bewerten dieses Risiko zunehmend von außen, allein anhand des öffentlich Sichtbaren: Ihrer E-Mail-Authentifizierung, Ihrer Zertifikate und dessen, was von Ihrer Infrastruktur im Internet erreichbar ist. Das sind dieselben Signale, die ein Angreifer zuerst sieht. Dieser Leitfaden erklärt die externen Signale, die darüber entscheiden, wie Sie als Lieferant beurteilt werden, warum jedes wichtig ist und wie Sie sie prüfen und beheben.
Kernpunkte
- • NIS2 verlagert die Lieferantenbewertung entlang der Kette; vieles beginnt mit Ihrer öffentlich sichtbaren Lage.
- • Die stärksten Signale: E-Mail-Fälschbarkeit (SPF/DMARC), Zertifikatshygiene und aus dem Internet erreichbare Systeme.
- • Das meiste können Sie selbst in Minuten sehen und beheben, bevor ein Kunde oder Angreifer es tut.
Warum die Außensicht unter NIS2 zählt
Artikel 21 Absatz 2 Buchstabe d NIS2 macht ein in den Anwendungsbereich fallendes Unternehmen für das Cyberrisiko seiner direkten Lieferanten verantwortlich. Da ein Käufer nicht jeden Lieferanten tiefgehend prüfen kann, ist der praktische erste Schritt die Außensicht: Signale, die ohne jeden Zugriff auf Ihre Systeme sichtbar sind. Ein schwaches Signal beweist keine Unsicherheit, aber es ist, was ein Kunde bemerkt, woran ein Fragebogen gemessen wird und was ein Angreifer zuerst prüft. Es richtig zu machen ist günstig und aussagekräftig.
Offizielle Quelle: NIS2-Richtlinie auf EUR-Lex — Artikel 21 Absatz 2 (Sicherheitsmaßnahmen) und 21(2)(d) (Lieferkettensicherheit).
Die externen Signale, die Ihre Bewertung prägen
Keines davon erfordert Zugriff auf Ihre Systeme; alle sind aus dem öffentlichen Internet sichtbar. Sie entsprechen den von NIS2 erwarteten Maßnahmen und dem tatsächlichen Vorgehen von Angreifern.
E-Mail-Fälschbarkeit (SPF und DMARC)
Wenn Ihre Domain keinen SPF- oder DMARC-Eintrag veröffentlicht oder DMARC auf p=none steht, kann jeder E-Mails senden, die scheinbar von Ihnen stammen. Das ist der Mechanismus hinter Phishing und CEO-Betrug (BEC) und in Ihrem öffentlichen DNS trivial prüfbar.
Zertifikatshygiene (TLS)
Abgelaufene oder bald ablaufende Zertifikate auf Ihren Hauptdiensten deuten auf schwache operative Kontrolle hin und können Vertrauen und Verfügbarkeit beeinträchtigen. Certificate-Transparency-Protokolle machen Ihre Zertifikatshistorie zudem öffentlich.
Aus dem Internet erreichbare Nicht-Produktions- und Admin-Systeme
Aus dem Internet erreichbare Entwicklungs-, Staging- oder Admin-Hostnamen vergrößern Ihre Angriffsfläche und sind oft nicht produktionsreif gehärtet. Sie tauchen häufig in öffentlichen Certificate-Transparency-Protokollen auf.
Geleakte Zugangsdaten und Datenlecks
In öffentlichen Leak- und Infostealer-Datensätzen offengelegte Mitarbeiter-Zugangsdaten sind ein direkter Zugangsweg. Das ist externe, öffentliche Information, auf die ein Angreifer reagieren kann, bevor Sie es merken.
Härtung des Web-Transports (HSTS und Header)
Fehlende HSTS- und verwandte Header sind einzeln geringfügig, zeigen zusammen aber, wie konsequent die Grundlagen umgesetzt sind. Prüfer lesen sie als Indikator für operative Reife.
Sehen Sie, wie Ihre Lieferanten tatsächlich abschneiden
7 Tage kostenlos · keine Kreditkarte · jederzeit kündbar
Wie Sie es prüfen und richtig halten
Das meiste können Sie selbst in Minuten prüfen, mit öffentlichen Werkzeugen und Ihrem eigenen DNS. Schwieriger ist, es über die Zeit richtig zu halten: ein Zertifikat läuft ab, eine neue Subdomain wird exponiert, Zugangsdaten leaken. Kontinuierliche externe Überwachung beobachtet diese Signale für Ihre eigene Domain und Ihre Lieferanten und ordnet jeden Befund dem einschlägigen NIS2-Artikel zu, sodass Sie Probleme sehen und beheben, bevor die Bewertung eines Kunden oder ein Angreifer es tut.
Häufige Fehler
- ✕E-Mail-Authentifizierung als erledigt zu betrachten, sobald SPF existiert, während DMARC auf p=none bleibt und nichts blockiert.
- ✕Die Hauptwebsite zu korrigieren, aber Dev-, Staging- oder Admin-Hosts exponiert und ungehärtet zu lassen.
- ✕Anzunehmen, 'wir haben den Fragebogen bestanden' bedeute, die externe Realität stimme Monate später noch.
- ✕Nie zu prüfen, was öffentliche Leak-Daten bereits über Ihre Konten offenlegen.
Sehen Sie, wie Ihre externe Lage NIS2 zugeordnet wird
Ein Beispiel-Lieferantenbericht (Befunde, NIS2-Zuordnung und Nachweise) in zwei Minuten.
7 Tage kostenlos · keine Kreditkarte · jederzeit kündbar
Verwandte Leitfäden
Wie Sie NIS2 erfüllen: ein Schritt-für-Schritt-Fahrplan
Die Schritte zur NIS2-Konformität in der richtigen Reihenfolge: Anwendungsbereich bestätigen, registrieren, Verantwortung der Leitung (Art. 20), die Maßnahmen nach Art. 21 Abs. 2, Lieferkettensicherheit, Vorfallmeldung (Art. 23) und fortlaufende, nachgewiesene Absicherung.
Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen
Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.
NIS2 für Lieferanten: Sie sind nicht eingestuft, aber Ihre Kunden
Die meisten Unternehmen werden nie unter NIS2 eingestuft, müssen aber dennoch konform sein. Wie die Lieferkettenpflicht eines erfassten Kunden nach Artikel 21 Absatz 2 Buchstabe d auf Sie übergeht, was er verlangt und wie Sie glaubwürdig reagieren.
NIS2 und die Lieferkettenpflicht: was das in der Praxis bedeutet
NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.
Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft
Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.
NIS2 Art. 21(2): Sicherheits-Checkliste für Lieferanten
Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.
NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage
Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.
NIS2-Vorfallmeldung: die 24- und 72-Stunden-Fristen erklärt
Was ein erheblicher Vorfall ist, der Zeitplan nach Artikel 23 (24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht nach einem Monat) und wann der Vorfall eines Lieferanten zu Ihrer Pflicht wird.
NIS2 und die Verantwortung der Leitung: Was Vorstand und Geschäftsführung wissen müssen
Was NIS2 vom Leitungsorgan erwartet: Genehmigungs- und Aufsichtspflichten, persönliche Haftung (Art. 20), Schulung, Vorstands-KPIs und die Sanktionen nach Art. 34.
ISO 27001 und NIS2: Was Ihr ISMS bereits abdeckt, und die Lücken, die bleiben
Wenn Sie ISO 27001 halten: was auf NIS2 übertragbar ist und was nicht (gesetzliche Vorfallmeldung, Haftung der Leitung, Registrierung und kontinuierliche Lieferkettensicherung) und wie Sie die Lücke schließen.
NIS2-Bußgelder und Sanktionen: wie hoch, wer haftet und wie man sie vermeidet
Was NIS2-Sanktionen sind: die Obergrenzen nach Artikel 34 (10 Mio. € / 2 % für wesentliche, 7 Mio. € / 1,4 % für wichtige Einrichtungen), die persönliche Haftung der Leitung (Art. 20, Art. 32), nicht-monetäre Durchsetzung und wie man sie vermeidet.
NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt
Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.
DSGVO vs. NIS2: Überschneidungen, Unterschiede und wann ein Vorfall beide auslöst
Wie sich DSGVO und NIS2 unterscheiden und überschneiden, wann ein Vorfall beide auslöst (DSGVO Art. 33 72 h an die Datenschutzbehörde vs. NIS2 Art. 23 24 h/72 h/ein Monat an das CSIRT), die Art.-35-Kooperation und das Verbot des doppelten Bußgelds, und was beide für die Lieferanten-Sorgfaltsprüfung bedeuten.
Der EU Cyber Resilience Act (CRA): Anwendungsbereich, Zeitplan und was er für Ihre Lieferkette bedeutet
Was der CRA verlangt, seine gestaffelten Termine (in Kraft 2024, Meldung Sep. 2026, volle Konformität Dez. 2027), wer in den Anwendungsbereich fällt und warum reine SaaS oft nicht, wie er NIS2 ergänzt und was er für Beschaffung und Lieferanten-Sorgfaltsprüfung bedeutet.
Die EU-KI-Verordnung: Risikostufen, Zeitplan und die Pflichten der Betreiber (Artikel 26)
Was die EU-KI-Verordnung verlangt: die Risikostufen, die gestaffelten Termine (in Kraft 2024, verboten Feb. 2025, GPAI Aug. 2025, Hochrisiko Aug. 2026), die Betreiberpflichten nach Art. 26, wie sie sich mit NIS2 und der DSGVO stapelt und was sie für die KI-Beschaffung bedeutet.
NIS2-Umsetzungsstand: in welchen EU-Ländern es in Kraft ist
Welche der 27 EU-Mitgliedstaaten NIS2 in nationales Recht überführt haben und welche noch daran arbeiten, und warum die Lücken Ihre Lieferkette ohnehin betreffen.
NIS2-Lieferantenvertragsklauseln: was Sie von Ihren Lieferanten verlangen sollten
Die Vertragsklauseln, die die Lieferkettenpflicht von NIS2 durchsetzbar machen: Sicherheitsbasis, Meldefenster, Nachweis- und Auditrechte, Weitergabe an Subunternehmer und laufende Überprüfung.
Nutzen Ihre Lieferanten KI? NIS2-Lieferantenrisiko trifft den EU AI Act
Lieferanten betten zunehmend KI in Dienste ein, von denen Sie abhängen, und deren Lieferanten ebenso. Wo KI von Lieferanten und in der n-ten Ebene Risiken nach NIS2 Art. 21(2)(d) und dem EU AI Act schafft, was zu bewerten ist und wie Sie den Überblick behalten.
Lieferanten-Identitätsbetrug und CEO-Fraud (BEC): E-Mail-Spoofing, DMARC und NIS2
Einer der häufigsten Lieferkettenangriffe braucht keinen Einbruch: gefälschte E-Mail, die eine Zahlung umlenkt oder Daten stiehlt. Wie BEC und Lieferanten-Identitätsbetrug funktionieren, welche SPF-, DKIM- und DMARC-Einstellungen sie stoppen und wie das zu NIS2 Art. 21(2)(d) passt.
Zuletzt geprüft: 19. Juni 2026
Dieser Leitfaden bietet allgemeine Informationen zum EU-Recht, keine Rechtsberatung. NIS2 wird durch das nationale Umsetzungsgesetz jedes EU-Mitgliedstaats wirksam, das im Detail abweichen kann. Prüfen Sie die für Sie geltenden Pflichten mit Ihrer zuständigen Behörde oder Ihrem Rechtsbeistand.