norppa.io
Alle Leitfäden

Leitfaden · 9 Min. Lesezeit

NIS2 Art. 21(2) — Sicherheits-Checkliste für Lieferanten

Eine praktische Checkliste für Beschaffungs- und Sicherheitsteams. Verwenden Sie sie sowohl bei der Aufnahme neuer Lieferanten als auch bei jährlichen Überprüfungen — was zu fragen ist, welche Nachweise zu sammeln sind und wie bei Mängeln zu reagieren ist.

NIS2 Art. 21(2)(d) verpflichtet Sie, die Cybersicherheitsposition Ihrer Lieferanten als Teil Ihres eigenen Lieferketten-Risikomanagements zu bewerten. Die Anforderung gilt sowohl für neue Lieferanten als auch für bestehende Beziehungen — eine jährliche Überprüfung ist das Minimum.

Diese Checkliste deckt die sechs für die Lieferkettensicherheit relevantesten Art. 21(2)-Unterklauseln ab. Jeder Abschnitt enthält drei Fragen, eine kurze Erläuterung der Bedeutung und einen Vorschlag für Nachweisdokumente.

Hinweis: Diese Checkliste ist empfehlend — Ihre zuständige Behörde oder Ihr Prüfer kann je nach Branche oder Organisationsgröße zusätzliche Maßnahmen verlangen. Bei vertraglichen Anforderungen sollten Sie einen Rechtsanwalt konsultieren.

Art. 21(2)(a)Risikomanagement

NIS2 verlangt, dass Ihre Lieferanten Cyberrisiken systematisch managen — nicht nur jährlich, sondern kontinuierlich. Fordern Sie Nachweise für den Prozess, nicht nur eine Ja/Nein-Antwort.

  • Der Lieferant verfügt über einen dokumentierten Cybersicherheits-Risikomanagementprozess (z. B. ISMS oder ISO 27001-Zertifizierung)
  • Das Risikomanagement wird regelmäßig von der Geschäftsführung oder dem Vorstand überprüft — letztes Überprüfungsdatum bekannt
  • Kritische Informationssysteme und Datenverarbeitungsverantwortlichkeiten sind inventarisiert und klassifiziert

Empfohlene Nachweisdokumente:

  • · Risikomanagement-Richtlinie oder ISMS-Dokumentation
  • · ISO 27001-Zertifikat oder gleichwertiger Auditbericht

Art. 21(2)(b)Vorfallmanagement

NIS2 Art. 23 verlangt, dass erhebliche Vorfälle innerhalb von 24 Stunden an die Aufsichtsbehörde gemeldet werden. In der Praxis ist dies nur möglich, wenn Ihr Lieferant Sie rechtzeitig informiert — deshalb sollte die Meldepflicht im Vertrag festgehalten werden.

  • Der Lieferant hat einen dokumentierten Incident-Response-Prozess mit einem getesteten IR-Plan
  • Der Lieferant verpflichtet sich vertraglich, Sie innerhalb von 24 Stunden nach Erkennung eines erheblichen Vorfalls zu informieren
  • Ein benannter Incident-Ansprechpartner (CSIRT-Kontakt) ist rund um die Uhr erreichbar

Empfohlene Nachweisdokumente:

  • · Zusammenfassung des Incident-Response-Plans
  • · Schriftliche 24-Stunden-Meldezusage im Vertrag

Art. 21(2)(d)Lieferkette

NIS2 erstreckt sich auch auf die Lieferanten Ihrer Lieferanten — das sogenannte Viertparteien-Risiko. Sie müssen wissen, wer auf Ihre Daten oder Systeme zugreift, auch indirekt über Subunternehmer.

  • Der Lieferant kennt seine eigenen kritischen Subunternehmer, die Zugang zu Daten oder Systemen haben
  • Der Lieferant hat einen Prozess zur mindestens jährlichen Bewertung der Sicherheit seiner Subunternehmer
  • Sicherheitsanforderungen sind in den eigenen Verträgen des Lieferanten festgehalten — nicht nur als allgemeiner Verweis

Empfohlene Nachweisdokumente:

  • · Subunternehmerregister oder Übersicht kritischer 4. Parteien
  • · Beschreibung des Viertparteien-Bewertungsprozesses

Art. 21(2)(e)Beschaffung und Entwicklung

Bekannte Schwachstellen und End-of-Life-Software gehören zu den häufigsten Angriffsvektoren. Der Lieferant muss ein aktives Schwachstellenmanagement nachweisen.

  • Im Produktionsumfeld werden keine bekannten End-of-Life- oder End-of-Support-Softwareversionen betrieben
  • Kritische Schwachstellen (CVSS ≥ 9,0) werden innerhalb von 30 Tagen nach öffentlicher Bekanntgabe behoben
  • CISA KEV-gelistete Schwachstellen werden innerhalb von 48 Stunden nach Aufnahme in die Liste behoben

Empfohlene Nachweisdokumente:

  • · Beschreibung des Schwachstellenmanagementprozesses
  • · Aktuellster Patch-Bericht oder Schwachstellenstatus-Snapshot

Art. 21(2)(h)Kryptographie

Abgelaufene TLS-Zertifikate, fehlende HTTPS-Weiterleitungen und falsch konfigurierte E-Mail-Sicherheit sind technische Lücken, die norppa.io täglich automatisch prüft.

  • Alle öffentlichen Dienste verwenden ein gültiges, nicht abgelaufenes TLS-Zertifikat — keine selbstsignierten oder abgelaufenen Zertifikate
  • HTTPS-Weiterleitung ist bei allen Web-Eigenschaften und API-Endpunkten erzwungen
  • E-Mail-Sicherheit ist korrekt konfiguriert: SPF (hardfail), DKIM (signiert) und DMARC (mindestens Quarantäne-Richtlinie)

Empfohlene Nachweisdokumente:

  • · Beschreibung des TLS-Zertifikatsmanagementprozesses
  • · DMARC-Bericht oder DNS-Konfigurationsausdruck

Art. 21(2)(i)Zugriffskontrolle

Gestohlene Anmeldedaten sind der häufigste Ausgangspunkt für Cyberangriffe. Der Lieferant muss sowohl die Verhinderung von Credential-Missbrauch als auch eine schnelle Erkennung nachweisen.

  • MFA ist auf allen kritischen Systemen und Administratorkonten zwingend vorgeschrieben — keine Ausnahmen
  • Credential-Leak-Monitoring ist eingerichtet (Dark-Web-Quellen, HIBP oder gleichwertiger Dienst)
  • Kompromittierte Anmeldedaten werden bei Erkennung sofort geändert und der Vorfall dokumentiert

Empfohlene Nachweisdokumente:

  • · Screenshot der MFA-Erzwingungskonfiguration oder Richtlinie
  • · Credential-Leak-Monitoring-Anbieter oder Prozessbeschreibung

Was tun, wenn ein Lieferant die Checkliste nicht erfüllt?

Eine einzelne Lücke bedeutet nicht automatisch das Ende der Lieferantenbeziehung. Entscheidend ist eine systematische Reaktion und die Dokumentation der ergriffenen Maßnahmen.

1–2 Lücken: dokumentieren und akzeptieren

Erfassen Sie die Lücken im Lieferantenregister, bitten Sie den Lieferanten, innerhalb von 90 Tagen einen Behebungsplan vorzulegen, und führen Sie beim nächsten Jahrescheck eine Nachkontrolle durch.

3–5 Lücken oder eine Lücke in Art. 21(2)(b): verstärkte Überwachung

Stufen Sie den Lieferanten in eine höhere Risikokategorie ein. Fordern Sie einen schriftlichen Behebungsplan mit Fristen. Erwägen Sie, den Zugang zu den kritischsten Systemen einzuschränken, bis die Lücken behoben sind.

6+ Lücken oder eine kritische technische Schwachstelle: eskalieren

Eskalieren Sie an den CISO oder die Geschäftsleitung. Prüfen Sie den Einsatz vertraglicher Maßnahmen. Wenn der Lieferant Zugang zu Produktionsdaten oder -systemen hat, erwägen Sie, den Zugang auszusetzen, bis die Situation geklärt ist.

Welche Punkte können automatisiert werden?

Sechs Punkte dieser Checkliste sind technischer Natur — sie ändern sich im Laufe der Zeit, ohne dass der Lieferant Sie notwendigerweise informiert. Eine manuelle Jahresüberprüfung erfüllt wahrscheinlich nicht den NIS2-Standard 'angemessener Maßnahmen' für eine laufende Überwachung.

norppa.io prüft diese Punkte täglich automatisch für alle Ihre Lieferanten:

  • Art. 21(2)(h): TLS-Zertifikatsgültigkeit und HTTPS-Weiterleitungen, SPF/DKIM/DMARC-Konfiguration, DNSSEC
  • Art. 21(2)(i): Credential-Leaks aus Dark-Web-Quellen und HIBP-Datenbanken
  • Art. 21(2)(e): CISA KEV-Listungsüberwachung, Schwachstellenbefunde basierend auf CVE/EPSS-Bewertung
  • Art. 21(2)(b): Ransomware-Opferlistungen — sofortige Warnung, wenn ein Lieferant auf einer Opferliste erscheint

Prozessbezogene Punkte (Art. 21(2)(a), (b), (d)) werden durch den norppa.io SAQ-Selbstbewertungsfragebogen abgedeckt, den Sie Lieferanten direkt aus dem Portal senden können.

Offizielle Quellen

Automatisieren Sie technische Prüfungen mit norppa.io

norppa.io prüft die technischen Punkte dieser Checkliste täglich automatisch — für alle Ihre Lieferanten gleichzeitig. Befunde werden automatisch den NIS2 Art. 21(2)-Unterklauseln zugeordnet.

Musterbericht ansehenSAQ ausfüllen

Verwandte Leitfäden

NIS2 und die Lieferkettenpflicht — was das in der Praxis bedeutet

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.