NIS2-Leitfaden

NIS2-Leitfaden · 8 Min.

NIS2-Lieferantenvertragsklauseln: was Sie von Ihren Lieferanten verlangen sollten

NIS2 macht Sie für das Cyberrisiko Ihrer Lieferanten verantwortlich (Artikel 21 Absatz 2 Buchstabe d), und diese Verantwortung können Sie nicht auslagern. Der Vertrag ist der Ort, an dem die Pflicht real wird: Er erlaubt Ihnen, Nachweise zu verlangen, rechtzeitig über Vorfälle informiert zu werden, um Ihre eigenen Meldefristen einzuhalten, und einen Lieferanten an einer Sicherheitsbasis festzuhalten. Dies ist eine praktische Checkliste der wesentlichen Klauseln: warum es jede gibt und wie man sie durchsetzbar statt dekorativ macht.

Wichtigste Erkenntnisse

  • Die Lieferkettenpflicht liegt bei Ihnen; der Vertrag ist Ihr Mittel, sie die Kette hinab weiterzugeben.
  • Die Meldefrist-Klausel schützt Ihre eigenen Fristen nach Artikel 23.
  • Eine unterschriebene Klausel ist keine Gewähr: kombinieren Sie sie mit einer laufenden Überprüfung.

Warum Vertragsklauseln, nicht nur ein Fragebogen

Ein Fragebogen erfasst die Behauptungen eines Lieferanten an einem einzigen Tag. Ein Vertrag schafft Pflichten, auf die Sie reagieren können: eine Basis, die er erfüllen muss, eine Pflicht, Sie zu informieren, wenn etwas ausfällt, und ein Recht zur Prüfung. NIS2 Artikel 21 Absatz 2 Buchstabe d erwartet, dass Sie die Sicherheit der Beziehung zu Ihren direkten Lieferanten steuern, und Artikel 23 kann den Vorfall eines Lieferanten zu Ihrer Meldefrist machen. Beides funktioniert nicht allein auf Treu und Glauben; beides muss schriftlich festgehalten werden.

Offizielle Quelle: NIS2-Richtlinie auf EUR-Lex — Artikel 21 Absatz 2 Buchstabe d (Lieferkettenmaßnahmen) und Artikel 23 (Vorfallmeldung).

Die aufzunehmenden Klauseln

Passen Sie den Wortlaut an Ihre Branche und Ihren Rechtsbeistand an, aber decken Sie jede dieser Klauseln ab. Sie entsprechen unmittelbar den von NIS2 erwarteten Maßnahmen und den auferlegten Fristen.

1

Auf NIS2-Maßnahmen abgebildete Sicherheitsbasis

Verlangen Sie, dass der Lieferant die für die Leistung relevanten Maßnahmen nach Artikel 21 Absatz 2 aufrechterhält: Risikomanagement, Zugriffskontrolle, MFA, Verschlüsselung, Schwachstellenbehandlung und Patching sowie getestete Backups. Verweisen Sie ausdrücklich auf die Maßnahmen, damit der Maßstab objektiv ist und nicht eine vage 'bewährte Branchenpraxis'.

2

Meldefenster für Vorfälle

Setzen Sie eine harte Frist (üblicherweise 24 Stunden), in der der Lieferant Ihnen einen Ihre Leistung betreffenden Sicherheitsvorfall melden muss, einen benannten Ansprechpartner, der auch außerhalb der Geschäftszeiten erreichbar ist, und die Mindestangaben der Meldung. So können Sie Ihre eigene 24-Stunden-Frühwarnung und 72-Stunden-Meldung nach Artikel 23 einhalten.

3

Recht auf Nachweise und Audit

Behalten Sie sich das Recht vor, Nachweise der Kontrollen zu verlangen (Zertifikate, Testergebnisse, Scan-Ausgaben) und bei Lieferanten mit höherem Risiko zu auditieren oder eine unabhängige Bewertung zu beauftragen. Ohne dieses Recht ist 'wir sind sicher' nicht überprüfbar.

4

Weitergabe an Subunternehmer (Viertparteien)

Verlangen Sie, dass der Lieferant gleichwertige Sicherheits- und Meldepflichten seinen eigenen Subunternehmern auferlegt und diejenigen offenlegt, die Ihre Daten wesentlich verarbeiten oder die Leistung unterstützen. Ihr Risiko endet nicht beim direkten Lieferanten.

5

Verpflichtungen zu Schwachstellen und Patching

Definieren Sie erwartete Fristen zur Behebung aktiv ausgenutzter und kritischer Schwachstellen auf den Systemen, die Sie bedienen, und die Pflicht, Sie zu informieren, wenn eine relevante Schwachstelle nicht rechtzeitig behoben werden kann.

6

Datenstandort und Transparenz der Unterauftragsverarbeiter

Verlangen Sie die Offenlegung, wo Ihre Daten verarbeitet und gespeichert werden und welche Unterauftragsverarbeiter eingesetzt werden, mit Vorabankündigung wesentlicher Änderungen. Das stützt sowohl Ihre NIS2-Lieferkettensicht als auch Ihre DSGVO-Pflichten.

7

Mitwirkung, Behebung und Eintrittsrecht

Verpflichten Sie den Lieferanten zur Mitwirkung an Ihrer Vorfallreaktion und mit jeder Behörde, zur Behebung von Befunden in vereinbarten Fristen, und räumen Sie sich Rechtsbehelfe ein (Behebungsplan, Eskalation, letztlich Kündigung), falls dies ausbleibt.

8

Fortgeltung und Datenrückgabe bei Beendigung

Stellen Sie sicher, dass Vertraulichkeit, Nachweispflichten und die sichere Rückgabe oder Löschung Ihrer Daten die Beendigung überdauern, damit ein ausscheidender Lieferant nicht zu einer unüberwachten Exposition wird.

Sehen Sie, wie Ihre Lieferanten tatsächlich abschneiden

7 Tage kostenlos · keine Kreditkarte · jederzeit kündbar

Unterschreiben, dann laufend überprüfen

Eine Vertragsklausel begründet die Pflicht; sie sagt nicht, ob der Lieferant sie heute tatsächlich erfüllt. Die Lücke zwischen Unterschrift und Realität ist dort, wo Lieferkettenvorfälle entstehen. Kombinieren Sie die Klauseln mit einer laufenden, externen Überwachung der Lage jedes Lieferanten, damit Sie, wenn etwas abdriftet (ein ablaufendes Zertifikat, geleakte Zugangsdaten, ein neu exponierter Dienst), es sehen und die Klausel geltend machen können, statt es aus der Vorfallmeldung zu erfahren.

Häufige Fehler

  • Ein vager Maßstab 'angemessene Sicherheitsmaßnahmen' ohne objektiv Durchsetzbares.
  • Keine Meldefrist, sodass Sie von einem Lieferantenvorfall erst erfahren, wenn Ihre eigene Frist bereits läuft.
  • Klauseln, die beim direkten Lieferanten enden und Subunternehmer ignorieren.
  • Einmal unterschreiben und nie überprüfen, den Vertrag als Ende der Sorgfalt statt als Anfang behandeln.

Lieferantenüberwachung auf NIS2-Niveau ansehen

Ein Musterbericht (Befunde, NIS2-Zuordnung und Nachweise) in zwei Minuten.

7 Tage kostenlos · keine Kreditkarte · jederzeit kündbar

Verwandte Leitfäden

Wie Sie NIS2 erfüllen: ein Schritt-für-Schritt-Fahrplan

Die Schritte zur NIS2-Konformität in der richtigen Reihenfolge: Anwendungsbereich bestätigen, registrieren, Verantwortung der Leitung (Art. 20), die Maßnahmen nach Art. 21 Abs. 2, Lieferkettensicherheit, Vorfallmeldung (Art. 23) und fortlaufende, nachgewiesene Absicherung.

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.

NIS2 für Lieferanten: Sie sind nicht eingestuft, aber Ihre Kunden

Die meisten Unternehmen werden nie unter NIS2 eingestuft, müssen aber dennoch konform sein. Wie die Lieferkettenpflicht eines erfassten Kunden nach Artikel 21 Absatz 2 Buchstabe d auf Sie übergeht, was er verlangt und wie Sie glaubwürdig reagieren.

NIS2 und die Lieferkettenpflicht: was das in der Praxis bedeutet

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

NIS2 Art. 21(2): Sicherheits-Checkliste für Lieferanten

Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.

NIS2-Vorfallmeldung: die 24- und 72-Stunden-Fristen erklärt

Was ein erheblicher Vorfall ist, der Zeitplan nach Artikel 23 (24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht nach einem Monat) und wann der Vorfall eines Lieferanten zu Ihrer Pflicht wird.

NIS2 und die Verantwortung der Leitung: Was Vorstand und Geschäftsführung wissen müssen

Was NIS2 vom Leitungsorgan erwartet: Genehmigungs- und Aufsichtspflichten, persönliche Haftung (Art. 20), Schulung, Vorstands-KPIs und die Sanktionen nach Art. 34.

ISO 27001 und NIS2: Was Ihr ISMS bereits abdeckt, und die Lücken, die bleiben

Wenn Sie ISO 27001 halten: was auf NIS2 übertragbar ist und was nicht (gesetzliche Vorfallmeldung, Haftung der Leitung, Registrierung und kontinuierliche Lieferkettensicherung) und wie Sie die Lücke schließen.

NIS2-Bußgelder und Sanktionen: wie hoch, wer haftet und wie man sie vermeidet

Was NIS2-Sanktionen sind: die Obergrenzen nach Artikel 34 (10 Mio. € / 2 % für wesentliche, 7 Mio. € / 1,4 % für wichtige Einrichtungen), die persönliche Haftung der Leitung (Art. 20, Art. 32), nicht-monetäre Durchsetzung und wie man sie vermeidet.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.

DSGVO vs. NIS2: Überschneidungen, Unterschiede und wann ein Vorfall beide auslöst

Wie sich DSGVO und NIS2 unterscheiden und überschneiden, wann ein Vorfall beide auslöst (DSGVO Art. 33 72 h an die Datenschutzbehörde vs. NIS2 Art. 23 24 h/72 h/ein Monat an das CSIRT), die Art.-35-Kooperation und das Verbot des doppelten Bußgelds, und was beide für die Lieferanten-Sorgfaltsprüfung bedeuten.

Der EU Cyber Resilience Act (CRA): Anwendungsbereich, Zeitplan und was er für Ihre Lieferkette bedeutet

Was der CRA verlangt, seine gestaffelten Termine (in Kraft 2024, Meldung Sep. 2026, volle Konformität Dez. 2027), wer in den Anwendungsbereich fällt und warum reine SaaS oft nicht, wie er NIS2 ergänzt und was er für Beschaffung und Lieferanten-Sorgfaltsprüfung bedeutet.

Die EU-KI-Verordnung: Risikostufen, Zeitplan und die Pflichten der Betreiber (Artikel 26)

Was die EU-KI-Verordnung verlangt: die Risikostufen, die gestaffelten Termine (in Kraft 2024, verboten Feb. 2025, GPAI Aug. 2025, Hochrisiko Aug. 2026), die Betreiberpflichten nach Art. 26, wie sie sich mit NIS2 und der DSGVO stapelt und was sie für die KI-Beschaffung bedeutet.

NIS2-Umsetzungsstand: in welchen EU-Ländern es in Kraft ist

Welche der 27 EU-Mitgliedstaaten NIS2 in nationales Recht überführt haben und welche noch daran arbeiten, und warum die Lücken Ihre Lieferkette ohnehin betreffen.

Zuletzt geprüft: 19. Juni 2026

Dieser Leitfaden bietet allgemeine Informationen zum EU-Recht, keine Rechtsberatung. NIS2 wird durch das nationale Umsetzungsgesetz jedes EU-Mitgliedstaats wirksam, das im Detail abweichen kann. Prüfen Sie die für Sie geltenden Pflichten mit Ihrer zuständigen Behörde oder Ihrem Rechtsbeistand.