norppa.io
Alle Leitfäden

Leitfaden · 12 Min. Lesezeit

NIS2 und die Lieferkettenanforderung — was das in der Praxis bedeutet

Die NIS2-Richtlinie hat die Cybersicherheitspflichten in ganz Europa neu gestaltet. Eine der konkretesten Anforderungen betrifft die Lieferkette: Sie müssen die Cyberrisiken Ihrer Lieferanten managen, nicht nur Ihre eigenen. Dies bedeutet nicht einen einmal im Jahr verschickten Fragebogen. Die Umsetzungsfrist (17. Oktober 2024) ist verstrichen und die Pflichten gelten nun; die Mitgliedstaaten überführen NIS2 unterschiedlich schnell in nationales Recht, und die Durchsetzung hat begonnen.

Für wen gilt die Anforderung?

NIS2 unterteilt Einrichtungen anhand von Sektor und Größe in zwei Kategorien:

Wesentliche Einrichtungen

Energie, Verkehr, Bank- und Finanzmärkte, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, staatliche IKT und Raumfahrt.

Wichtige Einrichtungen

Post- und Kurierdienste, Abfallwirtschaft, Chemikalien, Lebensmittelproduktion, verarbeitendes Gewerbe, digitale Dienste und Forschungseinrichtungen.

Die Größenschwelle liegt allgemein bei 50 Mitarbeitern oder einem Jahresumsatz von 10 Mio. €. Unternehmen, die diese Schwelle überschreiten, fallen automatisch unter NIS2.

Wichtig: Auch kleinere Unternehmen können durch Verträge den Anforderungen unterliegen — wenn Sie kritische Dienstleistungen für einen NIS2-verpflichteten Kunden erbringen, wird dieser wahrscheinlich Compliance-Anforderungen vertraglich einfordern.

Offizielle Quelle: NIS2-Richtlinie auf EUR-Lex — siehe insbesondere Erwägungsgründe 80–90 und Art. 21.

Was fordert Art. 21(2)(d) konkret?

Artikel 21(2)(d) schreibt Maßnahmen zur Lieferkettensicherheit und zu Lieferantenbeziehungen vor. Basierend auf ENISA-Leitlinien und nationalen Aufsichtsbehörden hat die Anforderung vier Kernelemente:

1

Lieferanten-Risikobewertung vor Vertragsschluss

Vor der Aufnahme eines neuen Lieferanten müssen Sie dessen Cybersicherheitsstand bewerten. Dies ist nicht nur ein Fragebogen — es bedeutet eine nachprüfbare Bewertung: Hat der Lieferant einen Sicherheitsvorfall erlitten, gibt es bekannte Schwachstellen in seiner Infrastruktur, sind seine Zertifikate gültig? Die Bewertung sollte den gesamten im Internet sichtbaren Fußabdruck des Lieferanten abdecken — nicht nur die Hauptdomain, sondern auch IP-Adressen und Infrastruktur außerhalb davon (z. B. VPN-Gateways, Mail-Relays, dedizierte Hosts).

2

Vertragsklauseln und Meldepflichten

Verträge müssen eine Klausel enthalten, die den Lieferanten zur unverzüglichen Meldung von Sicherheitsvorfällen verpflichtet. Ohne diese können Sie Ihre eigene 24-Stunden-Erstmeldepflicht an die Aufsichtsbehörde nicht erfüllen, wenn ein Lieferantenvorfall Ihre Dienste beeinträchtigt.

3

Kontinuierliche Überwachung während des Vertragsverhältnisses

Hier hinken die meisten Organisationen noch hinterher. Der NIS2-Standard 'angemessener Maßnahmen' verlangt in der Praxis kontinuierliche Überwachung — nicht nur eine jährliche Prüfung. Die Situation eines Lieferanten kann sich innerhalb eines Tages radikal ändern: Ransomware, ein Sicherheitsvorfall, eine kritische Schwachstelle. Eine Jahresbewertung wird dies wahrscheinlich nicht rechtzeitig erkennen.

4

Dokumentierte Prüfnachweise

Die Aufsichtsbehörde kann Nachweise anfordern, wie Sie Lieferantenrisiken gemanagt haben. "Wir haben die Situation überwacht" reicht nicht — Sie benötigen zeitgestempelte Dokumentation von Befunden, ergriffenen Maßnahmen und akzeptierten Risiken.

Warum Jahresbewertungen allein nicht ausreichen

Eine traditionelle Lieferantenprüfung — ein Fragebogen einmal jährlich, vielleicht ein Zertifikat — entspricht der Grundintention von NIS2, erfüllt aber nicht die Pflicht zur kontinuierlichen Überwachung. Betrachten Sie diese realen Szenarien:

!

Ihr Lieferant wird im Januar von Ransomware getroffen. Ihre Jahresprüfung wurde im März abgeschlossen. Sie erfahren davon im Juni, als sich ein Projekt verzögert.

!

Die Mitarbeiteranmeldedaten Ihres Lieferanten werden auf Dark-Web-Märkten veröffentlicht. Sie wissen davon nichts, bis ein Angreifer sie nutzt, um auf Systeme zuzugreifen, auf die der Lieferant Zugang hat.

!

Das TLS-Zertifikat Ihres Lieferanten läuft ab und sein Dienst fällt aus. Sie erfahren davon über Kundenbeschwerden.

Alle drei sind erkennbare Szenarien — typische Wege, auf denen Lieferantenrisiken eintreten. Kontinuierliche Überwachung bedeutet, diese Veränderungen innerhalb von Tagen zu erkennen, nicht Monaten.

Lieferanten-Tiering: Priorisierung

Nicht alle Lieferanten müssen mit der gleichen Intensität überwacht werden. Risikobasiertes Tiering ist sowohl praktisch als auch mit dem Geist der Richtlinie vereinbar:

Tier 1 — Kritische Lieferanten

Direkter Zugang zu Ihren Systemen, Daten oder Produktionsumgebungen. Höchste Überwachungsstufe, vollständiger SAQ, kontinuierliche technische Überwachung. Beispiele: Cloud-Anbieter, ERP-Anbieter, Managed Security Services.

Tier 2 — Wichtige Lieferanten

Bedeutende Rolle im Betrieb, aber begrenzter direkter Zugang zu kritischen Systemen. Regelmäßige technische Überwachung, vereinfachter SAQ. Beispiele: HR-Software, Marketing-Tools, Logistikpartner.

Tier 3 — Risikoarme Lieferanten

Begrenzter oder kein direkter Zugang zu kritischen Daten. Jahresprüfung ausreichend. Beispiele: Bürobedarf, Reinigungsdienste, Catering.

Viertparteien-Risiko — die oft übersehene Ebene

NIS2 beschränkt sich nicht auf Ihre direkten Lieferanten. Die eigenen Lieferanten Ihrer Lieferanten können ein Risiko für Sie darstellen. Wenn Ihr Cloud-Anbieter einen Subunternehmer für Rechenzentrumsdienste nutzt und dieser einen Angriff erleidet, kann der Schaden durch die gesamte Kette eskalieren.

Aus diesem Grund sollte die Lieferantenbewertung die Frage einschließen: Kennt der Lieferant seine eigenen kritischen Subunternehmer und werden diese ihrerseits bewertet?

Art. 23: Meldepflicht bei Lieferantenvorfällen

Wenn ein Sicherheitsvorfall eines Lieferanten eine erhebliche Unterbrechung Ihrer eigenen Dienste verursacht, haben Sie eine 24-stündige Erstmeldepflicht gegenüber der nationalen Aufsichtsbehörde, gefolgt von einer vollständigen Meldung nach 72 Stunden und einem abschließenden Bericht nach einem Monat.

Das praktische Problem: Um rechtzeitig von einem Lieferantenvorfall zu erfahren, benötigen Sie Echtzeit-Einblick in dessen Status. Lieferanten melden Vorfälle nicht immer proaktiv — oder tun dies zu spät. Kontinuierliche Überwachung schließt diese Lücke.

ENISA-Leitlinien: ENISA NIS2-Implementierungsressourcen — Leitlinien zur Vorfallsmeldung und zu Sicherheitsmaßnahmen.

Was suchen die Aufsichtsbehörden?

Nationale Aufsichtsbehörden bewerten die Compliance anhand praktischer Nachweise, nicht Aussagen. Für eine Prüfung nützliche Unterlagen umfassen:

  • Lieferantenregister mit Tiering und Risikoklassifizierung
  • SAQ-Antworten mit Daten
  • Technische Überwachungsprotokolle — was wurde geprüft, wann, was festgestellt
  • Dokumentation akzeptierter Risiken — eine schriftliche Entscheidung für Risiken, die zur Kenntnis genommen und akzeptiert wurden
  • Reaktionshistorie — wie auf Befunde reagiert wurde und bis wann

Diese Unterlagen müssen auf Anfrage vorgelegt werden können. Eine nach einer Anfrage nachträglich zusammengestellte Dokumentation reicht in der Praxis selten aus.

Wie norppa.io hilft

norppa.io ist genau für diese Herausforderungen konzipiert. Jede überwachte Lieferantendomain wird in 100+ Prüfpunkten täglich, kritische Ereignisse alle sechs Stunden überprüft — automatisch, ohne manuellen Aufwand. Befunde werden automatisch den NIS2-Artikeln zugeordnet, der monatliche PDF-Bericht liegt im für die Geschäftsleitung geeigneten Format vor, und die vollständige Historie kann als CSV für Prüfer exportiert werden.

Der Selbstbewertungsfragebogen (SAQ) wird den Lieferanten direkt aus norppa.io gesendet, und die Antworten werden mit dem technischen Risikoprofil kombiniert — eine einheitliche Sicht auf technische und prozessuale Ebene.

Möchten Sie sehen, wie der Bericht in der Praxis aussieht?

norppa.io automatisiert die technische Überwachung und erstellt NIS2-Prüfnachweise. Sehen Sie den Musterbericht — echtes Format, fiktive Daten.

Musterbericht ansehen

Verwandte Leitfäden

NIS2 Art. 21(2) — Sicherheits-Checkliste für Lieferanten

Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.