NIS2 Lieferkette & Lieferantenmanagement: Art. 21 Abs. 2 lit. d richtig umsetzen
Einer der groessten Veraenderungen gegenueber NIS1 ist die explizite Lieferkettenpflicht in NIS2. Ein betroffenes Unternehmen muss nicht mehr nur seine eigenen Systeme absichern — es muss auch die Sicherheit seiner Lieferanten pruefen und dokumentieren. Fuer die meisten Mittelstaendler ist das neu und aufwaendig.
Was genau fordert Art. 21 Abs. 2 lit. d?
Die Norm verpflichtet Einrichtungen zu Sicherheitsvorkehrungen entlang der Lieferkette, namentlich:
- Sicherheitsaspekte in Beziehungen zu direkten Lieferanten (inkl. Dienstleistern)
- Schwachstellen in der Lieferkette adressieren
- Lieferanten auswaehlen und steuern auf Basis von Cybersicherheitsanforderungen
- Vertraglich sichergestellte Sicherheitsniveaus
- Beruecksichtigung der Vertrauenswuerdigkeit der Lieferanten
Praktisch: Sie muessen ein strukturiertes Lieferantenmanagement aufbauen.
Zwei Dimensionen: Sie als Auftraggeber, Sie als Lieferant
Wenn Sie betroffen sind (wesentlich/wichtig)
Sie muessen Ihre Lieferanten pruefen:
- Lieferantenverzeichnis fuehren
- Kritikalitaetstiers zuordnen
- Sicherheitsanforderungen vertraglich vereinbaren
- Nachweise einholen (SOC 2, ISO 27001, etc.)
- Jaehrliche Reviews durchfuehren
- Exit-Szenarien dokumentieren
Wenn Sie Lieferant eines Betroffenen sind
Auch wenn Sie selbst nicht direkt NIS2-pflichtig sind:
- Ihr Kunde fordert Sicherheitsnachweise — sonst verlieren Sie den Auftrag
- Vertraegliche NIS2-aehnliche Pflichten werden zur Bedingung
- Audit-Rechte Ihres Kunden muessen erduldet werden
- Faktisch: 29.000 deutsche NIS2-Unternehmen werden Lieferantendruck auf geschaetzt 250.000-400.000 Zulieferer ausueben
Beide Dimensionen sind relevant — oft fuer dasselbe Unternehmen.
Lieferantenverzeichnis und Tiering
Was muss erfasst werden?
Mindestens:
- Name des Lieferanten
- Kontaktdaten + Sicherheits-Ansprechperson
- Art der erbrachten Leistung
- Zugriff auf eigene Systeme (ja/nein, welche)
- Umgang mit personenbezogenen Daten
- Standorte (DE/EU/Drittland)
- Tier (T0/T1/T2 — siehe unten)
- Jaehrliche Review-Daten
- Aktueller Zertifizierungsstatus
Kritikalitaetstiers
Tier 0 — Ersatzlos kritisch
- Ausfall/Kompromittierung wuerde den Betrieb zum Erliegen bringen
- Haben Zugriff auf Produktivsysteme, sensible Daten oder kritische Prozesse
- Beispiele: Cloud-Hauptprovider, Kernbank-System, ERP-SaaS, Identitaetsprovider (Okta/Entra)
- Audit-Rechte + hohe Anforderungen + jaehrliches Review + Exit-Plan erforderlich
Tier 1 — Geschaefts-kritisch
- Ausfall haette erhebliche negative Auswirkungen
- Haben indirekten Zugriff oder sind Teil wichtiger Prozesse
- Beispiele: Email-Hosting, Buchhaltungs-SaaS, HR-System, CRM
- Sicherheitsnachweise + jaehrliches Review
Tier 2 — Unterstuetzend
- Ausfall ist laestig, aber nicht kritisch
- Beispiele: Marketing-Tools, Meeting-Room-Booking, interne Wiki-Tools
- Minimale Pruefung, beim Onboarding dokumentiert
Tier 3 — Unkritisch
- Keine signifikante Gefahr oder Abhaengigkeit
- Beispiele: einmalige Kleinstbestellungen, Kaffeemaschine-Wartung
- Keine formale Pruefung noetig
Vertragliche Anforderungen
Vertragswerke fuer NIS2-Lieferanten sollten enthalten:
Sicherheitsanforderungen
- Mindestniveau (z.B. ISO 27001, SOC 2 Type 2, TISAX)
- Konkrete Einzelmassnahmen (MFA, Verschluesselung, Logging)
- Patch-Management-SLA
Meldepflichten
- Unverzueglich an Sie bei Sicherheitsvorfaellen
- Fristen kompatibel zu Ihrer eigenen NIS2-Meldefrist (d.h. idealerweise in unter 12 Stunden an Sie, damit Sie die 24h-Frist einhalten koennen)
- Informationstiefe definiert
Audit-Rechte
- Pruefung durch Sie oder unabhaengige Dritte
- Haeufigkeit (jaehrlich, ad hoc)
- Scope (Dokumente, technische Kontrollen, Pentest-Berichte)
- Fristen fuer Vorankuendigung
Weitergabe / Subunternehmer
- Unterauftragsvergabe nur mit Ihrer Zustimmung
- Weitergabe von Sicherheitsanforderungen an Subs
- Auflistung der kritischen Subs im Vertrag
Exit und Geschaeftskontinuitaet
- Ausstiegsklausel bei Sicherheitsvorfaellen
- Datenrueckgabe- und Loeschkonzept
- Uebergangsunterstuetzung
Haftung
- Vertragsstrafe bei Sicherheitsverletzungen
- Freistellung bei Drittklagen
- Versicherungsnachweis (Cyber-Insurance)
DSGVO (wenn personenbezogene Daten)
- Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
- TOM-Liste (technische und organisatorische Massnahmen)
Nachweis-Erhebung in der Praxis
Fuer jeden Lieferanten Tier 0 und Tier 1 erheben:
| Dokument | Typ 0 | Typ 1 | Typ 2 |
|---|---|---|---|
| Aktuelle ISO-27001-Zertifizierung ODER SOC 2 Type 2 Report | Pflicht | Pflicht | empfohlen |
| Security-Fragebogen (SIG, CAIQ, oder Eigenentwicklung) | Pflicht | Pflicht | optional |
| Aktueller Pentest-Bericht | Pflicht | empfohlen | nein |
| DSGVO-Compliance-Nachweis (bei personenbezogenen Daten) | Pflicht | Pflicht | Pflicht (wenn relevant) |
| Cyber-Versicherungsnachweis | Pflicht | empfohlen | nein |
| BCM/DR-Konzept | Pflicht | empfohlen | nein |
| Liste der eigenen kritischen Sub-Unternehmer | Pflicht | empfohlen | nein |
Registrierungspflicht — wichtiger Sonderfall
Nach NIS2 / NIS2UmsuCG muessen bestimmte Einrichtungen sich aktiv beim BSI registrieren:
- Innerhalb 3 Monaten nach Inkrafttreten bzw. Erfuellung der Kriterien
- Meldedaten umfassen: Name, Sektor, Anschrift, Kontaktperson, Leistungsbereich
- Aktualisierungen bei Aenderungen (Adresswechsel, Kontaktwechsel, Sektorwechsel)
- Bestimmte Anbieter digitaler Dienste (Cloud, DNS, Marktplatz) haben erweiterte Registrierungspflichten inkl. Mitgliedsstaaten, Durchfuehrungsland, Infrastrukturdaten
Die Registrierung ist nicht optional. Verstoss gegen Registrierungspflicht ist eigenstaendiger Sanktionstatbestand.
Jaehrliches Lieferanten-Review — der Prozess
- Review-Kalender fuehren, Liste priorisiert nach Tier
- Nachweise erneuern — aktuelle Zertifizierungen, Pentest-Berichte nicht aelter als 12 Monate
- Bewertungsgespraech fuer Tier 0, schriftlicher Austausch fuer Tier 1
- Risikobewertung updaten — hat sich Kritikalitaet geaendert?
- Findings dokumentieren — offene Massnahmen, Verantwortlichkeiten, Termine
- Entscheidung dokumentieren: weitermachen, Remediation erzwingen, oder Exit einleiten
Typische Fehler
1. Lieferantenverzeichnis unvollstaendig
Procurement kennt den Tech-Stack nicht, IT kennt die Vertraege nicht. Finance kennt die Rechnungen aber nicht die Daten-Zugriffsrechte. Erstellen Sie einen Single Source of Truth.
2. Zu rigide Anforderungen
Wenn Sie einem Zwei-Personen-Freelancer SOC 2 Type 2 abverlangen, verlieren Sie ihn. Tiering muss praktikabel sein.
3. Papierakzeptanz ohne Pruefung
"Schicken Sie uns Ihren SOC-2-Report" ohne ihn zu lesen = Scheinsicherheit. Der Report muss gelesen und die Exceptions bewertet werden.
4. Exit-Planung vergessen
Ein kritischer Cloud-Provider kompromittiert wird — und Sie koennen nicht wechseln. Exit-Plaene jaehrlich aktualisieren.
5. Sub-Unternehmer uebersehen
Ihr Lieferant hat seinerseits 20 Subs. NIS2 verlangt, dass die Anforderungen durchgereicht werden. Vertraglich absichern.
Kostenschaetzung fuer Lieferantenmanagement
Typischer Mittelstaendler (150 Lieferanten im Verzeichnis, 15 Tier 0, 40 Tier 1):
| Aktivitaet | Aufwand |
|---|---|
| Lieferanten-Audit T0 (pro Jahr) | 3-5 Personentage pro Lieferant |
| T1-Review | 1-2 Personentage pro Lieferant |
| T2-Basiskontrolle | 0,5 Personentage pro Lieferant |
| Jaehrlicher Gesamtaufwand | 120-200 Personentage |
Kostenaequivalent bei 500-800 EUR/PT: EUR 60.000-160.000/Jahr fuer die Lieferantenpruefung allein. Automatisierung (via Matproof oder aehnlich) kann das auf 50-70% reduzieren.
Wie Matproof unterstuetzt
- Lieferanten-Inventarmodul mit Tiering und Risikoscoring
- Automatisierte Nachweis-Erinnerungen (Zertifikate laufen ab, Pentest-Berichte veralten)
- Vertragsklausel-Bibliothek fuer DE / EU (NIS2-kompatibel, AVV, SLA-Vorlagen)
- Lieferanten-Self-Service-Portal — Lieferanten laden Nachweise selbst hoch
- Review-Workflow mit automatischer Eskalation
- BSI-Registrierungsvorbereitung mit Dokumentenbuendel
- Exit-Plaene-Tracker je Tier-0-Lieferant
- EU-gehostet, DSGVO-nativ
Demo anfordern • NIS2 Readiness