NIS2 Lieferkettensicherheit – Teil 5: Sicherheit der Lieferkette & Cyber-Supply-Chain-Risiken

• 5.1 Konzept für die Sicherheit der Lieferkette
• 5.2 Verzeichnis der Anbieter und Diensteanbieter

Auf nis2-umsetzung.com findet sich dazu eine eigene Kategorie mit allen relevanten Anforderungen:

👉 Kategorie „5. Sicherheit der Lieferkette“
https://nis2-umsetzung.com/nis2umsvoannex-category/5-supply-chain-security/

👉 5.1 Konzept für die Sicherheit der Lieferkette
https://nis2-umsetzung.com/nis2umsvoannex/5-1-konzept-fuer-die-sicherheit-der-lieferkette/

👉 5.2 Verzeichnis der Anbieter und Diensteanbieter
https://nis2-umsetzung.com/nis2umsvoannex/5-2-verzeichnis-der-anbieter-und-diensteanbieter/

Der ENISA Technical Implementation Guidance und die Studie „Good practices for supply chain cybersecurity“ betonen:
Cyberangriffe über die Lieferkette sind eines der kritischsten Risiken – und erfordern ein strukturiertes Cyber-Supply-Chain-Risk-Management (C-SCRM).

1. Warum NIS2 Lieferkettensicherheit so stark in den Fokus rückt

Ein einziger kompromittierter Dienstleister kann IT-Systeme lahmlegen, Daten abfließen lassen und den Geschäftsbetrieb massiv beeinträchtigen.

• Unternehmen müssen Risiken aus der Lieferkette identifizieren & bewerten.
• Zertifikate oder Werbeaussagen eines Anbieters reichen nicht aus.
• NIS2 verlangt ein Lieferkettenkonzept + Verzeichnis der Anbieter.

ENISA ergänzt dies durch Beispiele, Anforderungen und Nachweise für ein praxistaugliches Supply-Chain-Security-System.

2. Baustein 5.1: Konzept für die Sicherheit der Lieferkette

Die NIS2UmsVO verlangt ein dokumentiertes Konzept, das:

• die Rolle der Organisation in der Lieferkette beschreibt,
• auf der Risikobewertung aufbaut,
• konkrete Auswahlkriterien für Anbieter festlegt,
• Vertragsanforderungen definiert,
• Kontroll- und Prüfmechanismen beschreibt.

2.1 Rolle in der Lieferkette klären

Wichtige Fragen für den Start:

• Sind wir Betreiber kritischer Dienste und beziehen Leistungen von Dritten?
• Sind wir selbst Teil der Lieferkette (z. B. Cloud- oder IT-Service-Provider)?
• Gibt es verschiedene Rollen in unterschiedlichen Geschäftsbereichen?

2.2 Auswahlkriterien und Vergabe

NIS2 erwartet, dass Unternehmen bei der Auswahl der Anbieter u. a. prüfen:

• Cybersicherheitsverfahren & sichere Entwicklungsprozesse,
• Fähigkeit zur Erfüllung Ihrer Sicherheitsanforderungen,
• Resilienz & Zuverlässigkeit der Dienste,
• Abhängigkeiten & Möglichkeiten zur Diversifizierung.

Praxis-Tipp: Lieferanten klassifizieren (kritisch/hoch/mittel/niedrig) und Mindestanforderungen definieren.

2.3 Sicherheitsanforderungen in Verträgen

NIS2 5.1.4 nennt zentrale Vertragspflichten, u. a.:

• konkrete Cybersicherheitsanforderungen,
• Schulung & Qualifikation des Personals,
• Zuverlässigkeitsprüfungen,
• Meldepflichten für Sicherheitsvorfälle,
• Auditrechte, Report-Pflichten, Schwachstellenbehebung,
• Regelungen zur Unterauftragsvergabe und zum Exit.

2.4 Kontinuierliche Überprüfung & Monitoring

Das Konzept muss Verfahren für regelmäßige Überprüfungen vorsehen, z. B.:

• Analyse von Sicherheitsvorfällen bei Dienstleistern,
• Prüfung von SLAs & Security-Kennzahlen,
• Bewertung von Änderungen an IKT-Produkten & Diensten,
• Auslösen außerplanmäßiger Audits.

3. Baustein 5.2: Verzeichnis der Anbieter & Diensteanbieter

Der zweite Unterpunkt verlangt ein strukturiertes und aktuelles Verzeichnis, das mindestens enthält:

• alle direkten Anbieter und Diensteanbieter,
• Kontaktstellen,
• Liste der IKT-Produkte/-Dienste/-Prozesse.

In der Praxis ergänzt man dieses Verzeichnis sinnvollerweise mit:

• Kritikalität der Anbieter,
• Vertrags- & SLA-Referenzen,
• Audit-/Zertifizierungsstatus,
• Sicherheits- & Datenschutzansprechpartnern,
• Informationen zu Unterauftragnehmern.

4. ENISA-Guidance & BSI-Empfehlungen

Wichtige Quellen für NIS2 Lieferkettensicherheit:

• ENISA – Good practices for supply chain cybersecurity
• ENISA – Technical Implementation Guidance
• BSI – Sichere Lieferkette (C-SCRM in 5 Schritten)

Alle betonen die Notwendigkeit von:

• Transparenz über die gesamte Lieferkette,
• risikobasierter Klassifizierung von Lieferanten,
• vertraglichen Sicherheitsanforderungen,
• gemeinsamer Reaktion & Meldewegen im Sicherheitsfall.

5. Praxisfahrplan: In 6 Schritten zu NIS2-fähiger Lieferkettensicherheit

1. Bestandsaufnahme & Verzeichnis erstellen – gemäß Annex 5.2.
2. Kritikalität & Risiko bewerten – basierend auf Teil 2 (Risikomanagement).
3. Konzept für Lieferkettensicherheit formulieren – gemäß Annex 5.1.
4. Vertragsbausteine definieren & Einkauf einbinden.
5. Monitoring & regelmäßige Reviews etablieren.
6. Schnittstelle zu BCM & Incident Management definieren – aus Teil 3 & Teil 4.

6. Weiterführende Inhalte auf nis2-umsetzung.com

👉 5.1 Konzept für die Sicherheit der Lieferkette
https://nis2-umsetzung.com/nis2umsvoannex/5-1-konzept-fuer-die-sicherheit-der-lieferkette/

👉 5.2 Verzeichnis der Anbieter und Diensteanbieter
https://nis2-umsetzung.com/nis2umsvoannex/5-2-verzeichnis-der-anbieter-und-diensteanbieter/

👉 Kategorie „5. Sicherheit der Lieferkette“
https://nis2-umsetzung.com/nis2umsvoannex-category/5-supply-chain-security/

👉 Gesamtüberblick NIS2-Anforderungen
https://nis2-umsetzung.com/nis2-anforderungen/

7. Frage an Sie

Wie gut kennen Sie heute Ihre kritische Lieferkette – und in wie vielen Verträgen sind Cybersicherheitsanforderungen, Meldepflichten und Prüfrechte bereits sauber geregelt?

Wenn hier noch Lücken bestehen, ist jetzt der richtige Zeitpunkt, Ihr Konzept zur NIS2 Lieferkettensicherheit zu stärken – mit Annex 5, ENISA-Guidelines und den Inhalten auf nis2-umsetzung.com als Leitfaden.