Der SolarWinds-Angriff im Jahr 2020 kompromittierte 18.000 Organisationen – darunter mehrere US-Regierungsbehörden – durch ein einziges manipuliertes Software-Update. NotPetya verursachte 2017 weltweite Schäden von über 10 Milliarden US-Dollar, indem es sich über den Update-Mechanismus einer ukrainischen Buchhaltungsanwendung verbreitete. Keiner dieser Angriffe richtete sich direkt gegen die betroffenen Opfer. Beide nutzten die Lieferkette als Einfallstor.
Dies waren keine Ausnahmeerscheinungen. Laut dem Verizon 2025 Data Breach Investigations Report sind mittlerweile 30 % aller Datenschutzverletzungen auf Dritte zurückzuführen – doppelt so viele wie im Vorjahr [4]. Angriffe auf die Lieferkette verursachen 17-mal höhere Behebungskosten als direkte Angriffe, und die durchschnittliche Erkennungszeit beträgt 267 Tage.
Der EU-Gesetzgeber hat dies zur Kenntnis genommen. Unter der ursprünglichen NIS-Richtlinie (NIS1) wurde die Sicherheit der Lieferkette bestenfalls am Rande erwähnt. NIS2 — Richtlinie (EU) 2022/2555 — macht sie zu einer von zehn obligatorischen Risikomanagementmaßnahmen in Artikel 21(2)(d), und die Durchführungsverordnung der Kommission (CIR) 2024/2690 fügt detaillierte Anforderungen an Richtlinien, Lieferantenverträge und die laufende Bewertung hinzu.
Dies ist die bedeutendste operative Veränderung, die NIS2 gegenüber NIS1 für die meisten Organisationen mit sich bringt. Sie sind nicht mehr nur für Ihre eigene Cybersicherheit verantwortlich – Sie sind rechenschaftspflichtig dafür, die Risiken zu verstehen und zu steuern, die Ihre Lieferanten in Ihre Umgebung einbringen.
Dieser Leitfaden erläutert präzise, was die Verordnung vorschreibt, wie Sie Ihre Lieferanten nach Risiko klassifizieren, welche Vertragsklauseln erforderlich sind und wie Sie einen Überwachungsprozess aufbauen, der sowohl den Anforderungen der CIR als auch Ihrer nationalen Aufsichtsbehörde gerecht wird.
Was Artikel 21(2)(d) und die CIR vorschreiben
Artikel 21(2)(d) der NIS2-Richtlinie verpflichtet jede wesentliche und wichtige Einrichtung zur Implementierung der „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.“
Unter NIS1 wurde die Sicherheit der Lieferkette kaum thematisiert. NIS2 widmet ihr eine vollständige Anforderung – und die Durchführungsverordnung der Kommission (CIR) 2024/2690 legt die Einzelheiten in Anhang Abschnitt 5 fest.
Was die Richtlinie vorschreibt
Artikel 21(3) konkretisiert, was „Sicherheit der Lieferkette“ in der Praxis bedeutet. Einrichtungen müssen:
- Schwachstellen bewerten, die für jeden unmittelbaren Lieferanten und Diensteanbieter spezifisch sind
- Die Gesamtqualität der Cybersicherheitsprodukte und -praktiken ihrer Lieferanten beurteilen, einschließlich sicherer Entwicklungsverfahren
- Die Ergebnisse koordinierter Sicherheitsrisikobewertungen kritischer Lieferketten berücksichtigen, die gemäß Artikel 22 durchgeführt wurden
Dies gilt für alle in den Anwendungsbereich von NIS2 fallenden Einrichtungen – sowohl wesentliche als auch wichtige. Die Verpflichtung erfasst jeden Lieferanten oder Diensteanbieter, der in einer Beziehung zu den Netz- und Informationssystemen der Einrichtung steht.
Was die CIR ergänzt
CIR 2024/2690 Anhang Abschnitt 5 gliedert die Sicherheit der Lieferkette in zwei Bereiche:
5.1 — Richtlinie zur Sicherheit der Lieferkette. Einrichtungen müssen eine schriftliche Richtlinie für die Beziehungen zu unmittelbaren Lieferanten und Diensteanbietern festlegen, umsetzen und anwenden. Die Richtlinie muss die eigene Rolle der Einrichtung in der Lieferkette identifizieren, Kriterien für die Auswahl und den Vertragsabschluss mit Lieferanten festlegen und in geplanten Abständen oder bei erheblichen Vorfällen oder Risikoänderungen überprüft werden.
5.2 — Lieferantenverträge und SLAs. Auf der Grundlage der Sicherheitsrichtlinie und der allgemeinen Risikobewertung der Einrichtung müssen Verträge mit Lieferanten sechs Kategorien von Anforderungen festlegen (im Abschnitt zu Vertragsklauseln unten näher ausgeführt). Die Technische Implementierungsleitlinie von ENISA (veröffentlicht im Juni 2025) enthält zusätzliche Details zur praktischen Umsetzung dieser Maßnahmen.
Was dies in der Praxis bedeutet: Wenn Sie eine in den Anwendungsbereich fallende Einrichtung sind, benötigen Sie drei Dinge – eine schriftliche Richtlinie zur Sicherheit der Lieferkette, einen dokumentierten Bewertungsprozess für jeden Lieferanten und Verträge, die die sechs von CIR Anhang 5.1.4 geforderten Klauseltypen enthalten. Eine vollständige Übersicht aller zehn NIS2-Risikomanagementmaßnahmen finden Sie in unserer NIS2-Anforderungsübersicht.
Lieferanten nach Kritikalität klassifizieren
Nicht jeder Lieferant birgt das gleiche Risiko. Ihr Cloud-Infrastrukturanbieter und das Unternehmen, das Büromaterial liefert, erfordern nicht dasselbe Maß an Cybersicherheitsprüfung. Die CIR verfolgt einen risikobasierten Ansatz – Maßnahmen müssen „verhältnismäßig“ sein, und Verhältnismäßigkeit beginnt mit der Klassifizierung.
Ein Drei-Stufen-Modell eignet sich für die meisten Organisationen:
| Stufe | Beschreibung | Beispiele | Bewertungshäufigkeit |
|---|---|---|---|
| Kritisch (Stufe 1) | Direkter Zugang zu Ihrem Netzwerk, Ihren Systemen oder sensiblen Daten. Eine Unterbrechung würde wesentliche Dienste zum Erliegen bringen. | Cloud-/Hosting-Anbieter, verwaltete Sicherheitsdienste, ERP-/Kernsoftwareanbieter, Identitätsanbieter | Jährliches Audit + kontinuierliche Überwachung |
| Wichtig (Stufe 2) | Eingeschränkter Systemzugang oder Verarbeitung nicht kritischer Daten. Eine Unterbrechung würde den Betrieb beeinträchtigen, aber nicht zum Stillstand bringen. | E-Mail-Plattformen, HR-Software, spezialisierte SaaS-Tools, Zahlungsdienstleister | Jährlicher Fragebogen + regelmäßige Überprüfung |
| Standard (Stufe 3) | Kein Systemzugang oder Datenverarbeitung. Minimale betriebliche Auswirkungen bei Unterbrechung. | Bürobedarf, Gebäudemanagement, Marketingagenturen (ohne Systemzugang) | Vereinfachte Prüfung beim Onboarding + Überprüfung bei Vertragsverlängerung |
Vier Klassifizierungskriterien
Verwenden Sie diese Faktoren, um jeden Lieferanten einer Stufe zuzuordnen:
- Systemzugangsebene — Verbindet sich der Lieferant mit Ihrem Netzwerk, greift er auf Produktionssysteme zu oder verfügt er über administrative Anmeldedaten?
- Datensensibilität — Verarbeitet, speichert oder überträgt der Lieferant personenbezogene Daten, Geschäftsgeheimnisse oder unter NIS2 klassifizierte Daten?
- Substituierbarkeit — Wie schnell könnten Sie zu einem alternativen Anbieter wechseln? Eine hohe Abhängigkeit stuft den Lieferanten in eine höhere Kategorie ein.
- Dienstkritikalität — Würde eine Unterbrechung Ihre Fähigkeit beeinträchtigen, wesentliche oder wichtige Dienste gemäß NIS2 zu erbringen?
Wenn ein Lieferant bei einem einzelnen Faktor einen hohen Wert erzielt, stufen Sie ihn in eine höhere Kategorie ein. Klassifizieren Sie Grenzfälle nach oben – die Kosten einer Überbewertung sind im Vergleich zu den Kosten eines unkontrollierten kritischen Lieferanten vernachlässigbar.
Wer ist für die Klassifizierung zuständig? In Organisationen mit einem CISO leitet das Sicherheitsteam diesen Prozess in Abstimmung mit der Beschaffungsabteilung. Für KMU ohne dediziertes Sicherheitspersonal sollten der Geschäftsinhaber oder IT-Verantwortliche die Liste gemeinsam durcharbeiten – der Prozess ist unkompliziert, sobald die Kriterien definiert sind.
Sicherheitsanforderungen nach Lieferantenstufe
Sobald die Lieferanten klassifiziert sind, wenden Sie stufenspezifische Anforderungen an. Diese Tabelle ordnet die Verpflichtungen aus CIR Anhang 5 den praktischen Maßnahmen je Stufe zu:
| Anforderung (CIR Anhang 5) | Kritisch (Stufe 1) | Wichtig (Stufe 2) | Standard (Stufe 3) |
|---|---|---|---|
| Überprüfung der Sicherheitsrichtlinie | Vollständige Richtlinienüberprüfung + Nachweise | Richtlinienzusammenfassung + Selbstbescheinigung | Standardbedingungen akzeptieren |
| Risikobewertung | Gemeinsame Risikobewertung | Lieferant stellt eigene Bewertung bereit | Entfällt |
| Vorfallmeldung | Echtzeitbenachrichtigung (< 24h) | Benachrichtigung innerhalb von 72h | Nur wesentliche Vorfälle |
| Prüfrechte | Jährliches Vor-Ort- oder Fernaudit | Jährliche Fernbewertung | Nur Vertragsklausel |
| Mitarbeiterüberprüfung | Hintergrundprüfungen bestätigt | Schulungszertifikate bestätigt | Nur vertragliche Verpflichtung |
| Sichere Entwicklung | SDLC-Nachweise + Penetrationstests | Selbstbescheinigung | Entfällt |
| Betriebskontinuität | Getesteter BCP/DR-Plan erforderlich | BCP-Dokumentation erforderlich | Entfällt |
| Beendigungsplan | Datenrückgabe + Systemübergabe | Bestätigung der Datenlöschung | Standardvertragsbedingungen |
Vorgehensweise bei der Lückenanalyse
Für jeden kritischen und wichtigen Lieferanten:
- Den aktuellen Stand des Lieferanten den oben genannten Anforderungen gegenüberstellen
- Lücken identifizieren – Anforderungen, die noch nicht erfüllt sind
- Jede Lücke nach Aufwand klassifizieren: Gering (Aktualisierung von Vertragsklauseln), Mittel (Lieferant muss Kontrollen implementieren), Hoch (erfordert Infrastrukturänderungen oder Lieferantenwechsel)
- Behebungsfristen festlegen, die mit Ihrem NIS2-Compliance-Zeitplan abgestimmt sind
Diese Lückenanalyse dient gleichzeitig als Prüfdokumentation. Bewahren Sie die ausgefüllte Matrix als Nachweis Ihres Risikomanagementprozesses für die Lieferkette auf – nationale Aufsichtsbehörden werden diese anfordern.
Sechs Vertragsklauseln, die jede NIS2-Einrichtung benötigt
CIR 2024/2690 Anhang 5.1.4 listet sechs Themen auf, die in Lieferantenverträgen oder Service-Level-Agreements enthalten sein müssen. Hier ist, was jede Klausel abdecken sollte:
1. Cybersicherheitsanforderungen. Legen Sie die Sicherheitsstandards fest, die der Lieferant erfüllen muss. Verweisen Sie für kritische Lieferanten auf ISO 27001 oder SOC 2 als Grundlage. Für wichtige Lieferanten kann eine dokumentierte Informationssicherheitsrichtlinie ausreichen. Nehmen Sie Anforderungen zu Verschlüsselung, Zugangskontrolle und Schwachstellenmanagement auf, die dem erbrachten Dienst angemessen sind.
2. Qualifikationen, Schulungen und Zertifizierungen der Mitarbeiter. Mitarbeiter des Lieferanten mit Zugang zu Ihren Systemen müssen eine Cybersicherheits-Sensibilisierungsschulung absolvieren. Fordern Sie für kritische Lieferanten den Nachweis spezifischer Zertifizierungen (CISSP, CISM oder gleichwertig) für Schlüsselpersonal. Definieren Sie eine Mindestschulungshäufigkeit – mindestens jährlich.
3. Hintergrundüberprüfungen. Für Lieferanten, deren Mitarbeiter Zugang zu Ihren sensiblen Systemen oder Daten haben, sind angemessene Hintergrundprüfungen vorzuschreiben. Was als „angemessen“ gilt, hängt von Ihrem Sektor ab – Strafregisterauszüge, Referenzprüfungen oder Sicherheitsüberprüfungen für Einrichtungen in Sektoren der kritischen Infrastruktur.
4. Vorfallmeldung. Lieferanten müssen Sie über jeden Sicherheitsvorfall, der ein Risiko für Ihre Systeme darstellt, „unverzüglich“ informieren. Definieren Sie den Zeitrahmen ausdrücklich: 24 Stunden für kritische Lieferanten, 72 Stunden für wichtige Lieferanten. Legen Sie den Kommunikationskanal, die erforderlichen Informationen (Umfang, Auswirkungen, Abhilfemaßnahmen) und die Eskalationsverfahren fest. Dies steht im Einklang mit den weitergehenden Meldepflichten für Vorfälle gemäß NIS2.
5. Prüf- und Überprüfungsrechte. Sie benötigen das vertragliche Recht, die Sicherheitslage Ihres Lieferanten zu beurteilen. Für kritische Lieferanten bedeutet dies Vor-Ort- oder Fernprüfungsrechte, die mindestens jährlich ausgeübt werden können. Für andere Lieferanten das Recht, Compliance-Nachweise anzufordern – Zertifizierungen, Prüfberichte, Richtliniendokumente. Definieren Sie die Ankündigungsfrist und die Mitwirkungspflichten.
6. Beendigungspflichten. Bei Vertragsende muss der Lieferant alle Daten zurückgeben oder sicher löschen, alle Zugänge zu Ihren Systemen entziehen und eine Dokumentation über alle im Rahmen des Auftrags erlangten Netz- oder Systeminformationen vorlegen. Dies verhindert Datenlecks bei Anbieterwechseln und ist eine Anforderung, die viele Organisationen übersehen, bis es zu spät ist.
Gebrauchsfertige Versionen dieser Klauseln finden Sie auf unserer NIS2-Vorlagenseite – Dokumente 42 (Lieferantensicherheitsrichtlinie), 43 (Fragebogen zur Lieferantensicherheitsbewertung) und 45 (Lieferantensicherheitsklauseln für Verträge) decken diese Anforderungen vollständig ab.
Überwachung und laufende Verpflichtungen
Die Lieferantenbewertung ist kein einmaliger Vorgang. Die CIR schreibt eine laufende Überwachung vor, bei der Überprüfungen durch bestimmte Ereignisse ausgelöst werden:
- Geplante Intervalle — jährliche Überprüfung für alle klassifizierten Lieferanten, mit vierteljährlicher oder kontinuierlicher Überwachung für die kritische Stufe
- Wesentliche Änderungen — neue Dienste, Änderungen der Systemarchitektur, Fusionen und Übernahmen oder Änderungen in der Eigentümerschaft oder Geschäftsführung des Lieferanten
- Sicherheitsvorfälle — jeder Vorfall, der den Lieferanten oder seine Unterlieferanten betrifft und Auswirkungen auf Ihre Systeme haben könnte
- Koordinierte EU-Risikobewertungen — wenn die Kooperationsgruppe eine koordinierte Risikobewertung gemäß Artikel 22 zu Produkten oder Diensten herausgibt, die Sie nutzen, müssen Sie die Ergebnisse in Ihre Lieferantenbewertung einbeziehen. Das Ignorieren dieser Bewertungen kann zu Compliance-Sanktionen führen, selbst wenn Sie andere Anforderungen erfüllt haben [1]
Dokumentations-Checkliste
Führen Sie für jeden klassifizierten Lieferanten eine prüfbare Aufzeichnung:
- Stufenklassifizierung mit dokumentierter Begründung
- Ausgefüllte Bewertungsfragebögen oder Prüfberichte
- Unterzeichneter Vertrag mit allen sechs Klauseltypen
- Vorfallmeldeprotokoll
- Überprüfungsplan und -ergebnisse
- Verfolgung der Lückenbehebung mit Fristen
Diese Dokumentation erfüllt zwei Zwecke: Sie entspricht der Anforderung der CIR nach einer formellen Richtlinie zur Sicherheit der Lieferkette und liefert die Nachweise, die Ihre nationale Aufsichtsbehörde bei Inspektionen anfordern wird. Ohne Aufzeichnungen können Sie die Compliance nicht nachweisen. Ein vollständiges Compliance-Tracking-Framework finden Sie in unserer NIS2-Compliance-Checkliste.
Häufig gestellte Fragen
Muss ich jeden Lieferanten bewerten?
Nein. Die CIR schreibt einen verhältnismäßigen Ansatz vor. Klassifizieren Sie Lieferanten in Stufen auf der Grundlage von Systemzugang, Datensensibilität, Substituierbarkeit und Dienstkritikalität. Standard-Lieferanten (Stufe 3) – solche ohne Systemzugang oder Datenverarbeitung – benötigen lediglich grundlegende Vertragsklauseln und vereinfachte Onboarding-Prüfungen. Konzentrieren Sie Ihren Bewertungsaufwand auf Lieferanten der kritischen und wichtigen Stufe.
Was ist zu tun, wenn ein Lieferant unsere Sicherheitsanforderungen ablehnt?
Dies ist eine Risikoentscheidung und nicht nur eine Compliance-Frage. Wenn ein kritischer oder wichtiger Lieferant den nach CIR Anhang 5.1.4 geforderten Klauseln nicht zustimmt, haben Sie drei Möglichkeiten: alternative Kontrollen aushandeln, die dasselbe Sicherheitsergebnis erzielen, das Restrisiko akzeptieren und Ihre Begründung im Risikoregister dokumentieren oder einen Ersatzlieferanten suchen. Für kritische Lieferanten ist die Ablehnung grundlegender Anforderungen wie Vorfallmeldung oder Prüfrechte in der Regel ein Ausschlusskriterium.
Schreibt NIS2 vor, dass meine Lieferanten ISO 27001-zertifiziert sein müssen?
Nein. Weder NIS2 noch die CIR schreiben eine bestimmte Zertifizierung für Lieferanten vor. Eine ISO 27001-Zertifizierung vereinfacht jedoch Ihren Bewertungsprozess – sie liefert Drittparteinachweise eines strukturierten Informationssicherheitsmanagementsystems. Sie ist eine nützliche Grundlage für kritische Lieferanten, garantiert jedoch für sich allein keine NIS2-Compliance. Sie müssen nach wie vor überprüfen, ob der Lieferant die für Ihre Beziehung relevanten spezifischen Anforderungen erfüllt. Einen detaillierten Vergleich finden Sie in unserem Leitfaden zu NIS2 vs. ISO 27001.
Wie weit muss ich die Lieferkette zurückverfolgen?
Artikel 21(2)(d) bezieht sich auf „unmittelbare Anbieter oder Diensteanbieter“. Es wird nicht erwartet, dass Sie die Lieferanten Ihrer Lieferanten direkt auditieren. Die CIR verlangt jedoch, dass Ihre Richtlinie zur Sicherheit der Lieferkette die Risiken von Unterlieferanten berücksichtigt. In der Praxis bedeutet dies, dass Sie von Ihren kritischen Lieferanten fordern, nachzuweisen, dass sie über eigene Prozesse zur Sicherheit der Lieferkette verfügen – was eine Kaskade von Verantwortlichkeit entlang der Lieferkette schafft.
Was gilt für Open-Source-Software-Abhängigkeiten?
Open-Source-Komponenten sind Teil Ihrer Lieferkette. Allein im Jahr 2024 identifizierten Forscher über 512.000 schädliche Pakete in Open-Source-Repositorys – ein Anstieg von 156 % im Jahresvergleich [4]. Die Anforderungen der CIR an sichere Entwicklung (Anhang Abschnitt 6) gelten hier. Führen Sie eine Software Bill of Materials (SBOM) für Ihre kritischen Anwendungen, überwachen Sie bekannte Schwachstellen in Abhängigkeiten und beziehen Sie Open-Source-Risiken in Ihre Richtlinie zur Sicherheit der Lieferkette ein.
Quellen
- Richtlinie (EU) 2022/2555 (NIS2-Richtlinie), Europäisches Parlament und Rat, 14. Dezember 2022. EUR-Lex.
- Durchführungsverordnung der Kommission (EU) 2024/2690, Europäische Kommission, 17. Oktober 2024. EUR-Lex.
- ENISA, Technical Implementation Guidance on Cybersecurity Risk Management Measures, Version 1.0, Juni 2025.
- Verizon 2025 Data Breach Investigations Report – Daten zu Drittparteienverletzungen über DeepStrike Supply Chain Attack Statistics 2025.
- ENISA, Threat Landscape for Supply Chain Attacks.
Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechts- oder Regulierungsberatung dar. Die Anforderungen können je nach Rechtsordnung und Organisationstyp variieren. Konsultieren Sie für eine auf Ihre Situation zugeschnittene Beratung einen qualifizierten Rechtsanwalt oder Compliance-Spezialisten.
