NIS2 und Lieferketten-Sicherheit

Von Editorial Team | September 11, 2025

Seit Jahren warnen Sicherheitsexperten davor, dass Ihr schwächster Anbieter zum Ursprung Ihres größten Sicherheitsvorfalls werden könnte. Regulierungsbehörden setzen diese Warnung nun um. Mit NIS2 hat die EU die Lieferketten-Cybersicherheit zu einem zentralen Bestandteil ihrer Bemühungen gemacht, die Cybersecurity in der Union zu stärken und zu harmonisieren.

Damit erkennt Brüssel eine unangenehme Wahrheit an: In einer vernetzten, digital geprägten Wirtschaft kann ein kompromittierter Lieferant systemische Störungen auslösen. Ob durch bösartigen Fremdcode oder einen kompromittierten Anbieter – die Risiken haben sich in mehreren der aufsehenerregendsten Sicherheitsvorfälle dieses Jahrzehnts gezeigt.

Doch Risiken zu verstehen und ihnen wirksam zu begegnen, erfordert mehr als aktualisierte Verträge oder Audit-Checklisten. In diesem Blog betrachten wir, was NIS2 konkret in Bezug auf die Lieferkette verlangt – und wie zukunftsorientierte Unternehmen die Herausforderung als Chance begreifen, echte Resilienz aufzubauen.

Lieferkette unter NIS2: Was die Regulierung wirklich fordert

Ein Blick in das 73-seitige Dokument der EU-NIS2-Richtlinie zeigt zunächst: Die Mitgliedstaaten sollen im Rahmen ihrer nationalen Cybersicherheitsstrategien kleine und mittelständische Unternehmen dabei unterstützen, die Herausforderungen in ihren Lieferketten zu bewältigen.

Eine Schwierigkeit beim Verständnis von NIS2 in Bezug auf Supply Chain Security ist, dass die Richtlinie eher mit übergeordneten Empfehlungen arbeitet, statt klare Vorgaben zu machen. Entscheidend für Unternehmen ist Artikel 21. Darin heißt es, dass „wesentliche und wichtige Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen treffen müssen, um die Risiken für die Sicherheit von Netz- und Informationssystemen zu managen, die sie für ihre Tätigkeiten oder zur Erbringung ihrer Dienstleistungen nutzen“.

DIESEC GDPR Datenschutz

Die Richtlinie führt dazu zehn Kategorien auf. Darunter: „Sicherheit der Lieferkette, einschließlich der sicherheitsrelevanten Aspekte in den Beziehungen zwischen jeder Einrichtung und ihren unmittelbaren Lieferanten oder Dienstleistern“. Am konkretesten wird NIS2 hier mit Beispielen wie:

  • Schwachstellen spezifisch für jeden direkten Lieferanten oder Dienstleister
  • Die generelle Qualität der Cybersecurity-Praktiken des Lieferanten, inklusive sicherer Entwicklungsverfahren
  • Die Ergebnisse von EU-koordinierten Supply-Chain-Risikobewertungen, sofern relevant

Gerade der dritte Punkt ist schwammig. Artikel 22 erlaubt es der EU-Kooperationsgruppe (gemeinsam mit Kommission und ENISA), koordinierte Risikoanalysen kritischer IKT-Dienste, -Systeme oder -Produkte durchzuführen. Doch unklar bleibt, welche Lieferanten darunterfallen, wie oft das passiert oder wie Unternehmen die Ergebnisse einbinden sollen.

In der Praxis entsteht so ein Compliance-Paradox: Unternehmen sollen Bewertungen berücksichtigen, die es womöglich noch gar nicht gibt, und vage Qualitäten wie „allgemeine Cybersecurity-Praktiken“ ohne standardisierte Kriterien bewerten. Für CISOs und Risikomanager bedeutet das: Verantwortung für Lieferkettensicherheit ohne klares Bewertungsraster – und die Herausforderung, ein defensibles, risikobasiertes Programm aufzubauen, das sowohl dem Geist von NIS2 entspricht als auch künftiger regulatorischer Prüfung standhält.

Stärkung der Resilienz in der Lieferkette

Es führt kein Weg daran vorbei: NIS2 ist komplex. So komplex, dass einige Mitgliedstaaten die Umsetzungsfrist Oktober 2024 verpasst haben. Der klügste Ansatz für Unternehmen ist daher, eigene Maßnahmen zur Sicherung der Lieferkette proaktiv zu definieren und zu dokumentieren – gestützt auf etablierte Best Practices und Frameworks.

So lassen sich die Erwartungen von NIS2 praktisch interpretieren und umsetzen – auch ohne konkrete Checklisten:

1. Etablierte Frameworks als Benchmark nutzen

Starten Sie mit weltweit anerkannten Frameworks für Drittparteien- und Software-Supply-Chain-Risiken:

  • NIST Cyber Supply Chain Risk Management (C-SCRM) liefert strukturierte Leitlinien zur Risikominimierung entlang der ICT-Lieferkette.
  • ISO/IEC 27036 (Teile 1–4) fokussiert speziell auf Lieferantenbeziehungen, inklusive sicherer Entwicklung und Beschaffung.
  • ENISA Guidelines on Securing the Supply Chain bieten zusätzliche EU-spezifische Empfehlungen.

Die Abbildung Ihrer internen Maßnahmen auf diese Frameworks schafft eine belastbare Ausgangslage und eine gemeinsame Sprache zur Kommunikation von Erwartungen mit Partnern.

2. Cybersecurity-Reifegrad von Lieferanten prüfen

Um die „allgemeine Qualität der Sicherheitspraktiken“ zu bewerten, reicht ein Fragebogen nicht aus. Weitere Schritte:

  • Drittanbieter-Risikoplattformen nutzen, um digitale Spuren und Exposition von Lieferanten zu überwachen.
  • Sicherheitsanforderungen in Beschaffungsverträgen verankern, z. B. Audit-Rechte, Mindestkontrollen und SLAs für Incident Response.
  • Sichere Softwareentwicklung belegen lassen, etwa über ISO/IEC 27034, NIST SSDF oder SLSA (Supply-chain Levels for Software Artifacts).

Für kritische Lieferanten können tiefere Assessments oder gemeinsame Risikoanalysen notwendig sein.

3. Lieferantenspezifische Schwachstellen identifizieren

Hier fordert NIS2 kontextbezogenes Risikomanagement. Praktische Ansätze:

  • Zugriffs- und Abhängigkeitskarten erstellen: Visualisieren Sie, welche Lieferanten Zugang zu sensiblen Daten, Infrastruktur oder privilegierten Konten haben.
  • Bedrohungsmodelle nach Lieferantenrolle anpassen: Ein Cloud-Hoster birgt andere Risiken als ein MSP oder Firmware-Anbieter.
  • Bekannte CVEs oder Sicherheitsvorfälle prüfen, die mit Lieferantenprodukten in Verbindung stehen.

Wo möglich, sollten Sie diese Informationen mit Threat Intel aus internen Teams, CTI-Providern oder Red-Teaming anreichern.

4. Kontinuierlich überwachen und neu bewerten

Da NIS2 auf kontinuierliches Risikomanagement setzt, dürfen Lieferantenprüfungen keine einmalige Aktivität bleiben:

  • Neubewertungen nach Kritikalität staffeln.
  • Auf IOCs oder öffentliche Vorfälle im Zusammenhang mit Lieferanten achten.
  • Interne Attack-Path-Modelle nutzen, um mögliche Eskalationen in die eigene Umgebung abzuschätzen.

Warum Supply-Chain-Consulting unter NIS2 entscheidend ist

Die eigentliche Herausforderung liegt darin, die breit gefassten Vorgaben von NIS2 in maßgeschneiderte, umsetzbare Maßnahmen für komplexe Lieferketten zu übersetzen. Genau hier bringt spezialisiertes Consulting echten Mehrwert.

Das umfasst u. a.:

  • Interdependenzen über Anbieter, Services und Systeme hinweg sichtbar machen – auch über Grenzen und Rechtsräume hinaus.
  • Zwischen Standardlieferanten und kritischen Abhängigkeiten differenzieren, die tiefere Prüfung erfordern.
  • Bewerten, wie der SDLC (Software Development Lifecycle) von Partnern Ihr Risiko beeinflusst – insbesondere, wenn „Secure by Design“-Vorgaben unklar oder nur selbst attestiert sind.
  • Compliance mit operativer Realität abgleichen: Wie viel Sichtbarkeit ist praktisch möglich, wie viel Kontrolle über Subunternehmer realistisch, wo endet die Haftung?

Ein erfahrener Beratungspartner wie DIESEC bringt hier eine Außenperspektive ein. Wir helfen, Risikoblindspots aufzudecken, Ihre Lieferkettensicherheit mit Branchenstandards zu vergleichen und Sie mit einer klar dokumentierten Strategie auf die NIS2-Anforderungen vorzubereiten.

Um mit NIS2 Consulting zu starten, besuchen Sie unsere Seite und teilen uns Branche, Unternehmensgröße und Umsatzklasse mit. Wir melden uns bei Ihnen.

Gepostet in DIESEC™