Vorsprung durch Wissen und Erfahrung
NIS2 / BSIG § 30 Abs. 2 Nr. 4

NIS2-Lieferkettensicherheit: Dienstleister wirksam prüfen

Angreifer nutzen gezielt Sicherheitslücken bei Dienstleistern. NIS2 verpflichtet zur systematischen Lieferkettenprüfung — wir erklären, was das in der Praxis bedeutet.

Beratung anfragen NIS2-Übersicht
Technische & rechtliche Expertise Erfahrung aus zahlreichen NIS2-Projekten Standort Sindelfingen
§ 30 Abs. 2 Nr. 4 BSIG

Was NIS2 zur Lieferkettensicherheit vorschreibt

§ 30 Abs. 2 Nr. 4 BSIG verpflichtet betroffene Einrichtungen ausdrücklich, die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern und Dienstleistern zu gewährleisten. Die Verantwortung endet nicht an der eigenen Unternehmensgrenze.

Praxisrisiko: Viele erfolgreiche Cyberangriffe nutzen gezielt Sicherheitslücken bei Dienstleistern als Einfallstor. Wer seine Lieferkette nicht prüft, importiert fremde Risiken in seine eigene Infrastruktur — und haftet trotzdem.

Prüfprozess

Wie Dienstleister unter NIS2 bewertet werden

Schritt 1: Inventar

Alle Dienstleister und Lieferanten erfassen, die Zugang zu Ihren Systemen haben oder Dienste erbringen, auf die Ihre NIS2-Dienste angewiesen sind.

  • IT-Dienstleister & Managed Services
  • Cloud- und SaaS-Anbieter
  • Software-Lieferanten (Patch-Pfade)
  • Physische Dienstleister mit IT-Zugang

Schritt 2: Risikoklassifizierung

Nicht alle Dienstleister sind gleich kritisch. Priorisieren nach Abhängigkeit und Zugang.

  • Kritisch: Vollzugriff auf Kernsysteme
  • Hoch: Teilzugriff oder kritische Daten
  • Mittel: Unterstützende Dienste
  • Niedrig: Keine IT-Berührung

Schritt 3: Vertragsanpassung

Bestehende Verträge prüfen und um NIS2-konforme Cybersecurity-Klauseln ergänzen.

  • Mindest-Sicherheitsanforderungen definieren
  • Audit- und Auskunftsrechte einräumen
  • Meldepflichten für Vorfälle regeln
  • Konsequenzen bei Pflichtverletzung
Schwierige Fälle

Was tun, wenn ein Dienstleister nicht mitmacht?

Ein Dienstleister verweigert Sicherheitsauskünfte — was nun?
Wenn ein Anbieter keine Auskunft über seine Sicherheitsmaßnahmen gibt und keine Cybersecurity-Klauseln akzeptiert, ist das ein Risikosignal. Sie haben zwei Optionen: erhöhte Überwachung des Dateiflusses und Zugangs, oder Anbieterwechsel. Die Entscheidung muss dokumentiert und risikobasiert begründet werden.
Müssen alle Lieferanten ISO 27001 oder vergleichbare Zertifizierungen vorweisen?
Nein — aber für kritische Dienstleister ist eine Zertifizierung das einfachste Nachweismittel. Alternativen sind ausgefüllte Sicherheitsfragebögen, Vertragszusicherungen mit Auditrecht oder Ergebnisse externer Sicherheitsaudits. Der Aufwand der Prüfung sollte dem Risiko des Dienstleisters entsprechen.
Gilt die Lieferkettenpflicht auch für Open-Source-Software?
Ja, soweit Open-Source-Software in sicherheitsrelevante Systeme eingebunden ist. Für OSS gibt es keinen Vertragspartner — die Pflicht verlagert sich auf interne Prozesse: Schwachstellenmonitoring, regelmäßige Updates und Einsatz von Software Composition Analysis (SCA)-Tools.
Verwandte Themen

Weiterführende NIS2-Themen

Richtlinien
Lieferketten-Richtlinie

Anforderungen an Dienstleister schriftlich verankern

Incident
Incident Response

Angriffe über Lieferkette erkennen und begrenzen

Audit
Internes Audit

Lieferantenbewertung als Audit-Gegenstand

ISMS
ISMS aufbauen

Lieferkettensicherheit ins ISMS integrieren

Lieferketten-Risikomanagement strukturiert aufbauen

Wir erstellen Ihr Dienstleister-Inventar, entwickeln Bewertungsframeworks und entwerfen NIS2-konforme Vertragsklauseln.

Jetzt Beratung anfragen
Tilsiter Str. 6 · D-71065 Sindelfingen · +49 (0) 7031.4181-860 · contact@consuvation.com