NIS2 & Third-Party Risk Management: Vom Vertrag zur wirksamen Lieferantenkontrolle

NIS2 & Third-Party Risk Management: Vom Vertrag zur wirksamen Lieferantenkontrolle

Avatar of Tamara Heene
Tamara Heene
21. Januar 2026
5 min Lesezeit
Informationssicherheit

Die neue NIS2-Richtlinie (Richtlinie (EU) 2022/2555) und ihre nationale Umsetzung (Gesetz zur Umsetzung der NIS-2-Richtlinie) markieren einen Wendepunkt für die strategische Unternehmensführung. Cybersicherheit ist kein rein technisches IT-Problem mehr, sondern ein zentrales Geschäftsrisiko, für das die Geschäftsleitung persönlich in die Pflicht genommen wird. Ein besonders kritischer Aspekt dabei ist die Sicherheit der Lieferkette, da Angriffe über Drittanbieter („Supply Chain Attacks“) massiv zunehmen und die Existenz ganzer Einrichtungen bedrohen können.

Die neue Verantwortung der Geschäftsführung

Gemäß § 38 des Gesetzes zur Umsetzung der NIS-2-Richtlinie sind Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen verpflichtet, die vorgeschriebenen Risikomanagementmaßnahmen selbst umzusetzen und deren Umsetzung kontinuierlich zu überwachen.

  • Persönliche Haftung: Bei schuldhafter Verletzung dieser Pflichten können Mitglieder der Geschäftsleitung gegenüber ihrer Einrichtung für entstandene Schäden haftbar gemacht werden.
  • Schulungspflicht: Um diese Verantwortung wahrnehmen zu können, müssen Geschäftsleitungen regelmäßig an Schulungen teilnehmen, um Kenntnisse zur Risikoerkennung und zur Bewertung von Risikomanagementpraktiken zu erlangen.

Strategisches Lieferantenmanagement nach Art. 21 (Richtlinie (EU) 2022/2555)

Besonders wichtige und wichtige Einrichtungen müssen im Rahmen ihres Risikomanagements zwingend die Sicherheit der Lieferkette berücksichtigen. Dies beinhaltet nicht nur die technische Absicherung, sondern auch die Etablierung eines ganzheitlichen Governance-Modells für die Beziehungen zu unmittelbaren Lieferanten und Diensteanbietern

Unsicher, ob Sie von NIS2 betroffen sind? Die NIS-2-Betroffenheitsprüfung des BSI bietet Ihnen in wenigen Schritten dafür eine erste Orientierung.

Risikoanalyse und Bewertung (All-Gefahren-Ansatz)

Die Basis jeder Entscheidung ist eine fundierte Risikoanalyse, die auch nicht-technische Faktoren wie die unzulässige Einflussnahme durch Drittstaaten auf Anbieter einbezieht. Das bedeutet, dass Unternehmen bei der Auswahl ihrer Lieferanten nicht nur auf die technische Qualität achten müssen, sondern auch bewerten sollen, ob der Anbieter aufgrund seiner Herkunft oder seiner Verbindungen gezwungen werden könnte, gegen die Sicherheitsinteressen seines Kunden oder der Europäischen Union zu handeln. Geschäftsleitungen müssen hierbei die Kritikalität ihrer Assets und die Abhängigkeit von externen Dienstleistern (z. B. Cloud-Anbietern oder verwalteten Sicherheitsdiensten) verstehen. Der CRA dient hier als Hilfsmittel: Er verpflichtet Hersteller zur Bereitstellung von Informationen (wie der Software-Stückliste (Software Bill of Materials – kurz: SBOM), die eine NIS2-Einrichtung zwingend benötigt, um ihre Lieferkette gemäß Art. 21 NIS2 zu bewerten.

Auswahl und Sorgfaltspflicht (Due Diligence)

Bei der Auswahl von Partnern müssen klare Cybersicherheits-Kriterien angelegt werden. Dazu gehören:

  • Die Bewertung der sicheren Entwicklungsprozesse des Anbieters. Ein sicherer Entwicklungsprozess stellt sicher, dass Cybersicherheit nicht erst nachträglich hinzugefügt, sondern als integraler Bestandteil über den gesamten Lebenszyklus eines Produkts oder Dienstes betrachtet wird (sog. Security by Design).
  • Die Prüfung der finanziellen Stabilität und der Reputation des Dienstleisters.
  • Die Vermeidung von Vendor Lock-in (Anbieterabhängigkeit), um die Resilienz bei Ausfällen zu wahren. Ein Vendor Lock-in entsteht, wenn ein Unternehmen so stark von den Produkten oder Dienstleistungen eines einzigen Anbieters abhängig ist, dass ein Wechsel zu einem anderen Partner nur unter extrem hohen Kosten, Zeitaufwand oder operativem Risiko möglich wäre.

Vertragsgestaltung und Mindestanforderungen

Verträge müssen spezifische Sicherheitsklauseln enthalten, um die Kontrolle über die Datenhoheit zu behalten. Wichtige Bestandteile sind:

  • Audit-Rechte: Das Recht des Unternehmens oder beauftragter Dritter, die Sicherheitsmaßnahmen des Lieferanten vor Ort zu prüfen.
  • Meldepflichten: Die Verpflichtung des Lieferanten, Sicherheitsvorfälle, die die Einrichtung betreffen könnten, unverzüglich zu melden.
  • Vulnerability Handling: Klare Regeln zum Umgang mit Schwachstellen und die Bereitstellung von Sicherheitsaktualisierungen.
  • Ausstiegsstrategien: Definierte Prozesse für eine sichere Rückgabe oder Löschung von Daten bei Vertragsende oder auf Anfrage vom Auftraggeber (z.B. in Folge von Kundenanfragen).

Transparenz durch SBOMs und technologische Kontrolle

Um die Lieferkette transparent zu machen, rückt die SBOM in den Fokus. Hersteller werden durch den CRA verpflichtet, diese maschinenlesbaren Verzeichnisse bereitzustellen. Für IT-Leiter und CISOs bedeutet dies:

  • Komponenten-Tracking: Nur wer weiß, welche Drittanbieter-Bibliotheken in einer Software stecken, kann bei Bekanntwerden neuer Schwachstellen (wie Log4j) schnell reagieren.
  • Patch-Management: Einrichtungen müssen sicherstellen, dass Lieferanten Patches für kritische Schwachstellen zeitnah bereitstellen.

Sonderfall Finanzsektor: DORA als schärferes Schwert

Hier ist das Management von IKT-Drittparteienrisiken noch detaillierter reguliert:

Für Finanzunternehmen gelten über NIS2 hinaus die strengeren Regeln der DORA-Verordnung.

  • Es muss ein umfassendes Informationsregister über alle IKT-Drittdienstleister geführt werden.
  • Bei der Untervergabe (Subcontracting) von kritischen oder wichtigen Funktionen muss das Finanzunternehmen sicherstellen, dass die gesamte Kette der Unterauftragnehmer dieselben strengen Standards erfüllt.

Fazit für die Management-Ebene

Lieferantenmanagement unter NIS2 ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Als Geschäftsleitung sollten Sie sicherstellen, dass:

  1. Ein aktuelles Register aller kritischen Lieferanten existiert.
  2. Die Sicherheitsanforderungen in den Verträgen den Stand der Technik widerspiegeln.
  3. Regelmäßige Performance-Berichte und Audits der wichtigsten Partner in Ihre Managementbewertung einfließen.

Sicherheit in der Lieferkette ist heute ein wesentlicher Pfeiler der organisatorischen Resilienz und schützt nicht nur Ihre Daten, sondern auch Ihren guten Ruf und Ihre persönliche Haftungsfreistellung.

Wenn Sie noch mehr zum Thema erfahren möchten kontaktieren Sie uns für ein unverbindliches Gespräch und seien bei unserem Webinar dabei, zum Thema:

„Wenn Vertrauen zum Risiko wird: Wie Sie mit NIS2 Ihr Lieferantenmanagement absichern“

📅12. Februar 2026 | 10:00 Uhr👉Jetzt anmelden:https://lnkd.in/d3rH4D_z

Hat ihnen der Beitrag gefallen? Teilen Sie es mit:

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten