NIS2.it.com
Zurück zum Blog
Lieferkette
NIS2 und die Lieferkette: 5 Klauseln, die Sie von Ihren Lieferanten verlangen müssen

NIS2 und die Lieferkette: 5 Klauseln, die Sie von Ihren Lieferanten verlangen müssen

7 Min. Lesezeit
SM

Sophie Martin

Rechtsanalystin — Europäisches Digitalrecht

Anfang 2024 erlitt ein europäisches Fertigungsunternehmen einen schwerwiegenden Sicherheitsvorfall. Der Angreifer zielte nicht direkt auf das Unternehmen ab — er nutzte die VPN-Zugangsdaten eines Wartungsdienstleisters. Das Unternehmen selbst war NIS2-konform. Der Lieferant war es nicht. Das Ergebnis: 18 Tage Produktionsausfall, 3,5 Millionen Euro Schaden und eine formelle Untersuchung durch die zuständige nationale Behörde.

Genau dieses Szenario soll Artikel 21(2)(d) der Richtlinie 2022/2555 verhindern.

Was NIS2 für die Lieferkettensicherheit fordert

Artikel 21 der Richtlinie 2022/2555 verpflichtet wesentliche und wichtige Einrichtungen, Risikomanagementmaßnahmen einzuführen, die explizit die Sicherheit der Lieferkette abdecken. Dies umfasst direkte Lieferanten und Dienstleister — nicht nur interne Systeme.

Vier konkrete Pflichten ergeben sich aus diesem Artikel. Erstens: Risiken von direkten Lieferanten und Dienstleistern bewerten, insbesondere IKT-Dienstleister (MSPs, Cloud-Anbieter, SaaS-Anbieter). Zweitens: Cybersicherheitsklauseln in Lieferantenverträge aufnehmen. Drittens: Die Sicherheitslage kritischer Lieferanten kontinuierlich überwachen. Viertens: Dokumentierte Nachweise dieser Bewertungen für Prüfungen bereithalten.

Das BSI empfiehlt in seinen Umsetzungsleitfäden, ein Drittanbieter-Risikoregister zu führen, das bei einer Prüfung vorgelegt werden kann.

Warum Ihre Lieferanten Ihr größtes Angriffsziel sind

Laut ENISA waren 62 % der bedeutenden Sicherheitsvorfälle im Jahr 2023 mit dem Zugang Dritter verbunden. MSPs und Cloud-Dienstleister stellen den Großteil dieser Angriffsvektoren dar. Ein Lieferant ohne obligatorische Multi-Faktor-Authentifizierung (MFA) für gemeinsam genutzte Zugänge ist eine offene Tür. Ein Unterauftragnehmer, der Ihre Daten ohne vertragliche Schutzmaßnahmen außerhalb der EU speichert, erzeugt gleichzeitig eine NIS2- und DSGVO-Haftung.

Das regulatorische Risiko ist erheblich: Ein Sicherheitsvorfall, der von einem ungesicherten Lieferanten ausgeht, wird als Ihr Compliance-Versagen gewertet.

5 konkrete Vertragsklauseln

Klausel 1: Recht auf Sicherheitsaudit

Ihr Vertrag muss Ihrer Organisation (oder einem beauftragten Drittprüfer) das Recht einräumen, Sicherheitsaudits beim Lieferanten durchzuführen — mit einer maximalen Ankündigungsfrist von 30 Tagen. Der Lieferant muss vollständig kooperieren und Zugang zu relevanten Systemen, Dokumentationen und Ereignisprotokollen gewähren. Ohne diese Klausel können Sie nicht überprüfen, ob vertragliche Sicherheitszusagen eingehalten werden.

Klausel 2: Meldepflicht bei Sicherheitsvorfällen — 24 Stunden

Der Lieferant muss Sie über jeden Sicherheitsvorfall, der Ihre Systeme oder Daten betreffen könnte, innerhalb von 24 Stunden nach Entdeckung informieren. Dies spiegelt direkt Artikel 23 der Richtlinie 2022/2555 wider. Sie selbst haben 24 Stunden, um das BSI zu alarmieren — dieser Zeitplan ist nicht einzuhalten, wenn Ihr Lieferant 72 Stunden wartet, bevor er Sie informiert.

Klausel 3: Mindestsicherheitsstandards

Definieren Sie präzise technische Anforderungen: MFA obligatorisch für alle Zugriffe auf Ihre Systeme, Datenverschlüsselung bei der Übertragung (mindestens TLS 1.2) und im Ruhezustand (AES-256), kritische Sicherheits-Patches innerhalb von 72 Stunden nach Veröffentlichung, und eine dokumentierte Richtlinie für privilegierte Zugriffe. Diese Standards müssen überprüfbar sein — der Lieferant muss Nachweise erbringen können, z.B. ISO 27001-Zertifizierung, SOC 2 Typ II-Berichte oder unabhängige Schwachstellenscan-Ergebnisse.

Klausel 4: Datenspeicherort und Datensouveränität

Legen Sie vertraglich fest, wo Ihre Daten gespeichert und verarbeitet werden. Übertragungen außerhalb der EU müssen den DSGVO-Transfermechanismen entsprechen (Standardvertragsklauseln, Angemessenheitsbeschlüsse). Untersagen Sie ausdrücklich die weitere Weitergabe Ihrer Daten ohne vorherige schriftliche Zustimmung. Für sensible Sektoren (Gesundheit, Finanzen, kritische Infrastruktur) sollten Sie eine EU-exklusive Datenspeicherung in Betracht ziehen.

Klausel 5: Haftung und Vertragsstrafen

Definieren Sie Vertragsstrafen bei Verstößen gegen Sicherheitspflichten: eine pauschale Vertragsstrafe pro Vorfall, der nicht fristgerecht gemeldet wurde, Schadensersatz für direkte Schäden, die durch Sicherheitsversagen des Lieferanten entstehen, und ein Recht auf außerordentliche Kündigung ohne Vertragsstrafe bei schwerwiegenden Sicherheitsverletzungen. Diese Strafen müssen verhältnismäßig sein — ausreichend, um Compliance zu fördern, aber nicht so hoch, dass Lieferanten den Vertrag nicht mehr akzeptieren.

Wie das BSI die Lieferantenverwaltung prüft

Bei einer Prüfung oder Untersuchung können BSI-Prüfer Ihre Lieferantenverträge, Ihr Drittanbieter-Risikoregister und Nachweise regelmäßiger Lieferantenbewertungen anfordern. Das BSI erwartet von wesentlichen Einrichtungen, dass sie über ein formalisiertes Bewertungsverfahren verfügen — mindestens jährlich für kritische IKT-Lieferanten.

Ihr Drittanbieter-Risikoregister muss jeden Lieferanten mit Systemzugang dokumentieren: die zugehörige Risikoklassifizierung, aktive Mitigationsmaßnahmen und das Datum der letzten formellen Bewertung.

Wo Sie anfangen sollten

Identifizieren Sie Ihre 10 kritischsten Lieferanten — diejenigen, die Zugang zu Ihren Informationssystemen haben, sensible Daten verarbeiten oder deren Ausfall Ihren Betrieb zum Stillstand bringen würde. Prüfen Sie für jeden, ob Ihr aktueller Vertrag die 5 oben genannten Klauseln enthält.

Integrieren Sie diese Klauseln bei der nächsten Vertragsverlängerung. Für Verträge mit mehr als 12 Monaten Restlaufzeit sollten Sie eine Vertragsänderung in Betracht ziehen.

Die NIS2-Richtlinie (Artikel 21, Richtlinie 2022/2555) verlangt nicht, dass Sie alle Lieferanten sofort zertifizieren. Sie verlangt, dass Sie aktives Risikomanagement nachweisen — durch Verträge, dokumentierte Bewertungen und ein gepflegtes Register.

*Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Fragen zu Ihrer Situation wenden Sie sich an einen qualifizierten Rechtsberater.*

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar.