NIS2 Drittparteien-Risikodokumentation: Was Auditoren tatsächlich prüfen

NIS2 Artikel 21 Absatz 2 Buchstabe d verlangt „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern." Das steht in jedem NIS2-Compliance-Guide. Was in keinem steht: welche konkreten Nachweise ein Auditor tatsächlich anfordert, wenn er sich mit Ihrem CISO an einen Tisch setzt. Das liefert dieser Artikel.

TL;DR

NIS2-Lieferkettensicherheit bedeutet nicht nur Richtlinien zu haben — es bedeutet Nachweise zu produzieren. Auditoren prüfen sechs Kategorien der Drittparteien-Risikodokumentation: ein Lieferantenregister mit Risiko-Klassifizierung, dokumentierte Sorgfaltsprüfung für kritische Lieferanten, vertragliche Sicherheitsklauseln, Nachweise zur kontinuierlichen Überwachung, Incident-Kommunikationsaufzeichnungen und Artefakte der Management-Governance. Die meisten Unternehmen haben die Richtlinien, aber nicht die operative Infrastruktur, um diese Nachweise ohne Hektik zu produzieren. Ein Trust Center erzeugt die meisten davon als Nebenprodukt des Tagesgeschäfts — nicht als Audit-Vorbereitungsübung.

Warum dieser Artikel anders ist

An NIS2-Lieferketten-Content mangelt es nicht. DataGuard, Bitsight, Panorays, secjur, VERSO — sie alle erklären, was Artikel 21(2)(d) bedeutet. Was keiner liefert, ist die eigentliche Checkliste des Auditors: die konkreten Dokumente, Aufzeichnungen und Artefakte, die ein BSI-Prüfer, eine nationale zuständige Behörde oder ein externer NIS2-Auditor bei der Bewertung Ihrer Lieferkettensicherheit anfordert.

Das ist entscheidend, weil NIS2 eine Nachweispflicht ist — genauso wie eine Sicherheitspflicht. Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) verlangt von Betreibern kritischer Anlagen, die Compliance durch Audits, Prüfungen oder Zertifizierungen nachzuweisen und dem BSI alle drei Jahre Evidenz vorzulegen. Für „besonders wichtige Einrichtungen" kann das BSI jederzeit Nachweise verlangen.

Die Frage ist nicht, ob Sie Drittparteienrisiken managen. Die Frage ist: Können Sie es jetzt beweisen — mit datierten Artefakten?

Die sechs Nachweiskategorien, die Auditoren prüfen

Basierend auf der NIS2-Durchführungsverordnung (EU 2024/2690), nationalen Umsetzungsgesetzen und etablierten Audit-Frameworks wie ISO 27001 Annex A.5.19–A.5.23 — hier ist, was NIS2-Lieferketten-Audits tatsächlich bewerten.

1. Lieferantenregister mit Risiko-Klassifizierung

Was Auditoren sehen wollen: Ein strukturiertes, gepflegtes Register aller direkten Lieferanten und Dienstleister, die Zugang zu Ihren Netz- und Informationssystemen haben, klassifiziert nach Kritikalität.

Konkrete Artefakte:

Vollständiges Lieferantenverzeichnis mit Name, Leistungsbeschreibung, Datenzugriffslevel und Systemzugriffsumfang
Dokumentierte Risiko-Klassifizierungsmethodik — wie Sie bestimmen, welche Lieferanten kritisch, wichtig oder Standard sind
Klassifizierungsergebnisse pro Lieferant, mit dokumentierter Begründung
Datum der letzten Klassifizierungsüberprüfung (muss periodisch sein, nicht einmalig)
Nachweis, dass die Klassifizierung zu differenzierter Behandlung führt — kritische Lieferanten erhalten tiefere Prüfung, nicht denselben Fragebogen wie alle anderen

Wo die meisten Unternehmen scheitern: Das Register existiert, aber es ist eine flache Liste. Keine Klassifizierung, keine differenzierte Behandlung, kein Nachweis regelmäßiger Überprüfung. Auditoren wollen sehen, dass Ihre Klassifizierungsmethodik dokumentiert, konsistent angewendet und handlungsleitend für die Tiefe Ihrer Sorgfaltsprüfung ist.

Was gut aussieht: Ein lebendes Register — versioniert, mit Zeitstempel, mit Klassifizierungskriterien, die auf Ihre Risikobereitschaft und Geschäftsauswirkungsanalyse abgestimmt sind. Wenn sich ein Lieferant ändert (neuer Service, mehr Datenzugriff, anderes Hosting), aktualisiert sich die Klassifizierung.

2. Sorgfaltsprüfung-Dokumentation für kritische Lieferanten

Was Auditoren sehen wollen: Nachweis, dass Sie die Sicherheitslage kritischer Lieferanten vor der Beauftragung bewertet haben und während der Beziehung weiter bewerten.

Konkrete Artefakte:

Sicherheitsbewertungen vor der Beauftragung für kritische Lieferanten (Fragebögen, Zertifizierungsprüfungen, technische Assessments)
Zertifizierungsverifikation: ISO-27001-Geltungsbereich und -Gültigkeit, SOC-2-Berichte, branchenspezifische Zertifizierungen (TISAX, C5 etc.)
Bewertung der eigenen Lieferkettenpraktiken des Lieferanten — die NIS2-Erwägungsgründe legen nahe, nicht nur direkte Lieferanten, sondern deren gesamte Lieferkettenqualität zu berücksichtigen
Periodische Neubewertungsaufzeichnungen mit Daten, Ergebnissen und Folgemaßnahmen
Dokumentation, wie Bewertungsergebnisse die Beauftragungsentscheidung beeinflusst haben (nicht nur abgelegt — gehandelt)

Wo die meisten Unternehmen scheitern: Die Sorgfaltsprüfung findet beim Onboarding statt und hört dann auf. Der SOC-2-Bericht war aktuell beim Vertragsschluss vor zwei Jahren. Die ISO-27001-Zertifizierung des Lieferanten könnte abgelaufen sein, der Geltungsbereich sich geändert haben, oder es gab einen Sicherheitsvorfall, von dem Sie nichts wissen. Auditoren suchen gezielt nach Nachweisen laufender Bewertung — nicht nur erstmaliger.

Was gut aussieht: Ein strukturierter Neubewertungszyklus, abgestimmt auf die Lieferantenkritikalität. Kritische Lieferanten jährlich bewertet, wichtige alle 18 Monate, Standard-Lieferanten bei Vertragsverlängerung. Jede Bewertung produziert einen datierten Nachweis mit Ergebnissen und, wo anwendbar, Maßnahmenverfolgung.

3. Vertragliche Sicherheitsklauseln

Was Auditoren sehen wollen: Dass Ihre Verträge mit Lieferanten durchsetzbare Cybersicherheitspflichten enthalten, die an den NIS2-Anforderungen ausgerichtet sind.

Konkrete Artefakte:

Cybersicherheitsklauseln in Lieferantenverträgen (nicht nur generische Datenschutzklauseln)
Vorfallsmeldepflichten: Lieferant muss Cybersicherheitsvorfälle an Sie melden, mit definierten Fristen — entscheidend, weil NIS2-Meldepflichten (24-Stunden-Frühwarnung, 72-Stunden-Meldung) nur eingehalten werden können, wenn Ihre Lieferanten schnell genug an Sie melden
Auditrechte: vertragliches Recht zur Überprüfung der Lieferantensicherheit, direkt oder durch unabhängige Dritte
Unterauftragskontrolle: Lieferant muss Sie vor der Beauftragung von Unterauftragnehmern für kritische Services informieren, und Unterauftragnehmer müssen gleichwertige Sicherheitsstandards erfüllen
Kündigungsrechte: Möglichkeit zur Beendigung der Beziehung, wenn der Lieferant Sicherheitspflichten nicht erfüllt

Wo die meisten Unternehmen scheitern: Verträge enthalten eine generische „Einhaltung geltenden Rechts"-Klausel, aber keine spezifischen Cybersicherheitspflichten. Vorfallsmeldefristen existieren im Vertrag nicht — es gibt also keine durchsetzbare Verpflichtung des Lieferanten, schnell genug zu melden, damit Sie Ihre eigenen NIS2-Meldefristen einhalten können. Auditoren prüfen, ob vertragliche Klauseln Compliance tatsächlich ermöglichen — nicht nur darauf verweisen.

Was gut aussieht: Ein Sicherheits-Addendum-Template für Lieferantenverträge, das alle NIS2-relevanten Pflichten abdeckt, differenziert nach Lieferantenkritikalität. Für kritische Lieferanten: spezifische Vorfallsmeldefristen (z.B. 12 Stunden, damit Ihnen Zeit vor Ihrer 24-Stunden-Frist bleibt), Auditrechte und Unterauftragskontrolle. Für Standard-Lieferanten: grundlegende Sicherheitspflichten und Vorfallsmeldung.

4. Nachweise zur kontinuierlichen Überwachung

Was Auditoren sehen wollen: Beweis, dass Sie sich nicht allein auf periodische Bewertungen verlassen, sondern Veränderungen in Ihrer Lieferanten-Risikolandschaft aktiv überwachen.

Konkrete Artefakte:

Security-Rating- oder Scoring-Daten für kritische Lieferanten (bei Nutzung externer Monitoring-Tools)
Aufzeichnungen über die Reaktion auf Veränderungen: Ablauf von Lieferantenzertifizierungen, Sicherheitsvorfälle bei Lieferanten, Änderungen in Lieferantenleistungen oder Datenverarbeitung
Unterauftragnehmer-Änderungsüberwachung: Nachweis, dass Sie verfolgen, wenn Lieferanten eigene Unterauftragnehmer hinzufügen oder wechseln
Schwachstellenüberwachung: Kenntnis öffentlich bekannter Schwachstellen in Lieferantenprodukten oder -diensten
Nachweis, dass Monitoring-Ergebnisse Maßnahmen auslösen — nicht nur Berichte, die in einem Ordner liegen

Wo die meisten Unternehmen scheitern: Die Überwachung ist konzeptionell, nicht operativ. Es gibt eine Richtlinie, die sagt „Wir überwachen Lieferantenrisiken kontinuierlich", aber kein System, das es tatsächlich tut. Auditoren fragen nach konkreten Beispielen: „Zeigen Sie mir das letzte Mal, als Sie eine Veränderung im Risikoprofil eines Lieferanten entdeckt haben, und was Sie daraufhin getan haben." Wenn Sie das nicht mit einem datierten Nachweis beantworten können, bestehen Sie diese Prüfung nicht.

Was gut aussieht: Eine Kombination aus automatisiertem Monitoring (Security Ratings, Zertifizierungstracking, Unterauftragnehmer-Änderungsbenachrichtigungen) und periodischen Reviews. Veränderungen lösen dokumentierte Reaktionen aus — selbst wenn die Reaktion lautet „geprüft und Risiko akzeptiert." Der Schlüssel ist die Nachvollziehbarkeit.

5. Incident-Kommunikationsaufzeichnungen

Was Auditoren sehen wollen: Dass Sie schnelle, strukturierte Kommunikation mit und über Lieferanten bei Sicherheitsvorfällen nachweisen können.

Konkrete Artefakte:

Incident-Kommunikationsverfahren, die Drittparteien-Szenarien einschließen (nicht nur interne Incident Response)
Aufzeichnungen tatsächlicher Incident-Kommunikation — wenn Sie einen Lieferanten-Sicherheitsvorfall hatten, wollen Auditoren die Zeitlinie sehen: wann Sie benachrichtigt wurden, wann Sie die Auswirkungen bewertet haben, wann Sie Ihre eigenen Behörden und Kunden informiert haben
Tabletop-Exercise-Dokumentation: wenn Sie keinen realen Vorfall hatten, Nachweis, dass Sie Ihre Supply-Chain-Incident-Response durch Übungen getestet haben
Kundenbenachrichtigungsverfahren: wie Sie Lieferantenvorfälle an Ihre eigenen Kunden kommunizieren, einschließlich Zeitplan und Inhalt
Eskalationsmatrix: wer in Ihrer Organisation für Lieferanten-Incident-Triage verantwortlich ist und wie Entscheidungen dokumentiert werden

Wo die meisten Unternehmen scheitern: Interne Incident Response ist dokumentiert, erstreckt sich aber nicht auf Lieferketten-Szenarien. Es gibt kein Verfahren für „Unser Cloud-Provider hatte einen Breach — was jetzt?" und keinen Nachweis, dass es jemals getestet wurde. Auditoren fragen zunehmend nach Tabletop-Exercise-Dokumentation, die explizit Lieferketten-Szenarien einschließt.

Was gut aussieht: Ein dokumentiertes Supply-Chain-Incident-Playbook, das Erkennung, Bewertung, interne Eskalation, Behördenmeldung und Kundenkommunikation abdeckt — mit spezifischen Fristen, die auf NIS2-Meldepflichten abgestimmt sind (24-Stunden-Frühwarnung, 72-Stunden-Bewertung, Ein-Monats-Abschlussbericht). Jährlich durch Übungen getestet, mit dokumentierten Erkenntnissen.

6. Management-Governance-Artefakte

Was Auditoren sehen wollen: Nachweis, dass Third-Party Risk Management auf der angemessenen Managementebene gesteuert wird — nicht in der IT vergraben.

Konkrete Artefakte:

Protokolle von Vorstandssitzungen oder Geschäftsführungsbesprechungen, die Lieferkettenrisiko als regelmäßigen Tagesordnungspunkt zeigen
Von der Geschäftsführung genehmigte Third-Party-Risk-Management-Richtlinie — unterzeichnet, datiert, mit Überprüfungsplan
Risikoakzeptanz-Dokumentation: wo die Geschäftsleitung explizit Restrisiken in der Lieferkette akzeptiert hat, dokumentiert mit Begründung
Schulungsnachweise: NIS2 verlangt, dass die Geschäftsführung Cybersicherheitsschulungen erhält, die auch Supply-Chain-Risikobewusstsein umfassen sollten
Budgetallokation: Nachweis, dass Third-Party Risk Management dedizierte Ressourcen hat, nicht nur eine Richtlinie

Wo die meisten Unternehmen scheitern: Die Third-Party-Risk-Richtlinie existiert, wurde aber einmal unterzeichnet und nie überprüft. Lieferkettenrisiko taucht nicht auf Management-Agenden auf. Risikoakzeptanz ist informell — „der CISO hat gesagt, es passt" — ohne dokumentierte Begründung. Auditoren prüfen, ob das Management diesen Bereich tatsächlich steuert, nicht nur davon weiß.

Was gut aussieht: Vierteljährliche Management-Reviews des Third-Party-Risk-Status, einschließlich Veränderungen in der Lieferantenlandschaft, Bewertungsergebnisse, Incident-Historie und offene Maßnahmen. Dokumentierte Risikoakzeptanz-Entscheidungen mit geschäftlicher Begründung und Überprüfungsdaten.

Das Muster: Dokumentation existiert, Infrastruktur nicht

Nach der Prüfung aller sechs Kategorien ist das Muster immer dasselbe. Unternehmen haben:

Richtlinien: Gut geschriebene Third-Party-Risk-Management-Richtlinien, oft angelehnt an ISO 27001 A.5.19–A.5.23
Erstbewertungen: Sorgfaltsprüfungs-Aufzeichnungen vom Onboarding der Lieferanten
Verträge: Standard-AVVs und manchmal Sicherheits-Addenda

Was sie nicht haben:

Lebende Dokumentation: Lieferantenregister, die sich bei veränderten Umständen aktualisieren, nicht erst bei der Jahresprüfung
Kontinuierliche Nachweise: Monitoring-Aufzeichnungen, die laufende Aufmerksamkeit zeigen, nicht Momentaufnahmen
Kommunikationsnachweise: Incident-Response-Aufzeichnungen, die sich auf Lieferketten-Szenarien erstrecken
Management-Artefakte: Nachweis, dass die Führungsebene steuert, nicht nur informiert ist

Die Lücke ist nicht Wissen — es ist Infrastruktur. Jeder CISO weiß, dass er Lieferantenrisiken kontinuierlich überwachen sollte. Die Frage ist, ob es ein System gibt, das die Nachweise automatisch produziert, oder ob „Audit-Bereitschaft" eine dreiwöchige Hektik bedeutet, Artefakte aus E-Mails, Tabellen und PDFs zusammenzusuchen.

Wie ein Trust Center Audit-Nachweise automatisch erzeugt

Hier verbindet sich das Konzept mit der operativen Realität. Ein Trust Center — richtig umgesetzt — ist nicht nur eine nach außen gerichtete Dokumentationsseite. Es ist eine Infrastrukturschicht, die NIS2-Drittparteien-Risikodokumentation als Nebenprodukt des Tagesgeschäfts produziert.

Lieferantenregister → Trust Center Vendor Directory

Das Vendor-Assurance-Modul Ihres Trust Centers pflegt das Lieferantenregister: Namen, Services, Kritikalitätsklassifizierungen, letzte Bewertungsdaten. Es ist immer aktuell, weil es das operative System ist — kein separates Audit-Dokument.

Sorgfaltsprüfung → Kontinuierliche Vendor Assessments

Sicherheitsbewertungen, Zertifizierungstracking und Neubewertungszyklen leben in der Plattform. Wenn die ISO-27001-Zertifizierung eines Lieferanten abläuft, flaggt das System es. Bewertungsergebnisse sind zeitgestempelt und versioniert.

Kontinuierliches Monitoring → Automatische Änderungserkennung

Unterauftragnehmer-Änderungen, Zertifizierungsstatus-Änderungen und Verschiebungen in Security Ratings erzeugen Benachrichtigungen und audit-fähige Aufzeichnungen. Wenn Ihr Lieferant einen neuen Unterauftragnehmer hinzufügt, wissen Sie davon — und der Nachweis belegt es.

Incident-Kommunikation → Trust Center Status Page und Benachrichtigungen

Bei einem Supply-Chain-Vorfall erzeugt die Incident-Kommunikationsfunktion Ihres Trust Centers den Nachweis-Trail automatisch: Benachrichtigungs-Zeitstempel, Kommunikationsinhalte und Kundenbestätigungen. Keine manuelle Rekonstruktion nötig.

Management-Governance → Dashboards und Berichte

Regelmäßige Management-Berichte zum Third-Party-Risk-Status — Bewertungsergebnisse, offene Findings, Risikotrends — werden aus dem operativen System generiert. Die Management-Review basiert auf Echtdaten, nicht auf einem manuell zusammengestellten Foliensatz.

Das Prinzip: Audit-Nachweise sollten ein Nebenprodukt Ihrer Arbeitsweise sein, nicht eine separate Vorbereitungsübung. Wenn Ihr Trust Center Ihr operatives System für Third-Party Risk ist, existiert der Audit-Nachweis bereits, wenn der Auditor kommt.

Die praktische Checkliste

Nutzen Sie diese Checkliste zur Bewertung Ihrer NIS2-Lieferketten-Audit-Bereitschaft:

Lieferantenregister:

Alle direkten Lieferanten und Dienstleister inventarisiert
Risiko-Klassifizierungsmethodik dokumentiert und angewendet
Klassifizierungen mindestens jährlich überprüft
Register ist versioniert und zeitgestempelt

Sorgfaltsprüfung:

Bewertungen vor der Beauftragung für kritische Lieferanten dokumentiert
Zertifizierungsstatus verfolgt und aktuell
Neubewertungszyklus nach Lieferantenkritikalität definiert
Bewertungsergebnisse produzieren datierte Nachweise mit Findings

Verträge:

Cybersicherheitsklauseln in Lieferantenverträgen (über generischen AVV hinaus)
Vorfallsmeldefristen spezifiziert
Auditrechte enthalten
Unterauftragskontrollen definiert

Kontinuierliches Monitoring:

Änderungserkennung für Lieferanten-Risikoprofile operativ
Unterauftragnehmer-Änderungen verfolgt
Monitoring-Ergebnisse lösen dokumentierte Reaktionen aus
Mindestens ein Beispiel einer erkannten Änderung und der resultierenden Maßnahme

Incident-Kommunikation:

Supply-Chain-Incident-Verfahren dokumentiert
Kundenbenachrichtigungsprozess für Lieferantenvorfälle definiert
Tabletop-Exercise mit Lieferketten-Szenario innerhalb der letzten 12 Monate durchgeführt
Kommunikationsfristen auf NIS2-Meldepflichten abgestimmt

Management-Governance:

Third-Party-Risk-Management-Richtlinie von der Geschäftsleitung genehmigt
Lieferkettenrisiko regelmäßig auf Management-Agenda
Risikoakzeptanz-Entscheidungen mit Begründung dokumentiert
Cybersicherheitsschulung der Geschäftsführung umfasst Supply-Chain-Risiko

Häufig gestellte Fragen

Wann beginnen NIS2-Audits?

Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit Dezember 2025 in Kraft. Betreiber kritischer Anlagen müssen dem BSI innerhalb einer definierten Frist Compliance-Nachweise vorlegen — initial auf drei bis vier Jahre nach Inkrafttreten festgelegt, aber das BSI kann Nachweise früher anfordern. Für „besonders wichtige Einrichtungen" hat das BSI umfangreiche Aufsichtsbefugnisse einschließlich des Rechts, jederzeit Nachweise zu verlangen. Die praktische Realität: Wenn Ihre Kunden NIS2-reguliert sind, reichen sie die Anforderungen bereits über Verträge an Sie weiter.

Deckt eine ISO-27001-Zertifizierung die NIS2-Lieferketten-Anforderungen ab?

Teilweise. ISO 27001 Annex A Kontrollen A.5.19–A.5.23 decken die Sicherheit in Lieferantenbeziehungen ab und bieten eine solide Grundlage. Aber NIS2 geht in mehreren Bereichen weiter: explizite Incident-Reporting-Fristen für Lieferkettenvorfälle, persönliche Managementhaftung für Cybersicherheitsmaßnahmen und die Anforderung, Lieferkettenqualität ganzheitlich zu berücksichtigen — nicht nur die direkte Lieferantensicherheit. Ein ISO-27001-zertifiziertes Unternehmen hat einen Vorsprung, benötigt aber wahrscheinlich zusätzliche Dokumentation für NIS2-spezifische Anforderungen.

Was ist der Unterschied zwischen NIS2- und DORA-Lieferketten-Anforderungen?

DORA (Digital Operational Resilience Act) gilt spezifisch für Finanzunternehmen und ist präskriptiver als NIS2 — einschließlich eines verpflichtenden IKT-Drittparteien-Registers (Artikel 28), spezifischer Vertragsanforderungen (Artikel 30) und Aufsicht kritischer IKT-Drittdienstleister durch europäische Aufsichtsbehörden. Für Finanzunternehmen hat DORA Vorrang vor NIS2 für IKT-bezogene Lieferketten-Anforderungen, wobei NIS2 für Nicht-IKT-Aspekte weiterhin gelten kann. Wenn Sie Finanzsektor-Kunden bedienen, müssen Sie beide erfüllen.

Wie hängt DSGVO Artikel 28 mit NIS2-Lieferketten-Dokumentation zusammen?

DSGVO Artikel 28 verlangt von Verantwortlichen, sicherzustellen, dass Auftragsverarbeiter „hinreichend Garantien" geeigneter technischer und organisatorischer Maßnahmen (TOMs) bieten, und regelt das Unterauftragnehmer-Management. NIS2 fügt eine cybersicherheitsspezifische Ebene darüber hinzu: Lieferkettensicherheitsmaßnahmen, Incident-Reporting-Pflichten und kontinuierliche Überwachungsanforderungen, die über Datenschutz hinausgehen. In der Praxis überlappen sich beide erheblich. Ein gut dokumentierter Unterauftragnehmer-Management-Prozess unter DSGVO Artikel 28 deckt einen großen Teil der NIS2-Lieferketten-Nachweise für Datenverarbeitungsbeziehungen ab — aber NIS2 erstreckt sich auch auf Nicht-Datenverarbeitungs-Lieferanten (z.B. Infrastrukturanbieter, Hardware-Lieferanten).

Was, wenn wir noch keinen Supply-Chain-Sicherheitsvorfall hatten?

Auditoren werden Sie nicht für das Fehlen eines Vorfalls abstrafen. Aber sie prüfen, ob Sie auf einen vorbereitet sind. Tabletop-Exercises, die Lieferketten-Szenarien einschließen, sind der Standard-Nachweis für Vorbereitung ohne realen Vorfall. Dokumentieren Sie die Übung: Szenario, Teilnehmer, Zeitlinie, Erkenntnisse und Verbesserungsmaßnahmen. Das ist ein starker Nachweis operativer Reife.

Die wichtigsten Erkenntnisse

NIS2-Lieferketten-Compliance ist eine Nachweispflicht — Auditoren prüfen spezifische Dokumentationsartefakte, nicht nur Richtlinien
Sechs Nachweiskategorien definieren, was Auditoren tatsächlich bewerten: Lieferantenregister, Sorgfaltsprüfung, Verträge, Monitoring, Incident-Kommunikation und Management-Governance
Die Lücke ist Infrastruktur, nicht Wissen — die meisten Unternehmen wissen, was sie tun sollten, aber es fehlen Systeme, die Nachweise als Nebenprodukt erzeugen
Nachweise zur kontinuierlichen Überwachung sind am schwierigsten zu produzieren — und fehlen in Audits am häufigsten
Ein Trust Center als operative Infrastruktur erzeugt audit-fähige Drittparteien-Risikodokumentation automatisch — kein Last-Minute-Aufwand nötig

So löst Orbiq das

Orbiqs Trust Center beinhaltet Vendor-Assurance-Funktionen, die NIS2-Lieferketten-Dokumentation als Nebenprodukt erzeugen: strukturierte Lieferantenregister, kontinuierliches Monitoring, automatische Änderungsbenachrichtigungen und Incident-Kommunikationsfunktionen — alles audit-fähig, alles zeitgestempelt.

→ Unser Trust Center ansehen (sehen Sie, wie wir unsere eigene Lieferkette dokumentieren)

→ Preise ansehen

→ Kostenlos starten

Quellen

Richtlinie (EU) 2022/2555 (NIS2) – Artikel 21(2)(d) – Anforderungen an die Lieferkettensicherheit für wesentliche und wichtige Einrichtungen.
Durchführungsverordnung (EU) 2024/2690 – Technische und methodische Anforderungen an NIS2-Cybersicherheits-Risikomanagementmaßnahmen, einschließlich Lieferkettensicherheit.
NIS2UmsuCG – Deutsches NIS2-Umsetzungsgesetz – Deutsche Umsetzung von NIS2, einschließlich Audit- und Nachweisanforderungen (§30, §39, §61).
ISO/IEC 27001:2022 – Annex A, Kontrollen A.5.19–A.5.23 – Informationssicherheit in Lieferantenbeziehungen, einschließlich Lieferantenbewertung und -überwachung.
ENISA – Good Practices for Supply Chain Cybersecurity – Leitlinien der EU-Agentur für Cybersicherheit zur Umsetzung von Lieferkettensicherheit.
DLA Piper – NIS2 Directive Explained: Supply Chain Security – Rechtliche Analyse der NIS2-Lieferkettenpflichten und vertraglichen Weitergabe.

NIS2 Drittparteien-Risikodokumentation: Was Auditoren tatsächlich prüfen

TL;DR

Warum dieser Artikel anders ist

Die sechs Nachweiskategorien, die Auditoren prüfen

1. Lieferantenregister mit Risiko-Klassifizierung

2. Sorgfaltsprüfung-Dokumentation für kritische Lieferanten

3. Vertragliche Sicherheitsklauseln

4. Nachweise zur kontinuierlichen Überwachung

5. Incident-Kommunikationsaufzeichnungen

6. Management-Governance-Artefakte

Das Muster: Dokumentation existiert, Infrastruktur nicht

Wie ein Trust Center Audit-Nachweise automatisch erzeugt

Lieferantenregister → Trust Center Vendor Directory

Sorgfaltsprüfung → Kontinuierliche Vendor Assessments

Kontinuierliches Monitoring → Automatische Änderungserkennung

Incident-Kommunikation → Trust Center Status Page und Benachrichtigungen

Management-Governance → Dashboards und Berichte

Die praktische Checkliste

Häufig gestellte Fragen

Wann beginnen NIS2-Audits?

Deckt eine ISO-27001-Zertifizierung die NIS2-Lieferketten-Anforderungen ab?

Was ist der Unterschied zwischen NIS2- und DORA-Lieferketten-Anforderungen?

Wie hängt DSGVO Artikel 28 mit NIS2-Lieferketten-Dokumentation zusammen?

Was, wenn wir noch keinen Supply-Chain-Sicherheitsvorfall hatten?

Die wichtigsten Erkenntnisse

So löst Orbiq das

Quellen

Weiterführende Lektüre