
NIS2-Lieferkettensicherheit: Warum jährliche Lieferantenbewertungen nicht mehr reichen
NIS2 Artikel 21(2)(d) verlangt kontinuierliche Lieferkettensicherheit – nicht punktuelle Fragebögen. Was sich konkret ändert, warum das ISMS hier an seine Grenzen stößt und wie Unternehmen den Übergang operativ gestalten.
NIS2-Lieferkettensicherheit: Warum jährliche Lieferantenbewertungen nicht mehr reichen
Lieferantenbewertungen gehören in jedem ISMS zum Standardprogramm: Fragebogen raus, Antworten rein, Ergebnis dokumentiert, nächstes Jahr wieder. Das war ausreichend – bis NIS2 den Begriff „Lieferkettensicherheit" von einer Governance-Pflicht zu einer operativen Anforderung gemacht hat.
NIS2 verlangt keine Lieferantenbewertung. NIS2 verlangt Lieferkettenbeherrschung: laufendes Monitoring, anlassbezogene Re-Assessments und jederzeit abrufbare Nachweise über den Sicherheitsstatus Ihrer direkten Zulieferer und Diensteanbieter.
Direkt zu:
- Was Artikel 21(2)(d) konkret verlangt
- Warum jährliche Bewertungen nicht ausreichen
- Was kontinuierliche Vendor Assurance in der Praxis bedeutet
- Die Lieferkette als Nachweispflicht
Das Problem in einem Satz
Die meisten Unternehmen haben einen Lieferantenbewertungsprozess. Die wenigsten haben eine Lieferantenüberwachung. NIS2 verlangt Letzteres.
Der Unterschied klingt subtil, ist aber fundamental: Eine Bewertung ist ein Snapshot – eine Momentaufnahme zu einem bestimmten Zeitpunkt. Überwachung ist ein laufender Prozess, der erkennt, wenn sich etwas ändert, und darauf reagiert. NIS2 wurde genau für diese Unterscheidung geschrieben.
Was Artikel 21(2)(d) konkret verlangt {#was-artikel-21-verlangt}
Die NIS2-Richtlinie formuliert die Anforderung an die Lieferkette in Artikel 21(2)(d):
„Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern"
Artikel 21(3) ergänzt, dass Einrichtungen dabei die spezifischen Schwachstellen jedes direkten Zulieferers und Diensteanbieters sowie die Gesamtqualität der Produkte und Cybersicherheitspraktiken berücksichtigen müssen – einschließlich der Sicherheit der Entwicklungsverfahren.
In der deutschen Umsetzung (§ 30 BSIG) wird dies als Teil der verpflichtenden Risikomanagementmaßnahmen verankert. Das BSI empfiehlt darüber hinaus, Zulieferer vertraglich zur Einhaltung von IT-Sicherheitsstandards und zur Vorlage entsprechender Nachweise zu verpflichten.
Drei Dinge fallen auf:
Erstens: Es geht um direkte Zulieferer und Diensteanbieter – nicht um die gesamte Kette, aber um jeden einzelnen direkten Lieferanten individuell. Pauschale Bewertungen reichen nicht.
Zweitens: Die Anforderung ist dynamisch formuliert. „Sicherheitsbezogene Aspekte der Beziehungen" – nicht „einmalige Bewertung beim Onboarding." Die Beziehung ist fortlaufend, also muss auch die Sicherheitsbewertung fortlaufend sein.
Drittens: Die Gesamtqualität der Cybersicherheitspraktiken muss berücksichtigt werden. Das bedeutet: Nicht nur prüfen, ob ein Lieferant eine ISO-Zertifizierung hat, sondern verstehen, wie er tatsächlich arbeitet – und ob sich das ändert.
Warum jährliche Bewertungen nicht ausreichen {#warum-jaehrliche-bewertungen-nicht-reichen}
Das jährliche Lieferanten-Assessment ist das Standardmodell in den meisten ISMS-Implementierungen. Es funktioniert ungefähr so:
- Lieferant wird identifiziert und kategorisiert
- Fragebogen wird verschickt (oft auf Basis von CAIQ, SIG oder eigenen Templates)
- Antworten werden geprüft und bewertet
- Ergebnis wird dokumentiert und abgelegt
- Nächstes Jahr: Wiederholung
Dieses Modell hat drei strukturelle Schwächen unter NIS2:
Der Zeitverzug
Zwischen zwei jährlichen Bewertungen können sich die Sicherheitsverhältnisse eines Lieferanten grundlegend verändern: ein Datenleck, ein Führungswechsel im CISO-Bereich, eine Änderung der Hosting-Infrastruktur, eine geopolitische Neubewertung. Zwölf Monate sind in der Cybersicherheit eine Ewigkeit. Wer einmal im Jahr bewertet, arbeitet systematisch mit veralteten Daten.
Die Selbstauskunft
Fragebögen sind Selbstauskünfte. Sie spiegeln wider, was der Lieferant über sich selbst sagt – nicht, was tatsächlich der Fall ist. Die ENISA weist in ihren Umsetzungsempfehlungen ausdrücklich darauf hin, dass die Qualität der Sicherheitspraktiken bewertet werden muss, nicht nur das Vorhandensein von Dokumentation.
Die fehlende Reaktionsfähigkeit
Ein jährlicher Zyklus hat keinen Mechanismus für anlassbezogene Neubewertungen. Wenn ein Lieferant einen Sicherheitsvorfall hat, wenn sich regulatorische Bedingungen ändern, wenn neue Schwachstellen bekannt werden – der nächste geplante Assessment-Termin ist möglicherweise Monate entfernt. NIS2 erwartet Reaktionsfähigkeit, kein Wartenmüssen.
Was kontinuierliche Vendor Assurance in der Praxis bedeutet {#kontinuierliche-vendor-assurance}
Kontinuierliche Lieferantenüberwachung ist kein permanenter Audit. Es ist ein System, das vier Dinge gleichzeitig leistet:
Laufendes Monitoring
Automatisierte Signale über Veränderungen im Sicherheitsstatus eines Lieferanten – öffentlich verfügbare Informationen, Zertifizierungsstatus, bekannte Schwachstellen, Medienereignisse, regulatorische Änderungen. Nicht als Ersatz für tiefe Assessments, sondern als Frühwarnsystem, das erkennt, wann ein tiefes Assessment nötig wird.
Anlassbezogene Re-Assessments
Wenn ein Monitoring-Signal eine Veränderung anzeigt, muss eine Neubewertung möglich sein – ohne den gesamten Assessment-Prozess von vorn zu starten. Das bedeutet: modulare Bewertungen, die gezielt die betroffenen Bereiche adressieren, statt ein vollständiges Questionnaire neu aufzurollen.
Integrierte Nachweise
Ergebnisse aus Monitoring und Assessments müssen zusammenlaufen – in einer Übersicht, die den aktuellen Sicherheitsstatus jedes Lieferanten zeigt, mit Metadaten: Wann wurde zuletzt bewertet? Auf welcher Grundlage? Was hat sich seitdem geändert? Welche offenen Punkte gibt es? Diese Nachweise müssen jederzeit abrufbar sein – nicht für den nächsten Audit zusammengestellt werden.
Kommunikationsschnittstelle
Wenn sich die Lage ändert, muss die Kommunikation mit dem Lieferanten schnell, strukturiert und nachweisbar funktionieren. Nicht per E-Mail-Kette mit angehängtem PDF, sondern über einen definierten Kanal, der Anfragen, Antworten und Nachweise versioniert und dokumentiert.
Die Lieferkette als Nachweispflicht {#lieferkette-als-nachweispflicht}
NIS2 verlangt nicht nur, dass Unternehmen ihre Lieferkette beherrschen – sie müssen es auch nachweisen können. Artikel 21(2)(f) in Verbindung mit den Aufsichtsbefugnissen des BSI (§§ 61-65 BSIG) bedeutet: Die Wirksamkeit der Lieferkettenmaßnahmen muss jederzeit belegbar sein.
In der Praxis heißt das: Wenn das BSI anklopft, muss ein Unternehmen zeigen können, welche Lieferanten als kritisch eingestuft sind, auf welcher Grundlage die Bewertung erfolgt ist, wann die letzte Überprüfung stattfand, welche Maßnahmen aus der Bewertung abgeleitet wurden, welche offenen Risiken bestehen und wie diese gesteuert werden.
Ein Ordner mit abgelegten Fragebögen reicht dafür nicht. Was es braucht, ist eine lebende Übersicht – aktuell, versioniert, nachvollziehbar.
Wo das ISMS aufhört und operative Systeme anfangen
Ein ISMS definiert den Prozess: Lieferanten werden bewertet, Risiken werden erfasst, Maßnahmen werden dokumentiert. Das ist wertvoll und bleibt die Grundlage.
Aber die operative Umsetzung – das laufende Monitoring, die anlassbezogenen Re-Assessments, die integrierte Nachweisführung und die strukturierte Kommunikation mit Lieferanten – übersteigt die Möglichkeiten einer internen Dokumentationsstruktur.
| Fähigkeit | ISMS | Operatives Vendor-Assurance-System |
|---|---|---|
| Lieferantenkategorisierung und -register | ✅ | ✅ |
| Initiales Assessment (Onboarding) | ✅ | ✅ |
| Jährliche Re-Assessments | ✅ | ✅ |
| Laufendes Monitoring (Signale, Zertifikate, Schwachstellen) | ❌ | ✅ |
| Anlassbezogene modulare Re-Assessments | ❌ | ✅ |
| Integrierte Nachweisübersicht mit Metadaten | ❌ | ✅ |
| Strukturierte Kommunikation mit Lieferanten | ❌ | ✅ |
| Jederzeit abrufbare Evidenz für Aufsichtsbehörden | ❌ | ✅ |
Das ISMS bleibt das Steuerungsinstrument. Aber für die operative Lieferkettensicherheit unter NIS2 braucht es eine zusätzliche Schicht – eine, die nicht dokumentiert, dass etwas getan wurde, sondern die es tatsächlich tut.
Was Unternehmen jetzt konkret tun sollten
1. Lieferantenregister auf NIS2-Anforderungen prüfen
Welche Lieferanten sind für die Erbringung Ihrer wesentlichen oder wichtigen Dienste relevant? Wie granular ist die Kategorisierung? Werden die spezifischen Schwachstellen jedes direkten Lieferanten berücksichtigt – wie Artikel 21(3) es verlangt?
2. Assessment-Modell überdenken
Ist der jährliche Zyklus wirklich ausreichend – oder gibt es Lieferanten, deren Risikoprofil eine häufigere oder anlassbezogene Überprüfung erfordert? Gibt es einen Mechanismus für Trigger-basierte Re-Assessments?
3. Monitoring-Fähigkeit aufbauen
Welche Signale könnten auf eine Veränderung im Sicherheitsstatus eines Lieferanten hindeuten? Welche dieser Signale können automatisiert erfasst werden? Wie werden sie ausgewertet und in den Assessment-Prozess integriert?
4. Nachweisführung von Ablage auf Abruf umstellen
Können Sie heute einem BSI-Prüfer zeigen, welche Lieferanten als kritisch eingestuft sind, wann die letzte Bewertung stattfand und welche offenen Maßnahmen existieren? Wenn die Antwort „ich muss das zusammenstellen" lautet, ist der Nachweisprozess nicht NIS2-tauglich.
5. Vertragliche Grundlagen prüfen
Verpflichten Ihre Verträge Lieferanten zur Einhaltung von Sicherheitsstandards und zur Vorlage von Nachweisen? Enthalten sie Klauseln für Incident Notification, Audit-Rechte und Kooperationspflichten bei Sicherheitsvorfällen?
Quellen
- Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) – Volltext – Amtsblatt der Europäischen Union. Artikel 21(2)(d) und 21(3) zur Lieferkettensicherheit.
- BSI – NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – § 30 BSIG zu Risikomanagementmaßnahmen einschließlich Lieferkettensicherheit.
- ENISA – Implementing Guidance on NIS2 Security Measures – Umsetzungsempfehlungen der ENISA, insbesondere zur Bewertung von Lieferanten und Diensteanbietern.
- ENISA – Good Practices for Supply Chain Cybersecurity – Best Practices für die Bewertung und Steuerung von Lieferketten-Cyberrisiken.
- DLA Piper – NIS2 Directive Explained: Supply Chain Security – Praxisorientierte Analyse der NIS2-Lieferkettenanforderungen.
- BSI – #nis2know Infopaket: Sichere Lieferkette – Informationspaket des BSI zur Umsetzung der Lieferkettensicherheit.