NIS2 Lieferkettensicherheit: Artikel 21(2)(d) erklärt

TL;DR

Artikel 21(2)(d) verpflichtet alle NIS2-Einrichtungen, die Cybersicherheit ihrer Lieferkette aktiv zu managen. Das umfasst die Bewertung direkter Lieferanten, Sicherheitsklauseln in Verträgen, Überprüfung von Patch-Management und Schwachstellenoffenlegung sowie Kontingenplanung für den Ausfall kritischer Lieferanten.

Lieferketten-Cyberangriffe haben in den letzten Jahren deutlich zugenommen. Der SolarWinds-Angriff, die MOVEit-Kampagne und der Kaseya-VSA-Angriff haben gezeigt, wie ein kompromittierter Lieferant Hunderte von nachgelagerten Organisationen treffen kann. NIS2 reagiert darauf mit verbindlichen Lieferketten-Sicherheitsanforderungen.

Dieser Leitfaden erklärt, was Artikel 21(2)(d) konkret verlangt, wie Sie Lieferanten klassifizieren und bewerten, welche Vertragsklauseln notwendig sind und was die Anforderungen an Software-Lieferanten unter dem EU Cyber Resilience Act (CRA) bedeuten.

Was Artikel 21(2)(d) genau verlangt

Der Wortlaut ist breiter als viele erwarten. Einrichtungen müssen Folgendes bewerten und managen:

🔍

Sicherheit in der Lieferkette

Bewertung der von Lieferanten und Dienstleistern eingesetzten Sicherheitsmaßnahmen: nicht nur technische Kontrollen, sondern auch Prozesse und Governance.

📋

Bewertung der Gesamtsicherheitspraktiken

Prüfung der allgemeinen Cybersicherheitslage des Lieferanten, einschließlich seiner internen Richtlinien, Vorfallshistorie und Zertifizierungen.

🐛

Schwachstellenoffenlegungsrichtlinien

Überprüfung, ob Lieferanten über eine formale CVD-Richtlinie (Coordinated Vulnerability Disclosure) verfügen und wie sie mit Sicherheitslücken in ihren Produkten umgehen.

🔄

Sichere Entwicklungspraktiken

Für Software-Lieferanten: Bewertung von Secure-SDLC-Praktiken, Code-Review-Prozessen, Release-Sicherheitstests und Signierungspraktiken.

Lieferanten klassifizieren: Das Tier-Modell

Nicht alle Lieferanten sind gleich wichtig oder gleich riskant. Eine pragmatische Klassifizierung nach Kritikalität hilft, die Bewertungsaufwände auf die wichtigsten Lieferanten zu konzentrieren:

Tier	Beschreibung	Beispiele	Mindestanforderungen
Kritisch	Direkter Zugang zu kritischen Systemen oder Daten, Ausfallwirkung auf Kerndienste	Cloud-Infra, MSSP, Kern-ERP, SCADA-Partner	Vollständige Bewertung, Zertifizierungsnachweis, Recht auf Audit, jährliche Neubewertung
Wichtig	Zugang zu sensiblen Daten, Unterstützung für wichtige Prozesse	SaaS-HR, CRM-Anbieter, Backup-Dienste	Standardisierter Fragebogen, Zertifizierung erwünscht, 2-jährige Neubewertung
Standard	Allgemeine Dienste ohne kritischen Systemzugang	Bürobedarf, allgemeine Cloud-Tools, Beratung	Selbstauskunft, bei Eskalation höhere Einstufung

ENISA-Leitlinien zur Lieferkettensicherheit

ENISA hat im Dezember 2023 spezifische Leitlinien zur Lieferkettensicherheit unter NIS2 veröffentlicht. Die wichtigsten Empfehlungen:

▸Lieferanten nach Kritikalität für Ihre Dienste kategorisieren

▸Mindest-Sicherheitsanforderungen pro Lieferantenkategorie definieren

▸Standardisierten Sicherheitsfragebogen für alle Tier-1-Lieferanten einsetzen

▸Vertragliche Sicherheitsklauseln in alle Lieferantenverträge aufnehmen

▸Recht auf Audit in Verträge mit kritischen Lieferanten aufnehmen

▸Regelmäßige (mindestens jährliche) Neubewertung aller kritischen Lieferanten

▸Sicherheitsvorfälle von Lieferanten systematisch verfolgen

▸Notfallpläne für den Ausfall kritischer Lieferanten erstellen

📊 Quick Test

Find out if your company is in scope

Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?

Check NIS2 Scope →

Muster-Vertragsklauseln für Lieferantenverträge

Die folgenden Klauseln bilden eine Grundlage, die Sie in Lieferantenverträge aufnehmen sollten. Lassen Sie diese von Ihrem Rechtsteam an Ihre konkrete Situation anpassen:

1. Mindestsicherheitsstandards

Der Lieferant erklärt, Cybersicherheitsmaßnahmen in Übereinstimmung mit [ISO 27001 / CyberFundamentals / NIS2-Artikel-21] aufrechtzuerhalten und auf Anfrage entsprechende Nachweise vorzulegen.

2. Meldepflicht bei Vorfällen

Der Lieferant verpflichtet sich, dem Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, jeden Sicherheitsvorfall mitzuteilen, der die vom Auftraggeber genutzten Dienste oder Systeme betreffen könnte.

3. Recht auf Audit

Der Auftraggeber ist berechtigt, die Sicherheitsmaßnahmen des Lieferanten einmal jährlich durch einen Sicherheitsfragebogen oder, bei begründetem Anlass, durch eine Vor-Ort-Prüfung zu überprüfen. Der Lieferant verpflichtet sich, bei solchen Prüfungen vollständig zu kooperieren.

4. Patch-Management

Kritische Sicherheits-Patches für alle Systeme, die dem Auftraggeber gegenüber exponiert sind, müssen innerhalb von [14 Tagen für kritisch / 30 Tagen für hoch] nach Veröffentlichung eingespielt werden.

5. Sub-Auftragnehmer

Der Lieferant darf Aufgaben, für die er Zugang zu den Systemen des Auftraggebers hat, nur mit vorheriger schriftlicher Zustimmung an Sub-Auftragnehmer delegieren. Dieselben Sicherheitsanforderungen gelten für alle Sub-Auftragnehmer.

Software-Lieferkette: SBOM und der Cyber Resilience Act

NIS2 erwähnt keine Software Bill of Materials (SBOM) explizit, aber der EU Cyber Resilience Act (CRA), der ab 2027 gilt, macht SBOMs für Hersteller von Produkten mit digitalen Elementen verpflichtend. Für NIS2-Einrichtungen, die Software einsetzen, ergibt sich daraus ein praktischer Rahmen:

NIS2 (Art. 21(2)(d))

▸Bewertung der Software-Sicherheitspraktiken Ihrer Lieferanten
▸Fragen Sie nach: CVD-Richtlinie, Secure SDLC, Patch-Veröffentlichungshistorie
▸Bewerten Sie eingesetzte Open-Source-Komponenten auf bekannte Schwachstellen

Cyber Resilience Act (ab 2027)

▸Hersteller müssen SBOM bereitstellen: vollständige Liste aller Softwarekomponenten
▸Sicherheitsupdates über den gesamten Produktlebenszyklus verpflichtend
▸NIS2-Einrichtungen sollten jetzt SBOMs von Software-Lieferanten anfordern, um sich vorzubereiten

Praktische Umsetzung: 5 Schritte

Lieferanten-Inventar erstellen

Listen Sie alle Drittanbieter und Dienstleister auf, die Zugang zu Ihren Netzwerken, Systemen oder Daten haben, einschließlich Cloud-Dienste, Managed Services und Software-Anbieter. Vergessen Sie keine indirekten Zugangspunkte wie IT-Support oder Fernwartung.

Lieferanten nach Kritikalität einstufen

Nutzen Sie das Tier-Modell (Kritisch, Wichtig, Standard) aus diesem Artikel. Kritische Lieferanten sind diejenigen, deren Ausfall oder Kompromittierung Ihre kritischen Dienste direkt beeinträchtigen würde. Jede Stufe bekommt unterschiedliche Anforderungen.

Sicherheitsfragebögen einsetzen

Entwickeln Sie standardisierte Fragebögen basierend auf ENISA-Leitlinien oder nutzen Sie Branchenrahmen (SIG-Lite, CAIQ). Für kritische Lieferanten: Fordern Sie direkte Audits oder Zertifizierungsnachweise (ISO 27001, SOC 2) an. Akzeptieren Sie nicht einfach jede Antwort: Stellen Sie Nachfragen bei unklaren oder pauschalen Antworten.

Vertragliche Anforderungen formalisieren

Nehmen Sie in alle neuen und erneuerten Lieferantenverträge die Mindestklauseln aus diesem Artikel auf: Sicherheitsstandards, Meldepflicht bei Vorfällen, Auditrecht, Patch-Management, Sub-Auftragnehmer-Regelungen. Bestehende Verträge ohne solche Klauseln sollten bei der nächsten Verlängerung nachverhandelt werden.

Kontinuierliche Überwachung

Verfolgen Sie Sicherheitsnachrichten zu kritischen Lieferanten, überwachen Sie CVE-Datenbanken für eingesetzte Softwareprodukte und planen Sie jährliche Neubewertungen ein. Reagieren Sie auf bekannt gewordene Sicherheitsvorfälle bei Lieferanten mit einer Risikoeinschätzung und ggf. Eskalation.

FAQ

Müssen wir alle Lieferanten bewerten, oder nur die wichtigsten?▾

NIS2 spricht von 'direkten Lieferanten und Dienstleistern'. In der Praxis sollten Sie alle Tier-1-Lieferanten mit Zugang zu Ihren kritischen Systemen bewerten. Für nicht-kritische Lieferanten genügt eine Selbstauskunft.

Was passiert, wenn ein Lieferant die Anforderungen nicht erfüllt?▾

Sie müssen das Risiko dokumentieren und entweder mit dem Lieferanten einen Verbesserungsplan vereinbaren, das Risiko durch eigene Kontrollen kompensieren oder den Lieferanten wechseln. Die Behörde kann bei einer Prüfung nach Ihrer Risikobewertung und den ergriffenen Maßnahmen fragen.

Gilt die Lieferkettenpflicht auch für Cloud-Dienste?▾

Ja. Cloud-Anbieter, SaaS-Lösungen und Managed Service Provider, die Zugang zu Ihren Systemen oder Daten haben, fallen unter die Lieferketten-Sicherheitspflicht des Artikels 21(2)(d).

Wie oft müssen wir Lieferanten neu bewerten?▾

ENISA empfiehlt für kritische Lieferanten eine jährliche Neubewertung. Bei wichtigen Lieferanten sind zwei Jahre ausreichend. Zusätzlich sollte eine Neubewertung ausgelöst werden, wenn ein Lieferant einen Sicherheitsvorfall bekannt gibt, wenn sich der Dienst wesentlich ändert oder wenn neue Schwachstellen in eingesetzten Produkten bekannt werden.

Kann ich ISO 27001 oder SOC 2 als ausreichenden Nachweis akzeptieren?▾

ISO 27001 und SOC 2 Typ II sind gute Ausgangspunkte und decken viele NIS2-relevante Kontrollen ab. Sie sollten jedoch prüfen, ob das Zertifikat noch gültig ist, ob der Geltungsbereich die relevanten Dienste umfasst und ob der Auditbericht signifikante Feststellungen enthält. Eine Zertifizierung entbindet Sie nicht von der eigenen Risikobewertung.

Lieferkette als Teil Ihrer Lückenanalyse

Unser Artikel-21-Lückenanalyse-Tool enthält spezifische Kontrollen für die Lieferkettensicherheit gemäß NIS2.

📊 Lückenanalyse starten ⚖️ NIS2 vs. CER