Lieferkettensicherheit
Lieferkettensicherheit umfasst alle Maßnahmen, mit denen eine Einrichtung Cyberrisiken aus Beziehungen zu Zulieferern und Dienstleistern erkennt, bewertet und beherrscht – als ausdrückliche NIS2-Pflicht zur Absicherung der eigenen Sicherheit über Dritte hinweg.
Lieferkettensicherheit (englisch supply chain security) bezeichnet die systematische Absicherung von Cyberrisiken, die einer Einrichtung aus ihren Beziehungen zu Zulieferern, Dienstleistern und anderen Drittparteien entstehen. Da moderne IT-Wertschöpfung stark verteilt ist – Cloud-Anbieter, Managed-Service-Provider, Software-Lieferanten und Hardware-Hersteller – können Schwachstellen oder Sicherheitsvorfälle bei einem Dritten unmittelbar auf die eigene Verfügbarkeit, Integrität und Vertraulichkeit durchschlagen. Die NIS2-Richtlinie hebt dieses Risiko ausdrücklich hervor und macht die Sicherheit der Lieferkette zu einem eigenständigen Bestandteil des Risikomanagements.
Nach Art. 21 Abs. 2 lit. d NIS2-Richtlinie müssen besonders wichtige und wichtige Einrichtungen die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern gewährleisten. Maßgeblich sind dabei die spezifischen Schwachstellen jedes Lieferanten sowie die Gesamtqualität von dessen Produkten und Cybersicherheitspraktiken. In der nationalen Umsetzung (NIS2-Umsetzungsgesetz, das den § 30 BSIG-neu ausgestaltet) werden diese Anforderungen für betroffene Unternehmen verbindlich. Die Geschäftsleitung haftet für die Billigung und Überwachung der Risikomanagementmaßnahmen, was die Lieferkettensicherheit auch zur Führungsaufgabe macht.
Praktisch verlangt Lieferkettensicherheit eine durchgängige Dienstleistersteuerung: Lieferanten werden risikobasiert klassifiziert, vor Vertragsschluss einer Sicherheitsbewertung unterzogen und über vertragliche Sicherheitsanforderungen (Service-Level, Meldepflichten bei Vorfällen, Audit- und Nachweisrechte, Subunternehmer-Regelungen) verpflichtet. Während der Laufzeit erfolgen kontinuierliches Monitoring, regelmäßige Neubewertungen und die Einbindung der Dienstleister in das Notfall- und Incident-Response-Management. Unterstützend nutzen Einrichtungen anerkannte Rahmenwerke wie ISO/IEC 27001 mit den Lieferanten-Controls der Anhang-A-Domäne, den BSI IT-Grundschutz oder die Empfehlungen der ENISA, um die Anforderungen prüfbar und auditfähig umzusetzen.
Rechtliche Grundlage
Art. 21 Abs. 2 lit. d und e NIS2-Richtlinie (EU) 2022/2555; § 30 BSIG (NIS2-Umsetzung); ISO/IEC 27001 Anhang A (Lieferantenbeziehungen)
Praxisbeispiel
Ein als wichtige Einrichtung eingestufter Maschinenbauer bezieht seine ERP-Plattform von einem externen SaaS-Anbieter und lässt seine IT durch einen Managed-Service-Provider betreuen. Die Informationssicherheitsbeauftragte führt ein Lieferantenregister, stuft beide als kritische Dienstleister ein und ergänzt die Verträge um Vorfallmeldepflichten innerhalb von 24 Stunden, ein jährliches Audit- bzw. Nachweisrecht (etwa per ISO-27001-Zertifikat oder SOC-2-Bericht) sowie Vorgaben zur Verschlüsselung und zum Umgang mit Subunternehmern. Bei der jährlichen Neubewertung fordert sie aktuelle Zertifikatsnachweise an und prüft, ob die Dienstleister in den eigenen Notfallplan eingebunden sind – so weist sie gegenüber der Aufsichtsbehörde nach, dass die Lieferkettensicherheit nach § 30 BSIG aktiv gesteuert wird.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren