- Bedeutung
- Sicherheit entlang der gesamten Lieferkette
- Ziel
- Risiken durch Lieferanten und Dienstleister beherrschen
- Bezug zu NIS2
- Ausdrückliche Pflicht (Art. 21)
- Werkzeuge
- Risikobewertung, Verträge (AVV), Monitoring
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist Lieferkettensicherheit?
Lieferkettensicherheit (Supply Chain Security) ist die Disziplin, die Sicherheit nicht nur im eigenen Unternehmen, sondern entlang der gesamten Supply Chain sicherstellt. Während die Supply Chain die Struktur der Abhängigkeiten beschreibt, ist Lieferkettensicherheit das gesteuerte Programm dahinter: Sie definiert, wie Lieferanten, Dienstleister und Partner ausgewählt, geprüft und über ihre gesamte Geschäftsbeziehung hinweg sicher gehalten werden. Hintergrund ist eine einfache Logik: Ein Angriff oder Ausfall bei einem Partner – etwa einem gehackten Software-Anbieter – kann unmittelbar auf den eigenen Betrieb durchschlagen.
Warum NIS2 die Lieferkette betont
Viele schwere Angriffe der letzten Jahre liefen über die Lieferkette. Deshalb nennt NIS2 die Sicherheit der Lieferkette ausdrücklich als eine der Mindest-Risikomanagementmaßnahmen (Artikel 21). Betroffene Einrichtungen müssen Risiken aus der Supply Chain systematisch bewerten und steuern – inklusive der Sicherheit der bei den Lieferanten eingesetzten Produkte und Dienste. Da NIS2 seit dem 06.12.2025 in Kraft ist und die BSI-Registrierungs-Erstfrist (06.03.2026) bereits abgelaufen ist (eine Nachregistrierung bleibt möglich), ist dies keine Kür mehr, sondern überprüfbare Pflicht.
Wie setzt man sie um?
- Lieferanten bewerten: kritische Partner identifizieren und ihr Sicherheitsniveau prüfen.
- Verträge: Sicherheitsanforderungen vertraglich festhalten – bei Datenverarbeitung über einen AVV.
- Überwachen: Third Party Risk laufend beobachten statt einmalig prüfen.
Beispiel aus einem Maschinenbau-Betrieb: Der IT-Leiter stuft die rund 40 IT-Lieferanten zunächst in kritisch, mittel und unkritisch ein. Für die fünf kritischen Anbieter – darunter der ERP-Hoster und der Fernwartungsdienstleister, der per Remote-Zugang tief in der Produktionssteuerung sitzt und dessen Ausfall oder Kompromittierung die Fertigung binnen Stunden lahmlegen würde – verlangt er ein Sicherheitskonzept, ein ISO-27001-Zertifikat oder einen ausgefüllten Fragebogen, verankert Meldepflichten bei Vorfällen vertraglich und prüft den Status jährlich neu. Aus einer einmaligen Auswahl wird so ein laufendes Programm. Das kostet Disziplin.
Checkliste: einen Lieferanten sicherheitstechnisch bewerten
Womit fangen Sie an? Die folgende Prüfliste führt Schritt für Schritt durch eine Vendor-Bewertung – von der Einstufung der Kritikalität bis zur laufenden Überwachung. Haken Sie jeden Punkt erst ab, wenn er belegt und nicht nur behauptet ist.
- 1. Kritikalität einstufen: Welche Daten, Systeme oder Prozesse berührt der Lieferant? Hätte ein Ausfall Auswirkungen auf wesentliche Dienste? Kategorie festlegen: kritisch, mittel oder unkritisch.
- 2. Zugriff und Abhängigkeit klären: Hat der Partner Fernzugang, Admin-Rechte oder physischen Zutritt? Gibt es einen Ersatzlieferanten, falls er ausfällt?
- 3. Sicherheitsnachweise einholen: ISO 27001, BSI-Grundschutz, SOC 2 oder ein ausgefüllter Sicherheitsfragebogen. Wichtig: Zertifikat-Geltungsbereich und Gültigkeitsdatum prüfen, nicht nur die Existenz.
- 4. Vertragsklauseln verankern: Sicherheitsanforderungen, Meldepflicht bei Vorfällen (passend zur NIS2-Meldekette 24h/72h/1 Monat), Audit-Recht, Sub-Dienstleister-Regelung und – bei Verarbeitung personenbezogener Daten – einen AVV.
- 5. Monitoring festlegen: Wer überprüft wann? Jährliche Re-Bewertung kritischer Partner, Tracking auslaufender Zertifikate und ein definierter Reaktionsweg, falls ein Lieferant eine Sicherheitslücke meldet.
- 6. Dokumentieren: Ergebnis, Datum und Verantwortlichen festhalten. Ohne Nachweis ist die Bewertung im Prüfungsfall nicht belastbar.
Lieferkettensicherheit und Risikomanagement
Lieferkettensicherheit ist ein fester Bestandteil des Risikomanagements: Drittparteien-Risiken fließen in die Risikoanalyse ein und werden mit passenden Controls behandelt. Damit schließt sich der Kreis zwischen Strategie (Risikomanagement), Programm (Lieferkettensicherheit) und Einzelfall (das konkrete Risiko eines bestimmten Dienstleisters).
Nächste Schritte
- Erstellen Sie eine vollständige Liste aller Lieferanten und Dienstleister mit IT- oder Daten-Bezug.
- Stufen Sie diese nach Kritikalität ein und ziehen Sie die kritischen Partner vor.
- Wenden Sie die Bewertungs-Checkliste oben auf jeden kritischen Lieferanten an.
- Verankern Sie Meldepflichten und Sicherheitsanforderungen bei der nächsten Vertragsverlängerung.
- Legen Sie einen festen Re-Bewertungstermin fest – sonst veraltet die Prüfung.
Weiterführende Quelle: NIS2-Richtlinie (EU) 2022/2555, Art. 21 (EUR-Lex)
Häufige Fragen
Was ist Lieferkettensicherheit?
Lieferkettensicherheit (Supply Chain Security) ist die Disziplin, die Sicherheitsanforderungen an Lieferanten, Dienstleister und Partner entlang der gesamten Wertschöpfungskette definiert und überwacht, um Risiken durch Dritte systematisch zu beherrschen statt nur das eigene Unternehmen zu betrachten. Hintergrund ist eine einfache Logik: Ein Angriff oder Ausfall bei einem Partner, etwa einem gehackten Software-Anbieter, kann unmittelbar auf den eigenen Betrieb durchschlagen und ihn empfindlich stören.
Ist Lieferkettensicherheit bei NIS2 Pflicht?
Ja, NIS2 nennt die Sicherheit der Lieferkette ausdrücklich als eine der Mindest-Risikomanagementmaßnahmen in Artikel 21. Seit dem Inkrafttreten der NIS2-Umsetzung am 6. Dezember 2025 ist die Bewertung und Steuerung von Lieferkettenrisiken für betroffene Einrichtungen verpflichtend und überprüfbar. Die BSI-Registrierungs-Erstfrist lief am 6. März 2026 ab, eine Nachregistrierung bleibt jedoch möglich und sollte ohne weiteren Verzug nachgeholt werden.
Wie steuert man Lieferkettenrisiken?
Man identifiziert und bewertet zunächst die kritischen Lieferanten und prüft ihr Sicherheitsniveau, etwa über ein ISO-27001-Zertifikat oder einen Sicherheitsfragebogen. Anschließend schreibt man Sicherheitsanforderungen und Meldepflichten vertraglich fest, bei der Verarbeitung personenbezogener Daten über einen Auftragsverarbeitungsvertrag (AVV). Entscheidend ist, das Sicherheitsniveau der Partner laufend zu überwachen und kritische Lieferanten jährlich neu zu bewerten, statt nur einmalig bei Vertragsabschluss zu prüfen.