nis²insights.com

In Kraft seit 17. Okt. 2024·Tag 565·

Lieferkette9. Apr. 20257 Min.

NIS2-Lieferkettensicherheit: Fünf Klauseln, die Sie von Lieferanten verlangen sollten

Artikel 21 Absatz 2 Buchstabe d der Richtlinie 2022/2555 fordert ausdrücklich Lieferkettensicherheit. Hier sind fünf konkrete Vertragsklauseln für jeden kritischen Lieferantenvertrag.

NIS2-Lieferkettensicherheit: Fünf Klauseln, die Sie von Lieferanten verlangen solltenLieferkette

Artikel 21 der Richtlinie (EU) 2022/2555 listet die Risikomanagementmaßnahmen für Cybersicherheit auf, die wesentliche und wichtige Einrichtungen ergreifen müssen. Von den zehn aufgeführten Kategorien hat Absatz 2 Buchstabe d in den Aufsichtsorganen Europas 2025 die meisten rückwirkenden Vertragsprüfungen ausgelöst: die Sicherheit der Lieferkette.

Der Wortlaut ist knapp. Artikel 21 Absatz 2 Buchstabe d verpflichtet die Einrichtungen, Maßnahmen zu ergreifen, die „die Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen jeder Einrichtung und ihren direkten Anbietern oder Diensteanbietern" abdecken. Erwägungsgrund 85 entfaltet die Absicht: Eine Einrichtung kann sich nicht aus den NIS2-Pflichten heraus auslagern, und das Lieferantenrisiko muss gemessen, vertraglich gefasst und überwacht werden.

Die Frage auf Vorstandsebene ist nicht ob gehandelt werden soll — sondern was in Lieferantenverträgen stehen muss, damit „Lieferkettensicherheit" gegenüber einer Aufsichtsbehörde belegbar ist. Im Folgenden fünf Klauseln, auf die die veröffentlichten Leitlinien der zuständigen nationalen Behörden in Europa und das ENISA-Dokument Good Practices for Supply Chain Cybersecurity übereinstimmend hinauslaufen.

1. Abgleich auf eine Sicherheitsbasis

Die erste Klausel verpflichtet den Lieferanten, mindestens die in Artikel 21 Absatz 2 NIS2 genannten Cybersicherheitsmaßnahmen umzusetzen — angepasst an seine Rolle und an die von ihm berührten Daten.

In der Praxis sollte der Vertrag auf eine definierte Basis verweisen. Drei Optionen funktionieren:

  • Ein direkter Verweis auf ISO/IEC 27001 mit der Erklärung der Anwendbarkeit (Anhang A), die mit der Einrichtung geteilt wird.
  • Ein Verweis auf einen nationalen Rahmen, der in der Jurisdiktion des Lieferanten anerkannt ist (BSI IT-Grundschutz in Deutschland, PSSI nach ANSSI-Vorbild in Frankreich, Esquema Nacional de Seguridad des CCN-CERT in Spanien).
  • Eine direkte Aufzählung der einschlägigen Kategorien aus Artikel 21 Absatz 2 (MFA für kritische Zugänge, Verschlüsselung, Schwachstellenmanagement, Vorfallreaktion usw.).

Die Klausel sollte auch eine Zusage zum Änderungsmanagement enthalten: Der Lieferant teilt der Einrichtung schriftlich mit, wenn sich die Basis während der Vertragslaufzeit wesentlich verschlechtert.

2. Vorfallmeldekette

Die zweite Klausel zieht die Vorfallmeldepflicht des Lieferanten so eng, dass sie in die 72-Stunden-Uhr der Einrichtung nach Artikel 23 hineinpasst.

Die aus den Aufsichtsleitlinien ableitbare vertretbare Schwelle lautet:

  • Der Lieferant meldet der Einrichtung innerhalb von 24 Stunden nach Kenntnisnahme jeden erheblichen Vorfall, der die für die Einrichtung erbrachten Dienste betrifft.
  • Die Meldung enthält mindestens die gleichen Elemente, die die Einrichtung selbst ihrem CSIRT auf der Stufe der Frühwarnung schuldet: vermutete rechtswidrige oder böswillige Ursache, mögliche grenzüberschreitende Auswirkung, Mindestidentifikationsdaten.
  • Der Lieferant liefert mindestens alle 24 Stunden Aktualisierungen, solange der Vorfall andauert, und einen Abschlussbericht innerhalb eines Monats nach Abschluss.

Weniger als 24 Stunden ist für Cloud- und Managed-Service-Anbieter vorzuziehen — die ENISA-Leitlinie schlägt für diese ein Fenster von 6 bis 12 Stunden vor —, aber 24 Stunden ist die Untergrenze, mit der die Einrichtung ihren eigenen NIS2-Pflichten gerecht werden kann.

3. Transparenz über Subunternehmer und Mitteilung von Kontrollwechseln

Artikel 21 Absatz 2 Buchstabe d erfasst direkte Lieferanten, doch die meisten Lieferketten-Angriffe laufen über einen Subunternehmer des Lieferanten. Die Klausel sollte:

  • den Lieferanten verpflichten, auf Anfrage die Liste seiner kritischen Subunternehmer offenzulegen, die Systeme oder Daten der Einrichtung berühren, samt deren Sicherheitsbasis.
  • eine vorherige schriftliche Zustimmung verlangen, bevor der Lieferant einen kritischen Subunternehmer hinzufügt, ersetzt oder entfernt.
  • eine Mitteilung innerhalb von 30 Tagen über jeden Kontrollwechsel beim Lieferanten selbst (Übernahme, Fusion, Eigentümerwechsel) verlangen, mit einem Recht der Einrichtung zur Kündigung ohne Vertragsstrafe, wenn der neue Eigentümer mit dem Risikoregister der Einrichtung unvereinbar ist.

Das ist der Punkt, an dem Rechtsabteilung und Sicherheitsabteilung sich abstimmen müssen. Die Mitteilungsfristen sind verhandelbar; der Grundsatz nicht.

4. Auditrecht und Zertifizierungsnachweis

Artikel 21 erwartet von Einrichtungen Verifikation, nicht bloß Vertrauen. Die Klausel sollte der Einrichtung das Recht einräumen, die Sicherheitspraktiken des Lieferanten — direkt oder über akkreditierte Dritte — mindestens einmal jährlich zu auditieren, und ad hoc nach jedem erheblichen Vorfall, der die Dienste betrifft.

Aus operativer Effizienz sollte die Klausel Standard-Auditberichte als Ersatz für direkte Vor-Ort-Audits akzeptieren:

  • Ein gültiges Zertifikat nach ISO/IEC 27001 mit Erklärung der Anwendbarkeit (Anhang A).
  • Ein SOC 2 Type II-Bericht, der mindestens die Kriterien Security und Availability abdeckt.
  • Eine TISAX-Bewertung für Lieferketten der Automobilindustrie.
  • Für Cloud-Anbieter eine CSA STAR-Attestation Stufe 2.

Direkte Auditrechte werden dann nur ausgeübt, wenn die Standardberichte den relevanten Prüfumfang nicht abdecken, oder im Anschluss an einen wesentlichen Vorfall. Das schont die Kosten des Lieferanten, ohne die Aufsicht der Einrichtung zu schwächen.

5. Übergangsunterstützung, Datenrückgabe und sichere Löschung

Die letzte Klausel schließt die Schleife, wenn die Beziehung endet — einvernehmlich oder nicht. Sie sollte fordern:

  • Kontinuitätsunterstützung für einen vereinbarten Zeitraum (typischerweise 30 bis 90 Tage nach Vertragsende), damit die Einrichtung ohne Dienstunterbrechung migrieren kann.
  • Datenrückgabe in einem dokumentierten, maschinenlesbaren Format, das die Einrichtung verarbeiten kann, nach festgelegtem Zeitplan.
  • Sichere Löschung sämtlicher Daten der Einrichtung in den Systemen des Lieferanten und seiner Subunternehmer, schriftlich zertifiziert innerhalb von 30 Tagen nach Abschluss.
  • Eine klare Ausnahme für Backups, die der Lieferant gesetzlich aufbewahren muss, mit ausdrücklichen Zugangsbeschränkungen und einem Lebensende-Plan.

Ohne diese Klausel trägt die Einrichtung ein Restrisiko an Daten, die sie nicht mehr sieht, gehostet bei einem Vertragspartner, der nicht mehr unter Vertrag steht — genau das Szenario, auf das Aufsichtsbehörden verweisen, wenn sie fragen, ob Lieferkettensicherheit tatsächlich umgesetzt oder nur erklärt wurde.

Ein NIS2-konformer Lieferantenvertrag ist kein längerer Vertrag. Er ist ein präziserer — fünf präzise Klauseln schlagen jedes Mal fünfzig weiche Seiten Standardbedingungen.

Wer ist ein „kritischer" Lieferant?

Die obigen Klauseln gelten für kritische Lieferanten. NIS2 selbst definiert den Begriff nicht. Der vertretbare Test, abgeleitet aus den veröffentlichten Leitlinien der zuständigen nationalen Behörden in Europa, hat drei Komponenten:

  1. Der Lieferant verarbeitet, hostet oder überträgt personenbezogene Daten, vertrauliche Geschäftsdaten oder Betriebsdaten, deren Kompromittierung die Erheblichkeitsschwelle der Einrichtung selbst auslösen würde.
  2. Der Lieferant erbringt eine Leistung, deren Ausfall über die Wiederanlaufzeit der Einrichtung hinaus zu schweren Betriebsstörungen führen würde.
  3. Der Lieferant verfügt über privilegierten Zugang (Administrator, Root, Signaturschlüssel) zu Systemen im NIS2-Geltungsbereich der Einrichtung.

Jeder Lieferant, der eines dieser drei Kriterien erfüllt, ist kritisch. Das Leitungsorgan muss den Rahmen nicht diskutieren — es muss bestätigen, dass die Liste existiert, auf Geschäftsleitungsebene verantwortet ist und mindestens jährlich überprüft wird.

Was „gut umgesetzt" aussieht

Drei Signale tauchen in den Aufsichtsnotizen nach Inspektionen konsistent auf:

  1. Ein datiertes Lieferantenverzeichnis, das kritisch vs. nicht kritisch klassifiziert und für jeden Eintrag die Vertragsversionsreferenz vermerkt.
  2. Nachweis der Klauselaufnahme — die fünf Klauseln, in substanzieller Form, in jedem seit der Umsetzung geschlossenen Vertrag mit kritischen Lieferanten.
  3. Nachweis der Klauselausübung — pro Auditzyklus mindestens ein Auditbericht, eine korrekt innerhalb von 24 Stunden weitergeleitete Vorfallmeldung oder ein gekündigter Lieferant mit dokumentierter Datenrückgabe.

Nichts davon ist exotisch. Es ist das, was reife Procurement-Teams bereits in kritischen IT-Verträgen tun. Artikel 21 Absatz 2 Buchstabe d macht daraus eine aufsichtsrechtliche Erwartung statt einer bloßen Best Practice.

Quellen

  1. Richtlinie (EU) 2022/2555, Artikel 21 Absatz 2 Buchstabe d (Lieferkettensicherheit).
  2. Richtlinie (EU) 2022/2555, Erwägungsgrund 85 (Absicht und Reichweite der Lieferketten-Maßnahmen).
  3. Richtlinie (EU) 2022/2555, Artikel 23 (Berichtspflichten) — die 72-Stunden-Uhr, in die die Vorfallmeldeklausel des Lieferanten passen muss.
  4. ENISA, Good Practices for Supply Chain Cybersecurity.
  5. NIS-Kooperationsgruppe, veröffentlichte Leitlinien zum Lieferketten-Risikomanagement.
  6. Als Basis zitierte Rahmen der zuständigen nationalen Behörden: BSI IT-Grundschutz (DE), ANSSI PSSI (FR), CCN-CERT Esquema Nacional de Seguridad (ES), ACN-Leitlinien (IT), NCSC-IE-Leitlinien (IE).

Weitere Beiträge

NIS2-Artikel 20: Fünf Aufsichtspflichten, die Leitungsorgane nicht delegieren könnenGovernance

NIS2-Artikel 20: Fünf Aufsichtspflichten, die Leitungsorgane nicht delegieren können

18. Apr. 2025·Lesen · 10 Min.
NIS2-Vorfallmeldung: Der praktische 72-Stunden-LeitfadenIncident-Management

NIS2-Vorfallmeldung: Der praktische 72-Stunden-Leitfaden

11. Apr. 2025·Lesen · 9 Min.
Eine pragmatische Risikoregister-Vorlage für NIS2-Artikel 21Risikomanagement

Eine pragmatische Risikoregister-Vorlage für NIS2-Artikel 21

2. Apr. 2025·Lesen · 6 Min.