Lieferketten-Risikomanagement Supply Chain NIS2 Lieferantenbewertung IT-Sicherheit

Lieferketten-Risikomanagement – So sichern Unternehmen ihre Zulieferer ab

Nils Oehmichen
Von Nils Oehmichen Datenschutzberater & Geschäftsführer

Inhalt in Kürze

  • NIS2 weitet die Pflicht auf rund 30.000 Unternehmen in Deutschland aus – und deren Zulieferer sind indirekt mitbetroffen, auch wenn sie selbst nicht reguliert sind.
  • Ein Angriff auf Ihren IT-Dienstleister ist ein Angriff auf Sie. Lieferketten-Risikomanagement schützt Ihr Unternehmen vor Ausfällen, die Sie nicht selbst verursacht haben.
  • Lieferantenbewertung braucht klare Kriterien: Sicherheitsfragebögen, vertragliche Anforderungen und regelmäßige Überprüfungen – nicht Vertrauen auf Zuruf.
  • Sie müssen nicht alle Lieferanten gleich behandeln. Priorisieren Sie nach Kritikalität: Wer hat Zugriff auf Ihre Systeme oder Daten?

Ihr IT-Dienstleister wird gehackt. Seine Systeme stehen still – und damit auch Ihr ERP, Ihre E-Mail und Ihre Kundenhotline. Sie erfahren davon aus der Presse, nicht vom Dienstleister selbst.

Dieses Szenario ist keine Theorie. Lieferkettenangriffe gehören zu den effektivsten Angriffsmethoden, weil ein kompromittierter Zulieferer dutzende Unternehmen auf einmal trifft. Mit NIS2 reagiert der Gesetzgeber darauf – und nimmt erstmals auch die Lieferkette in die Pflicht.

Dieser Artikel zeigt, wie Sie Lieferanten-Risiken systematisch erkennen und steuern.

30.000
Unternehmen unter NIS2 in DE
80 %
der Angriffe treffen KMU
119/Tag
neue Schwachstellen (BSI 2025)

Warum Lieferketten-Risikomanagement jetzt Pflicht wird

Die NIS2-Richtlinie verlangt von regulierten Unternehmen, die Cybersicherheit ihrer unmittelbaren Anbieter zu bewerten und sicherzustellen. Das betrifft nicht nur Großkonzerne. Rund 30.000 Unternehmen in Deutschland fallen direkt unter NIS2 – viele davon Mittelständler aus Maschinenbau, Produktion und Handel.

Der entscheidende Punkt: Die Anforderungen wirken entlang der Kette weiter. Wenn Ihr Kunde unter NIS2 fällt, wird er von Ihnen Nachweise zur IT-Sicherheit verlangen. Sicherheitsfragebögen, Zertifikate, Auditrechte – das kommt auf jedes Unternehmen zu, das Teil einer regulierten Lieferkette ist.

Dazu kommt die persönliche Haftung der Geschäftsführung. Wer die Lieferkettensicherheit nachweislich vernachlässigt, haftet im Schadensfall persönlich. Das gilt auch für die Auswahl und Überwachung von Zulieferern.

Auch ohne direkte NIS2-Pflicht betroffen

Viele KMU denken, NIS2 gehe sie nichts an. Aber wenn Ihr größter Kunde reguliert ist, werden die Anforderungen per Vertrag an Sie weitergereicht. Wer dann keine Sicherheitsnachweise liefern kann, verliert den Auftrag – nicht erst nach einem Vorfall.

Lieferanten-Risiken systematisch bewerten

Nicht jeder Lieferant stellt dasselbe Risiko dar. Der Papierlieferant ist weniger kritisch als der IT-Dienstleister, der Admin-Zugang zu Ihren Servern hat. Priorisieren Sie nach zwei Kriterien:

  1. Datenzugriff: Hat der Lieferant Zugriff auf Ihre IT-Systeme, Kundendaten oder personenbezogene Daten?
  2. Geschäftskritikalität: Steht Ihr Betrieb still, wenn dieser Lieferant ausfällt?

Für kritische Lieferanten brauchen Sie einen strukturierten Bewertungsprozess:

  • Sicherheitsfragebogen ausfüllen lassen. Nutzen Sie die BSI-Grundschutz-Checkliste für Lieferketten als Vorlage – sie deckt die NIS2-Anforderungen ab.
  • Zertifikate und Nachweise prüfen. ISO 27001, SOC 2, BSI-Grundschutz-Testierung – je nach Branche und Risiko. Aber Vorsicht: Ein Zertifikat allein reicht nicht. Fragen Sie nach dem Geltungsbereich.
  • Vertragliche Sicherheitsklauseln vereinbaren. Meldepflichten bei Vorfällen (innerhalb von 24 Stunden), Auditrechte, Mindest-Sicherheitsstandards und Auftragsverarbeitungsverträge (AVV) wo personenbezogene Daten betroffen sind.
  • Regelmäßig überprüfen. Einmal jährlich den Fragebogen aktualisieren, Zertifikatsgültigkeit prüfen und bei kritischen Lieferanten ein Audit durchführen oder durchführen lassen.
  • Notfallplan pro Lieferant. Was passiert, wenn Lieferant X ausfällt? Gibt es Alternativen? Wie schnell können Sie umschalten?

IT-Sicherheit in der Supply Chain – die häufigsten Schwachstellen

In der Praxis sehen wir immer wieder dieselben Probleme bei der Lieferkettensicherheit:

Schwachstelle Risiko Gegenmaßnahme
VPN-Zugang ohne MFA Zulieferer-Account wird kompromittiert, Angreifer hat Zugang zu Ihrem Netz Zwei-Faktor-Authentifizierung für alle externen Zugänge
Kein AVV trotz Datenzugriff Datenschutzverstoß, Bußgeld bis 4 % vom Umsatz AVV-Prüfung für jeden Dienstleister mit Datenzugriff
Veraltete Software beim Dienstleister Bekannte Schwachstellen werden ausgenutzt, Kettenangriff Mindeststandards vertraglich festlegen, Patchmanagement fordern
Keine Meldepflicht vereinbart Sie erfahren von einem Vorfall beim Lieferanten zu spät Vertragliche Meldepflicht innerhalb von 24 Stunden
Single Point of Failure Ein Lieferant fällt aus, ganzer Geschäftsprozess steht Kritische Services diversifizieren, Notfallpläne erstellen

Ein externer Datenschutzbeauftragter kann Sie bei der AVV-Prüfung und der Lieferantenbewertung unterstützen. Gerade wenn viele Dienstleister im Spiel sind, lohnt sich ein strukturierter Prozess.

Aus der Praxis

Es trifft auch die kleineren Unternehmen, die nicht direkt unter NIS2 fallen – aber aufgrund der Lieferkette ein wichtiger Bestandteil sind.

Nils Oehmichen Nils OehmichenDatenschutzberater bei frag.hugo

Wir betreuen Unternehmen mit 20 bis 30 Mitarbeitenden, die plötzlich Sicherheitsfragebögen von ihren Großkunden auf dem Tisch haben. Nicht weil sie selbst unter NIS2 fallen, sondern weil ihr Kunde reguliert ist und die Anforderungen weiterreicht.

Das ist kein Sonderfall. Es wird zur neuen Normalität. Wer sich jetzt vorbereitet, behält seine Aufträge. Wer wartet, wird im Vergabeprozess aussortiert – oft ohne es zu erfahren.

Das Wichtigste: Lieferketten-Risikomanagement schützt Ihr Unternehmen vor Ausfällen und Angriffen, die Sie nicht selbst verursacht haben. Priorisieren Sie kritische Lieferanten, nutzen Sie BSI-Checklisten für die Bewertung und sichern Sie alles vertraglich ab. NIS2 macht das zur Pflicht – Ihre Kunden verlangen es schon jetzt.

Fazit: Lieferkette absichern, bevor der Kunde fragt

Lieferketten-Risikomanagement ist kein Compliance-Theater. Es schützt Ihren Geschäftsbetrieb vor Risiken, die außerhalb Ihrer direkten Kontrolle liegen. Mit NIS2 und den BSI-Anforderungen an die Lieferkettensicherheit gibt es jetzt klare Leitlinien.

Starten Sie mit den 5 bis 10 kritischsten Lieferanten. Fragebogen raus, Verträge prüfen, Notfallplan aufsetzen. Das ist in wenigen Wochen machbar – und kann im Ernstfall Ihr Unternehmen retten.

Lieferkettensicherheit und NIS2-Compliance aufbauen?

Wir helfen KMU bei Lieferantenbewertung, AVV-Prüfung und NIS2-Vorbereitung – praxisnah und auf den Punkt.

Kostenlose Erstberatung buchen →

Häufige Fragen (FAQ)

Was ist Lieferketten-Risikomanagement?

Lieferketten-Risikomanagement ist der systematische Prozess, mit dem Unternehmen Risiken entlang ihrer gesamten Lieferkette identifizieren, bewerten und steuern. Dazu gehören IT-Sicherheitsrisiken bei Zulieferern, Ausfallrisiken und Compliance-Anforderungen wie NIS2.

Welche NIS2-Anforderungen gelten für Lieferketten?

NIS2 verpflichtet Unternehmen, die Cybersicherheit ihrer unmittelbaren Zulieferer und Dienstleister zu bewerten. Dazu gehören Schwachstellenanalysen, vertragliche Sicherheitsanforderungen und regelmäßige Überprüfungen. Auch Unternehmen, die nicht direkt unter NIS2 fallen, sind als Zulieferer betroffen.

Wie bewerte ich die IT-Sicherheit meiner Lieferanten?

Nutzen Sie standardisierte Fragebögen (z. B. BSI-Grundschutz-Checklisten), fordern Sie Zertifikate wie ISO 27001 an, vereinbaren Sie Auditrechte im Vertrag und prüfen Sie regelmäßig, ob Sicherheitsanforderungen eingehalten werden.

Was passiert, wenn ein Zulieferer einen Sicherheitsvorfall hat?

Ein Sicherheitsvorfall beim Zulieferer kann Ihre eigene Lieferkette unterbrechen, Ihre Kundendaten gefährden und zu Meldepflichten nach DSGVO und NIS2 führen. Ohne vertragliche Regelungen (AVV, Sicherheitsklauseln) haften Sie unter Umständen mit.

Wie viele Lieferanten sollte ein KMU aktiv überwachen?

Konzentrieren Sie sich auf kritische Lieferanten: Wer hat Zugriff auf Ihre IT-Systeme oder Daten? Wer ist für den Geschäftsbetrieb unverzichtbar? In der Praxis sind das bei KMU meist 5 bis 15 Zulieferer und IT-Dienstleister.

Artikel teilen

Weiterlesen

Ähnliche Artikel

Nils Oehmichen

Über den Autor

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.

Nächster Schritt

Haben Sie Fragen?

Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.

Erstgespräch buchen Weitere Artikel