Welche Lieferanten sind relevant?

Alle Lieferanten und Dienstleister, deren Leistung sicherheitsrelevant für die eigenen Netz- und Informationssysteme ist — insbesondere IT-Dienstleister, Cloud-Anbieter, Softwareanbieter und Managed-Service-Provider.

Müssen alle Verträge neu verhandelt werden?

Nicht zwingend, aber sicherheitsrelevante Verträge sollten um NIS2-Klauseln (Meldepflicht, Audit-Rechte, Subunternehmerkontrolle) ergänzt werden — entweder bei Vertragsverlängerung oder über einen Nachtrag.

Was sind sinnvolle Audit-Rechte?

Mindestens das Recht auf Vorlage der ISO-27001-Zertifizierung, jährliche Selbstauskunft, Recht auf anlassbezogene Audits und Berichtspflicht bei sicherheitsrelevanten Vorfällen.

Was passiert, wenn ein Lieferant nicht NIS2-konform ist?

Die eigene Pflicht bleibt bestehen. Wer einen nicht-konformen Lieferanten nutzt, muss kompensierende Maßnahmen treffen oder den Lieferanten ersetzen. Eine Weiterreichung der Haftung ist nicht möglich.

Reicht eine ISO-27001-Zertifizierung des Lieferanten?

Sie ist ein wichtiger Indikator, ersetzt aber nicht die eigene Risikobewertung. Insbesondere Konzentrationsrisiken (Cloud-Single-Vendor) und geografische Risiken sind separat zu bewerten.

NIS2-Lieferkette: Vertragsklauseln & Audit-Rechte

Warum die Lieferkette das größte Restrisiko ist

Die spektakulärsten Vorfälle der vergangenen Jahre — von SolarWinds bis zu den Angriffen auf Managed-Service-Provider — sind über die Lieferkette gelaufen. Wer die eigenen Systeme hardenet, ist nicht geschützt, wenn ein Dienstleister mit Privilegien auf das eigene Netz zugreifen kann und kompromittiert wird. NIS2 nimmt diese Erkenntnis auf und verpflichtet wesentliche und wichtige Einrichtungen zu einer aktiven Steuerung der Lieferkette. Die Maßnahme ist deshalb keine Compliance-Routine, sondern ein zentraler Risikobaustein.

Schritt 1: Lieferantenklassifikation

Am Anfang steht eine strukturierte Klassifikation der Lieferanten nach Sicherheitsrelevanz. In der Beratungspraxis hat sich eine dreistufige Einteilung bewährt: kritisch (privilegierter Systemzugriff, Verarbeitung sensibler Daten, Geschäftskontinuitätsrelevanz), wesentlich (regelmäßiger Systemkontakt, Verarbeitung personenbezogener Daten) und einfach (keine sicherheitsrelevante Anbindung). Die Klassifikation steuert die folgenden Schritte.

Schritt 2: Vertragliche NIS2-Klauseln

Verträge mit kritischen und wesentlichen Lieferanten sollten regelmäßig folgende Klauseln enthalten: Meldepflicht bei sicherheitsrelevanten Vorfällen (typischerweise binnen 24 Stunden), Vorhalten eines ISMS nach anerkanntem Standard, Subunternehmerkontrolle mit Zustimmungsvorbehalt, Audit-Rechte mit angemessener Vorankündigung, Pflicht zur Mitwirkung an Krisenmaßnahmen, Datenrückgabe- und Löschungspflichten bei Vertragsende sowie Vertragsstrafen bei Verletzung. Bei Auftragsverarbeitung kommt der Mindestkanon des Art. 28 DSGVO hinzu.

Schritt 3: Laufende Überwachung

Die Lieferantensteuerung ist keine einmalige Aufgabe. Kritische Lieferanten sollten jährlich überprüft werden — typischerweise durch Selbstauskunft, Prüfung von Zertifizierungsnachweisen und anlassbezogene Audits. Wesentliche Lieferanten werden in einem zwei- bis dreijährigen Zyklus überprüft. Die Ergebnisse fließen in das Risikoregister und in die Berichtspflicht der Geschäftsleitung ein.

Konzentrationsrisiken: das oft übersehene Thema

NIS2 verlangt eine besondere Aufmerksamkeit für Konzentrationsrisiken. Wer wesentliche Dienste bei einem einzigen Cloud-Anbieter bezieht, schafft eine Abhängigkeit, die im Ernstfall die eigene Betriebsfähigkeit gefährdet. Die Risikobewertung sollte deshalb explizit fragen: Wie schnell könnten wir bei einem Ausfall des Anbieters auf einen Alternativanbieter migrieren? Welche vertraglichen Exit-Optionen bestehen? In welcher Region befinden sich die kritischen Verarbeitungen? Eine dokumentierte Antwort ist im Aufsichtsverfahren ein wichtiger Baustein.

Verantwortung bleibt: keine Weiterreichung der Haftung

Eine vertragliche Weiterreichung der NIS2-Pflichten an Lieferanten ist wirkungslos. Die NIS2-Pflichten treffen die eigene Einrichtung, unabhängig davon, wer die Leistung erbringt. Auch ein vertraglicher Schadensersatzanspruch gegen den Lieferanten ändert nichts daran, dass das Bußgeld der Aufsicht gegen die eigene Einrichtung festgesetzt wird. Die Lieferkettensteuerung dient deshalb nicht der Haftungsverlagerung, sondern der Risikoreduzierung.

Häufige Fragen

Welche Lieferanten sind relevant?: Alle Lieferanten und Dienstleister, deren Leistung sicherheitsrelevant für die eigenen Netz- und Informationssysteme ist — insbesondere IT-Dienstleister, Cloud-Anbieter, Softwareanbieter und Managed-Service-Provider.
Müssen alle Verträge neu verhandelt werden?: Nicht zwingend, aber sicherheitsrelevante Verträge sollten um NIS2-Klauseln (Meldepflicht, Audit-Rechte, Subunternehmerkontrolle) ergänzt werden — entweder bei Vertragsverlängerung oder über einen Nachtrag.
Was sind sinnvolle Audit-Rechte?: Mindestens das Recht auf Vorlage der ISO-27001-Zertifizierung, jährliche Selbstauskunft, Recht auf anlassbezogene Audits und Berichtspflicht bei sicherheitsrelevanten Vorfällen.
Was passiert, wenn ein Lieferant nicht NIS2-konform ist?: Die eigene Pflicht bleibt bestehen. Wer einen nicht-konformen Lieferanten nutzt, muss kompensierende Maßnahmen treffen oder den Lieferanten ersetzen. Eine Weiterreichung der Haftung ist nicht möglich.
Reicht eine ISO-27001-Zertifizierung des Lieferanten?: Sie ist ein wichtiger Indikator, ersetzt aber nicht die eigene Risikobewertung. Insbesondere Konzentrationsrisiken (Cloud-Single-Vendor) und geografische Risiken sind separat zu bewerten.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.