CompliantDesk

NIS2-Risikomanagementpflicht · Buchstabe d)

Sicherheit der Lieferkette

NIS2Art. 21 Abs. 2 Buchst. d) und Abs. 3 NIS2-Richtlinie (in Deutschland §30 BSIG)

NIS2 nimmt die gesamte Lieferkette in den Blick: Sie müssen die Sicherheit Ihrer Dienstleister und Software-Lieferanten bewerten, vertraglich absichern und überwachen. Auch indirekt betroffene Unternehmen geraten so über ihre Auftraggeber in die Pflicht.

Warum diese Pflicht wichtig ist

Angriffe über die Lieferkette nehmen stark zu. Zudem geben NIS2-pflichtige Auftraggeber die Anforderungen vertraglich weiter, weshalb auch nicht direkt regulierte Zulieferer Nachweise erbringen müssen.

So setzen Sie die Pflicht um

  1. 1Lieferanten mit Zugriff auf Systeme oder Daten erfassen und risikobasiert einstufen
  2. 2Sicherheitsanforderungen definieren und vertraglich verankern (inkl. AVV)
  3. 3Kritische Lieferanten bewerten (Fragebogen, Zertifikate, ggf. Audit)
  4. 4Melde- und Kontrollrechte sowie Subunternehmer-Regelungen vereinbaren
  5. 5Lieferantenleistung und -risiken laufend überwachen

Diese Nachweise erwartet die Aufsicht

  • Lieferantenregister mit Risikoeinstufung
  • Sicherheitsbewertungen und Verträge/AVV kritischer Lieferanten
  • Nachweis regelmäßiger Überprüfungen

Häufige Fehler

Keine Übersicht

Es ist unklar, welche Dienstleister Zugriff auf welche Systeme und Daten haben.

Nur der Preis zählt

Sicherheit spielt bei Auswahl und Steuerung von Lieferanten keine Rolle.

Passende ISO-27001-Controls

Wer ISO 27001 umsetzt, erfüllt diese NIS2-Pflicht weitgehend mit. Diese Annex-A-Controls decken den Bereich ab:

A.5.19

Informationssicherheit in Lieferantenbeziehungen

A.5.21

Steuerung der Informationssicherheit in der IKT-Lieferkette

A.5.22

Überwachung und Änderungsmanagement von Lieferantenleistungen

Häufig gestellte Fragen

Bin ich als Zulieferer auch betroffen?

Möglicherweise indirekt: NIS2-pflichtige Auftraggeber geben Sicherheitsanforderungen vertraglich weiter, sodass auch nicht direkt regulierte Lieferanten Nachweise erbringen müssen.

Welche Lieferanten muss ich bewerten?

Vor allem solche mit Zugriff auf Ihre Systeme oder Daten, risikobasiert priorisiert nach Kritikalität.

Reicht ein ISO-27001-Zertifikat des Lieferanten?

Es ist ein starkes Indiz, ersetzt aber nicht Ihre eigene risikobasierte Bewertung und Überwachung.

Lieferkettensicherheit mit CompliantDesk umsetzen

CompliantDesk deckt diesen Bereich mit folgenden Modulen ab: Lieferanten · Lieferanten-Assessments · AVVs. Starten Sie mit dem kostenlosen NIS2-Check.

NIS2-Check gratis Demo buchen

Verwandte NIS2-Pflichten

Buchstabe e)

Beschaffung, Entwicklung & Schwachstellen

Buchstabe a)

Risikoanalyse