Conformité

NIS2 und Lieferkettensicherheit: Artikel 21

NIS2 Supply-Chain-Sicherheit: Artikel 21, vertragliche Anforderungen an IT-Dienstleister, Monitoring und Audit. Praxisleitfaden.

27 mars 20263 min de lectureWarDek Team

NIS2 und Lieferkettensicherheit: Was Artikel 21 von Ihnen verlangt

Die Lieferkette ist das schwächste Glied in der Cybersicherheitskette vieler Unternehmen. Der SolarWinds-Angriff, Log4Shell und die Kaseya-Attacke haben gezeigt: Ein kompromittierter Dienstleister kann tausende Unternehmen gleichzeitig treffen. NIS2 reagiert darauf mit konkreten Pflichten.

Was Artikel 21 Absatz 2(d) verlangt

NIS2 verpflichtet betroffene Einrichtungen zur Sicherheit der Lieferkette, einschließlich der Sicherheitsaspekte der Beziehungen zwischen jeder Einrichtung und ihren unmittelbaren Anbietern oder Diensteanbietern.

Konkret müssen Sie:

  1. Risiken der Lieferkette bewerten — Welche Abhängigkeiten bestehen?
  2. Sicherheitsanforderungen vertraglich vereinbaren — Klauseln in jedem IT-Vertrag
  3. Überwachung und Audit durchführen — Regelmäßige Kontrolle der Dienstleister
  4. Vorfallkommunikation regeln — Wie erfahren Sie von Vorfällen beim Dienstleister?

Risikoanalyse der Lieferkette

Schritt 1: Bestandsaufnahme aller IT-Dienstleister

Erstellen Sie ein vollständiges Register:

| Kategorie | Beispiele | Risikostufe | |---|---|---| | Cloud-Infrastruktur | AWS, Azure, Hetzner | Hoch | | SaaS-Anwendungen | Microsoft 365, Salesforce, SAP | Hoch | | Managed Services | IT-Systemhäuser, SOC-Provider | Kritisch | | Software-Zulieferer | Open-Source-Bibliotheken, Drittanbieter-SDKs | Mittel–Hoch | | Physische IT | Hardware-Lieferanten, Netzwerktechnik | Mittel | | Entwicklungspartner | Externe Entwickler, Freelancer | Hoch |

Schritt 2: Risikobewertung pro Dienstleister

Für jeden Dienstleister bewerten Sie:

Schritt 3: Risikoklassifizierung

| Stufe | Kriterium | Maßnahme | |---|---|---| | Kritisch | Vollzugriff auf Systeme/Daten, schwer ersetzbar | Audit-Recht, SLA, jährliche Prüfung | | Hoch | Datenzugriff oder Systemzugang | Vertragliche Sicherheitsklauseln, regelmäßiges Review | | Mittel | Begrenzter Zugang, ersetzbar | Standardvertrag mit Sicherheitsanforderungen | | Niedrig | Kein Datenzugang, physischer Lieferant | Mindestanforderungen |

Vertragliche Sicherheitsklauseln

Pflichtklauseln für IT-Verträge

Jeder Vertrag mit einem IT-Dienstleister sollte folgende Punkte regeln:

1. Sicherheitsstandards

Der Auftragnehmer verpflichtet sich, ein dem Stand der Technik
entsprechendes Sicherheitsniveau aufrechtzuerhalten, mindestens
auf Basis von ISO 27001 oder BSI IT-Grundschutz.

2. Meldepflicht bei Vorfällen

Der Auftragnehmer meldet Sicherheitsvorfälle, die den
Auftraggeber betreffen können, unverzüglich, spätestens
innerhalb von 24 Stunden nach Kenntnisnahme.

3. Audit-Recht

Der Auftraggeber hat das Recht, die Einhaltung der
Sicherheitsanforderungen durch eigene oder unabhängige
Prüfer zu verifizieren. Der Auftragnehmer gewährt
angemessenen Zugang und Unterstützung.

4. Subunternehmer-Kontrolle

Der Einsatz von Subunternehmern bedarf der vorherigen
schriftlichen Zustimmung. Der Auftragnehmer stellt sicher,
dass Subunternehmer denselben Sicherheitsanforderungen
unterliegen.

5. Exit-Klausel und Datenrückgabe

Bei Vertragsende werden alle Daten in einem marktüblichen
Format zurückgegeben und beim Auftragnehmer nachweislich
gelöscht. Übergangsfristen werden vereinbart.

Monitoring und Audit

Laufende Überwachung

Implementieren Sie ein Dienstleister-Monitoring:

Jährliche Audits bei kritischen Dienstleistern

| Prüfbereich | Methode | |---|---| | Zugriffsmanagement | Prüfung der Berechtigungen, MFA-Status | | Patch-Management | Aktualität der Systeme | | Incident-Response-Fähigkeit | Tabletop Exercise oder Fragebogen | | Backup und Recovery | Test der Wiederherstellung | | Subunternehmer | Aktuelles Verzeichnis, vertragliche Absicherung |

Sonderfall: Open-Source-Software

NIS2 betrifft auch die Software-Lieferkette. Open-Source-Komponenten sind allgegenwärtig:

BSI-Empfehlungen zur Lieferkettensicherheit

Das BSI empfiehlt im Rahmen des IT-Grundschutzes:

  1. Richtlinie für Lieferantenbeziehungen erstellen (Baustein OPS.2.1)
  2. Sicherheitsanforderungen vor Vertragsschluss definieren
  3. Regelmäßige Überprüfung der Einhaltung
  4. Notfallpläne für Ausfall kritischer Dienstleister
  5. Dokumentation aller Lieferantenbeziehungen und deren Risikobewertung

Praxisbeispiel: Mittelständischer Maschinenbauer

Ein Maschinenbauunternehmen mit 200 Mitarbeitern identifiziert:

| Dienstleister | Risiko | Maßnahme | |---|---|---| | IT-Systemhaus (Managed Services) | Kritisch | Audit-Recht, 24h-Meldepflicht, jährliche Prüfung | | Microsoft 365 | Hoch | SOC-2-Bericht anfordern, Konfiguration härten | | ERP-Hersteller (SAP) | Hoch | Patch-Monitoring, separater Admin-Zugang | | Webseiten-Agentur | Mittel | Sicherheitsklauseln, regelmäßige Updates | | Druckerhersteller | Niedrig | Standardvertrag |

Häufige Fehler

| Fehler | Konsequenz | |---|---| | Keine Bestandsaufnahme der Dienstleister | Unbekannte Risiken | | Sicherheit nicht vertraglich geregelt | Keine Handhabe bei Vorfällen | | Kein Audit-Recht vereinbart | Keine Prüfmöglichkeit | | Subunternehmer nicht kontrolliert | Unkontrollierte Zugriffskette | | Open-Source-Abhängigkeiten ignoriert | Log4Shell-Szenario |

Fazit

Lieferkettensicherheit ist unter NIS2 keine optionale Best Practice, sondern eine gesetzliche Pflicht. Beginnen Sie mit der Bestandsaufnahme Ihrer Dienstleister, priorisieren Sie nach Risiko und passen Sie Ihre Verträge systematisch an. Der Aufwand rechnet sich — denn der nächste Supply-Chain-Angriff kommt bestimmt.

Scannen Sie Ihre Website kostenlos mit WarDek — OWASP, NIS2, DSGVO, AI Act Compliance in einem Scan.

#NIS2#Supply Chain#Lieferkette#Cybersicherheit

Scannez votre site gratuitement

WarDek détecte les vulnérabilités mentionnées dans cet article en quelques secondes.

Lancer un scan gratuitVoir les offres WarDek
Retour à Conformité