NIS2 News

Die Lieferkette als Einfallstor.
Warum NIS2 auch Ihre Zulieferer betrifft.

Ein Unternehmen kann die beste Firewall haben, MFA eingeführt haben, alle Mitarbeitenden geschult haben — und trotzdem Opfer eines Cyberangriffs werden. Nicht weil die eigene IT versagt hat, sondern weil ein Dienstleister, ein Softwareanbieter oder ein Cloud-Provider kompromittiert wurde.

Supply Chain Anteil
10,6 %
aller Vorfälle
ENISA ETL 2025
Gesetzliche Pflicht
§ 30 Nr.4
BSIG — Lieferkette
als Mindestmaßnahme
Analysierte Vorfälle
4.875
ENISA ETL 2025
Jul 24 – Jun 25
CRA vollständig ab
Dez. 2027
Cyber Resilience Act
EU 2024/2847
Genau das ist das Kernproblem der Lieferkettensicherheit: Die eigene Angriffsfläche endet nicht an der eigenen Unternehmensgrenze. Sie erstreckt sich auf jeden Zulieferer, jeden IT-Dienstleister, jedes Software-Paket, das im Betrieb eingesetzt wird. NIS2 hat das erkannt — und macht Lieferkettensicherheit zur gesetzlichen Pflicht.
1 — Was das Gesetz konkret fordert

Das BSIG verpflichtet Einrichtungen zu umfassenden Risikomanagementmaßnahmen. Dazu zählt auch die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.

§ 30 Abs. 2 Nr. 4 BSIG ist eindeutig: Lieferkettensicherheit ist eine der zehn Pflichtmaßnahmen — keine Empfehlung, keine Kann-Bestimmung.

Was das konkret bedeutet

Besonders wichtige und wichtige Einrichtungen müssen bei ihren Risikomanagementmaßnahmen etwaige Schwachstellen bei der Cybersicherheitspraxis ihrer Lieferanten und Dienstleister berücksichtigen. Unter Umständen bedeutet das, dass sie nicht mehr mit jedem Anbieter zusammenarbeiten können, ohne Pflichtverstöße zu riskieren. In jedem Fall sollten sie ihre Zulieferer vertraglich zur Einhaltung von Sicherheitsmaßnahmen verpflichten und sich dies nachweisen lassen.

Auch wenn Sie als Zulieferer selbst nicht unter NIS2 fallen, können Ihre Auftraggeber Cybersecurity-Anforderungen, Audit-Rechte und Incident-Meldepflichten vertraglich an Sie weitergeben. Besonders Software-Zulieferer, Cloud-Dienstleister und IT-Wartungsfirmen sollten sich darauf einstellen.

Österreich: NISG 2026 — ab Oktober 2026

Für Österreich gilt dasselbe: Das NISG 2026 verpflichtet betroffene Unternehmen zu umfassenden Risikomanagementmaßnahmen, darunter auch die Sicherheit der Lieferkette. Dabei sind die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, zu berücksichtigen.

2 — Warum die Lieferkette so attraktiv für Angreifer ist

Der ENISA Threat Landscape 2025 analysierte 4.875 Vorfälle zwischen Juli 2024 und Juni 2025. Das Ergebnis: Supply Chain-Angriffe gehören zu den zehn häufigsten Bedrohungskategorien und machen 10,6 Prozent aller analysierten Vorfälle aus. Drei Angriffswege dominieren:

  • 01
    Softwarelieferketten — Schwachstellen und Schadcode in Open-Source- und Drittanbieter-Abhängigkeiten, Angriffe auf die Build-Infrastruktur sowie Social Engineering gegen Entwicklerinnen und Entwickler. Die SolarWinds-, log4j- und xz-utils-Vorfälle stehen stellvertretend für diese Kategorie.
    Williams, L. et al. (2025): Research Directions in Software Supply Chain Security. ACM. Kap. 3.2 S. 45–52.
  • 02
    IT-Dienstleister als Brückenköpfe — Operation Digital Eye (aktiv Mitte 2024 bis 2025) zielte auf IT-Dienstleister in Südeuropa ab, um Brückenköpfe für nachgelagerte Spionage zu errichten. Die Angreifer wählten IT-Anbieter bewusst als Einstiegspunkt, um Zugang zu hochwertigeren Endkunden zu erlangen.
    ENISA Threat Landscape 2025 (ETL 2025), Kapitel 3.4 — Supply Chain Threat Actors, S. 58.
  • 03
    Kompromittierte Updates und Komponenten — Bereits bei der Entwicklung oder Auslieferung von Hardware oder Software eingeschleuster Schadcode — durch manipulierte Updates oder kompromittierte Komponenten. Dieser Angriffsweg missbraucht legitime Kanäle, die von Sicherheitssystemen oft als vertrauenswürdig eingestuft werden.
3 — Was das BSI konkret empfiehlt: Die fünf Schritte des C-SCRM

Das BSI empfiehlt den Ansatz des Cyber-Supply Chain Risk Management (C-SCRM) als strukturierte Methode zur Umsetzung der NIS2-Lieferkettenpflichten.

Schritt 1 — Identifizieren

Alle direkten Zulieferer, Dienstleister und Software-Abhängigkeiten erfassen und nach Kritikalität klassifizieren. Wer hat Zugang zu welchen Systemen? Dabei sollten auch indirekte Zulieferer (Sub-Lieferanten) und die vergebenen Zugriffsrechte erfasst werden — denn Angriffe können sich durch mehrere Lieferkettenebenen bewegen, bevor sie das eigentliche Ziel erreichen.

Schritt 2 — Bewerten

Ein umfassendes Risikomanagement muss auch die Ebene der Zulieferer erreichen, manchmal über mehrere Zulieferer hinweg. Hierfür brauchen betroffene Einrichtungen ein tiefes Prozessverständnis ihrer Anbieter.

Schritt 3 — Steuern

Vertragliche Vereinbarungen (Service Level Agreements) mit Zulieferern und Dienstleistern zu Risikomanagementmaßnahmen, Bewältigung von Cybersicherheitsvorfällen und Patchmanagement abschließen.

Schritt 4 — Überwachen

Wirksamkeit von Maßnahmen prüfen, Auditierungen durchführen und gegebenenfalls Krisenübungen veranstalten — in enger Zusammenarbeit zwischen betroffenen Einrichtungen und Anbietern.

Schritt 5 — Reagieren

Klare Eskalations- und Meldeprozesse für den Fall, dass ein Zulieferer kompromittiert wird — inklusive der eigenen NIS2-Meldepflicht an das BSI innerhalb von 24 Stunden. Dabei müssen sowohl interne Eskalationsprozesse (Wer entscheidet? Welche Systeme werden isoliert?) als auch externe Eskalationsprozesse (Meldung an Behörden, Kommunikation mit dem Lieferanten, ggf. CERT/BSI) klar definiert und dokumentiert sein.

BSI: #nis2know Sichere Lieferkette — bsi.bund.de/dok/nis-2-sichere-lieferkette
4 — Was die Wissenschaft sagt
Creazza et al. (2021) — Menschlicher Faktor unterschätzt

Eine Befragung von über 100 Unternehmen zeigt: Der Mensch als Risikofaktor wird systematisch unterschätzt — obwohl er gleichzeitig als wichtigster Hebel für Verbesserungen gilt. Ohne Menschen, die Sicherheitsanforderungen aktiv einfordern und umsetzen, bleiben technische Maßnahmen wirkungslos.

Creazza, A. et al. (2021): Who cares? Supply Chain Management: An International Journal. 81 Zitierungen.
Adenekan et al. (2024) — Zero Trust als Kulturprinzip

Kontinuierliche Risikobewertung statt einmaliger Lieferantenbewertungen, Zero-Trust-Architektur als Kulturprinzip und internationale Standards wie ISO/IEC 27001 als Orientierungsrahmen. Ein proaktiver Ansatz ist dabei deutlich wirksamer als reaktive Kontrollen.

Adenekan, O.A. et al. (2024): Strategies for protecting IT supply chains. International Journal of Management & Entrepreneurship Research. 12 Zitierungen.
Gokkaya et al. (2026) — 19 Angriffsvektoren, 25 Kontrollen

Identifiziert in einer Analyse von 161 realen Vorfällen 19 verschiedene Angriffsvektoren auf Software-Lieferketten und 25 zugehörige Schutzmaßnahmen. Erst das Zusammenspiel aus technischen Kontrollen, vertraglichen Anforderungen und organisatorischen Prozessen ergibt eine wirksame Verteidigung.

Gokkaya, B. et al. (2026): Software supply chain: A taxonomy of attacks. Journal of Information Security and Applications. 3 Zitierungen.
5 — Der Cyber Resilience Act: Was ab 2027 gilt

NIS2 regelt, wie Unternehmen ihre Lieferkette absichern müssen. Der Cyber Resilience Act (CRA, EU 2024/2847) setzt eine Ebene früher an — bei den Produkten selbst.

Der CRA konzentriert sich auf die Cybersicherheit von Produkten mit digitalen Elementen, indem verbindliche Sicherheitsanforderungen für Hardware und Software festgelegt werden, die in der EU hergestellt, importiert oder vertrieben werden.

Die wichtigsten CRA-Meilensteine
Sep. 2026 Aktiv ausgenutzte Schwachstellen in Produkten müssen gemeldet werden.
Dez. 2027 Alle neuen Produkte mit digitalen Elementen müssen vollständig CRA-konform sein — mit CE-Kennzeichnung für Cybersicherheit.
Was das für die Lieferkette bedeutet — drei Prüfebenen

Eigene Produkte: Welche eigenen Produkte oder Software unterliegen dem CRA? Sind interne Entwicklungsprozesse vorbereitet?

Lieferanten: Welche Produkte und Komponenten beziehen Sie von Lieferanten? Sind diese CRA-pflichtig und darauf vorbereitet? Diese Frage sollte bereits heute in Beschaffungsentscheidungen und Lieferantenaudits einfließen.

Anbieter: Welche Software-as-a-Service- oder Cloud-Dienste werden CRA-pflichtig? Ab 2027 können nicht-konforme Produkte nicht mehr in der EU in Verkehr gebracht werden.

Verordnung (EU) 2024/2847 (Cyber Resilience Act) — in Kraft 10. Dezember 2024, vollständig anwendbar ab Dezember 2027
6 — Was Unternehmen jetzt konkret tun können
Schritt 1
Lieferantenregister erstellen

Alle direkten Anbieter und Dienstleister erfassen. Wer hat Zugang zu welchen Systemen? Auch indirekte Zulieferer und vergebene Zugriffsrechte erfassen.

Schritt 2
Kritikalität bewerten

Nicht alle Zulieferer sind gleich kritisch. Ein Cloud-Provider mit Zugang zu produktiven Systemen ist anders zu bewerten als ein Büromaterial-Lieferant. Risikobasierte Klassifizierung nach BSI-Empfehlung.

Schritt 3
Verträge anpassen

Zulieferer und Dienstleister vertraglich zur Einhaltung von Security by Design und Security by Default sowie zur Berücksichtigung von BSI-Empfehlungen verpflichten.

Schritt 4 — ISMS aufbauen oder nutzen

Die Implementierung eines Informationssicherheits-Managementsystems (ISMS) mithilfe bestehender Standards (ISO 27001:2022, BSI-Standard 200-1) ist der effizienteste Weg. Ein ISMS schafft Strukturen und Methoden, die für ein wirksames C-SCRM notwendig sind.

Schritt 5 — CRA-Readiness prüfen

Eigene Produkte: CRA-pflichtig? Entwicklungsprozesse vorbereitet? Lieferanten: Welche Produkte unterliegen dem CRA und sind Lieferanten darauf vorbereitet? Anbieter: Welche Software oder Dienste werden CRA-pflichtig? Diese Fragen sollten bereits heute in Beschaffungsentscheidungen einfließen.

Fazit

NIS2 macht eines deutlich: Cybersicherheit endet nicht am eigenen Firmentor. Wer die eigene IT absichert, aber die Lieferkette ignoriert, hat die Hälfte der Arbeit nicht gemacht.

Die gesetzliche Pflicht ist klar — § 30 Abs. 2 Nr. 4 BSIG. Die Methode ist da — C-SCRM nach BSI. Die Standards existieren — ISO 27001:2022, BSI-Standard 200-1.

Und der nächste regulatorische Schritt kommt bereits: Der Cyber Resilience Act bringt ab 2027 Sicherheitsanforderungen an die Produkte selbst — und betrifft dabei nicht nur Hersteller, sondern über die Lieferkette auch deren Abnehmer.

Quellenverzeichnis

Gesetzliche Grundlagen

§ 30 Abs. 2 Nr. 4 BSIG (NIS2UmsuCG): Sicherheit der Lieferkette als Mindestmaßnahme — in Kraft seit 6. Dezember 2025

Verordnung (EU) 2024/2847 (Cyber Resilience Act) — in Kraft 10. Dezember 2024, vollständig anwendbar ab Dezember 2027

Offizielle Behördenquellen

Bundesamt für Sicherheit in der Informationstechnik (BSI): #nis2know Sichere Lieferkette. bsi.bund.de/dok/nis-2-sichere-lieferkette

BSI: Management Blitzlicht — Grundlagen des Cyber-Supply Chain Risk Management (C-SCRM). bsi.bund.de

ENISA: Threat Landscape 2025 (ETL 2025) — Kapitel 3.2 Supply Chain (S. 45–52) und Kapitel 3.4 Supply Chain Threat Actors (S. 58). 4.875 Vorfälle, Juli 2024 – Juni 2025. enisa.europa.eu/publications/enisa-threat-landscape-2025

WKO: Die Sicherheit der Lieferkette im NISG 2026. wko.at/it-sicherheit/sicherheit-lieferkette-nis2

Praxisleitfaden

Plasch, M., Zeisler, A. et al. (2026): CySeReS-KMU Best Practice Guide. FH Oberösterreich / FH Salzburg / TH Deggendorf / Univ. Innsbruck / Univ. Passau. Interreg VI-A Bayern–Österreich. CC BY-SA 4.0. Kap. 3.3 (S. 54)

Peer-reviewed Wissenschaft

Williams, L. et al. (2025): Research Directions in Software Supply Chain Security. ACM Transactions on Software Engineering and Methodology. 60 Zitierungen.

Adenekan, O.A. et al. (2024): Strategies for protecting IT supply chains against cybersecurity threats. International Journal of Management & Entrepreneurship Research. 12 Zitierungen.

Creazza, A. et al. (2021): Who cares? Supply chain managers' perceptions regarding cyber supply chain risk management. Supply Chain Management: An International Journal. 81 Zitierungen.

Gokkaya, B. et al. (2026): Software supply chain: A taxonomy of attacks, mitigations and risk assessment strategies. Journal of Information Security and Applications. 3 Zitierungen.

Branchenverband

Bitkom e.V. (2025): Wirtschaftsschutz 2025. Bitkom Research.

OMNI Inform Pro · NIS2-Beratung DACH
Lieferkettensicherheit systematisch aufbauen.

OMNI Inform Pro begleitet Unternehmen bei der Umsetzung der NIS2-Lieferkettenpflichten — von der Erstellung eines Lieferantenregisters über die Risikobewertung bis zur vertraglichen Absicherung und ISMS-Integration.

Bernadette Ammer, zertifizierte ICO und ISMS-Spezialistin (ISO 27001:2022 + NIS2), begleitet Sie durch den gesamten Prozess — von der Lieferantenbewertung bis zur Dokumentation gegenüber Aufsichtsbehörden.
Kontakt: thomas.holzer@omni-informpro.de
Name
Nach oben scrollen

Entdecke mehr von OMNI Inform Pro GmbH

Jetzt abonnieren, um weiterzulesen und auf das gesamte Archiv zuzugreifen.

Weiterlesen