Die Lieferkette als Einfallstor.
Warum NIS2 auch Ihre Zulieferer betrifft.
Ein Unternehmen kann die beste Firewall haben, MFA eingeführt haben, alle Mitarbeitenden geschult haben — und trotzdem Opfer eines Cyberangriffs werden. Nicht weil die eigene IT versagt hat, sondern weil ein Dienstleister, ein Softwareanbieter oder ein Cloud-Provider kompromittiert wurde.
ENISA ETL 2025
als Mindestmaßnahme
Jul 24 – Jun 25
EU 2024/2847
Das BSIG verpflichtet Einrichtungen zu umfassenden Risikomanagementmaßnahmen. Dazu zählt auch die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.
§ 30 Abs. 2 Nr. 4 BSIG ist eindeutig: Lieferkettensicherheit ist eine der zehn Pflichtmaßnahmen — keine Empfehlung, keine Kann-Bestimmung.
Besonders wichtige und wichtige Einrichtungen müssen bei ihren Risikomanagementmaßnahmen etwaige Schwachstellen bei der Cybersicherheitspraxis ihrer Lieferanten und Dienstleister berücksichtigen. Unter Umständen bedeutet das, dass sie nicht mehr mit jedem Anbieter zusammenarbeiten können, ohne Pflichtverstöße zu riskieren. In jedem Fall sollten sie ihre Zulieferer vertraglich zur Einhaltung von Sicherheitsmaßnahmen verpflichten und sich dies nachweisen lassen.
Auch wenn Sie als Zulieferer selbst nicht unter NIS2 fallen, können Ihre Auftraggeber Cybersecurity-Anforderungen, Audit-Rechte und Incident-Meldepflichten vertraglich an Sie weitergeben. Besonders Software-Zulieferer, Cloud-Dienstleister und IT-Wartungsfirmen sollten sich darauf einstellen.
Für Österreich gilt dasselbe: Das NISG 2026 verpflichtet betroffene Unternehmen zu umfassenden Risikomanagementmaßnahmen, darunter auch die Sicherheit der Lieferkette. Dabei sind die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter und Diensteanbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, zu berücksichtigen.
Der ENISA Threat Landscape 2025 analysierte 4.875 Vorfälle zwischen Juli 2024 und Juni 2025. Das Ergebnis: Supply Chain-Angriffe gehören zu den zehn häufigsten Bedrohungskategorien und machen 10,6 Prozent aller analysierten Vorfälle aus. Drei Angriffswege dominieren:
-
01
Softwarelieferketten — Schwachstellen und Schadcode in Open-Source- und Drittanbieter-Abhängigkeiten, Angriffe auf die Build-Infrastruktur sowie Social Engineering gegen Entwicklerinnen und Entwickler. Die SolarWinds-, log4j- und xz-utils-Vorfälle stehen stellvertretend für diese Kategorie.Williams, L. et al. (2025): Research Directions in Software Supply Chain Security. ACM. Kap. 3.2 S. 45–52.
-
02
IT-Dienstleister als Brückenköpfe — Operation Digital Eye (aktiv Mitte 2024 bis 2025) zielte auf IT-Dienstleister in Südeuropa ab, um Brückenköpfe für nachgelagerte Spionage zu errichten. Die Angreifer wählten IT-Anbieter bewusst als Einstiegspunkt, um Zugang zu hochwertigeren Endkunden zu erlangen.ENISA Threat Landscape 2025 (ETL 2025), Kapitel 3.4 — Supply Chain Threat Actors, S. 58.
-
03
Kompromittierte Updates und Komponenten — Bereits bei der Entwicklung oder Auslieferung von Hardware oder Software eingeschleuster Schadcode — durch manipulierte Updates oder kompromittierte Komponenten. Dieser Angriffsweg missbraucht legitime Kanäle, die von Sicherheitssystemen oft als vertrauenswürdig eingestuft werden.
Das BSI empfiehlt den Ansatz des Cyber-Supply Chain Risk Management (C-SCRM) als strukturierte Methode zur Umsetzung der NIS2-Lieferkettenpflichten.
Alle direkten Zulieferer, Dienstleister und Software-Abhängigkeiten erfassen und nach Kritikalität klassifizieren. Wer hat Zugang zu welchen Systemen? Dabei sollten auch indirekte Zulieferer (Sub-Lieferanten) und die vergebenen Zugriffsrechte erfasst werden — denn Angriffe können sich durch mehrere Lieferkettenebenen bewegen, bevor sie das eigentliche Ziel erreichen.
Ein umfassendes Risikomanagement muss auch die Ebene der Zulieferer erreichen, manchmal über mehrere Zulieferer hinweg. Hierfür brauchen betroffene Einrichtungen ein tiefes Prozessverständnis ihrer Anbieter.
Vertragliche Vereinbarungen (Service Level Agreements) mit Zulieferern und Dienstleistern zu Risikomanagementmaßnahmen, Bewältigung von Cybersicherheitsvorfällen und Patchmanagement abschließen.
Wirksamkeit von Maßnahmen prüfen, Auditierungen durchführen und gegebenenfalls Krisenübungen veranstalten — in enger Zusammenarbeit zwischen betroffenen Einrichtungen und Anbietern.
Klare Eskalations- und Meldeprozesse für den Fall, dass ein Zulieferer kompromittiert wird — inklusive der eigenen NIS2-Meldepflicht an das BSI innerhalb von 24 Stunden. Dabei müssen sowohl interne Eskalationsprozesse (Wer entscheidet? Welche Systeme werden isoliert?) als auch externe Eskalationsprozesse (Meldung an Behörden, Kommunikation mit dem Lieferanten, ggf. CERT/BSI) klar definiert und dokumentiert sein.
Eine Befragung von über 100 Unternehmen zeigt: Der Mensch als Risikofaktor wird systematisch unterschätzt — obwohl er gleichzeitig als wichtigster Hebel für Verbesserungen gilt. Ohne Menschen, die Sicherheitsanforderungen aktiv einfordern und umsetzen, bleiben technische Maßnahmen wirkungslos.
Kontinuierliche Risikobewertung statt einmaliger Lieferantenbewertungen, Zero-Trust-Architektur als Kulturprinzip und internationale Standards wie ISO/IEC 27001 als Orientierungsrahmen. Ein proaktiver Ansatz ist dabei deutlich wirksamer als reaktive Kontrollen.
Identifiziert in einer Analyse von 161 realen Vorfällen 19 verschiedene Angriffsvektoren auf Software-Lieferketten und 25 zugehörige Schutzmaßnahmen. Erst das Zusammenspiel aus technischen Kontrollen, vertraglichen Anforderungen und organisatorischen Prozessen ergibt eine wirksame Verteidigung.
NIS2 regelt, wie Unternehmen ihre Lieferkette absichern müssen. Der Cyber Resilience Act (CRA, EU 2024/2847) setzt eine Ebene früher an — bei den Produkten selbst.
Der CRA konzentriert sich auf die Cybersicherheit von Produkten mit digitalen Elementen, indem verbindliche Sicherheitsanforderungen für Hardware und Software festgelegt werden, die in der EU hergestellt, importiert oder vertrieben werden.
Eigene Produkte: Welche eigenen Produkte oder Software unterliegen dem CRA? Sind interne Entwicklungsprozesse vorbereitet?
Lieferanten: Welche Produkte und Komponenten beziehen Sie von Lieferanten? Sind diese CRA-pflichtig und darauf vorbereitet? Diese Frage sollte bereits heute in Beschaffungsentscheidungen und Lieferantenaudits einfließen.
Anbieter: Welche Software-as-a-Service- oder Cloud-Dienste werden CRA-pflichtig? Ab 2027 können nicht-konforme Produkte nicht mehr in der EU in Verkehr gebracht werden.
Alle direkten Anbieter und Dienstleister erfassen. Wer hat Zugang zu welchen Systemen? Auch indirekte Zulieferer und vergebene Zugriffsrechte erfassen.
Nicht alle Zulieferer sind gleich kritisch. Ein Cloud-Provider mit Zugang zu produktiven Systemen ist anders zu bewerten als ein Büromaterial-Lieferant. Risikobasierte Klassifizierung nach BSI-Empfehlung.
Zulieferer und Dienstleister vertraglich zur Einhaltung von Security by Design und Security by Default sowie zur Berücksichtigung von BSI-Empfehlungen verpflichten.
Die Implementierung eines Informationssicherheits-Managementsystems (ISMS) mithilfe bestehender Standards (ISO 27001:2022, BSI-Standard 200-1) ist der effizienteste Weg. Ein ISMS schafft Strukturen und Methoden, die für ein wirksames C-SCRM notwendig sind.
Eigene Produkte: CRA-pflichtig? Entwicklungsprozesse vorbereitet? Lieferanten: Welche Produkte unterliegen dem CRA und sind Lieferanten darauf vorbereitet? Anbieter: Welche Software oder Dienste werden CRA-pflichtig? Diese Fragen sollten bereits heute in Beschaffungsentscheidungen einfließen.
NIS2 macht eines deutlich: Cybersicherheit endet nicht am eigenen Firmentor. Wer die eigene IT absichert, aber die Lieferkette ignoriert, hat die Hälfte der Arbeit nicht gemacht.
Die gesetzliche Pflicht ist klar — § 30 Abs. 2 Nr. 4 BSIG. Die Methode ist da — C-SCRM nach BSI. Die Standards existieren — ISO 27001:2022, BSI-Standard 200-1.
Und der nächste regulatorische Schritt kommt bereits: Der Cyber Resilience Act bringt ab 2027 Sicherheitsanforderungen an die Produkte selbst — und betrifft dabei nicht nur Hersteller, sondern über die Lieferkette auch deren Abnehmer.
Gesetzliche Grundlagen
§ 30 Abs. 2 Nr. 4 BSIG (NIS2UmsuCG): Sicherheit der Lieferkette als Mindestmaßnahme — in Kraft seit 6. Dezember 2025
Verordnung (EU) 2024/2847 (Cyber Resilience Act) — in Kraft 10. Dezember 2024, vollständig anwendbar ab Dezember 2027
Offizielle Behördenquellen
Bundesamt für Sicherheit in der Informationstechnik (BSI): #nis2know Sichere Lieferkette. bsi.bund.de/dok/nis-2-sichere-lieferkette
BSI: Management Blitzlicht — Grundlagen des Cyber-Supply Chain Risk Management (C-SCRM). bsi.bund.de
ENISA: Threat Landscape 2025 (ETL 2025) — Kapitel 3.2 Supply Chain (S. 45–52) und Kapitel 3.4 Supply Chain Threat Actors (S. 58). 4.875 Vorfälle, Juli 2024 – Juni 2025. enisa.europa.eu/publications/enisa-threat-landscape-2025
WKO: Die Sicherheit der Lieferkette im NISG 2026. wko.at/it-sicherheit/sicherheit-lieferkette-nis2
Praxisleitfaden
Plasch, M., Zeisler, A. et al. (2026): CySeReS-KMU Best Practice Guide. FH Oberösterreich / FH Salzburg / TH Deggendorf / Univ. Innsbruck / Univ. Passau. Interreg VI-A Bayern–Österreich. CC BY-SA 4.0. Kap. 3.3 (S. 54)
Peer-reviewed Wissenschaft
Williams, L. et al. (2025): Research Directions in Software Supply Chain Security. ACM Transactions on Software Engineering and Methodology. 60 Zitierungen.
Adenekan, O.A. et al. (2024): Strategies for protecting IT supply chains against cybersecurity threats. International Journal of Management & Entrepreneurship Research. 12 Zitierungen.
Creazza, A. et al. (2021): Who cares? Supply chain managers' perceptions regarding cyber supply chain risk management. Supply Chain Management: An International Journal. 81 Zitierungen.
Gokkaya, B. et al. (2026): Software supply chain: A taxonomy of attacks, mitigations and risk assessment strategies. Journal of Information Security and Applications. 3 Zitierungen.
Branchenverband
Bitkom e.V. (2025): Wirtschaftsschutz 2025. Bitkom Research.
OMNI Inform Pro begleitet Unternehmen bei der Umsetzung der NIS2-Lieferkettenpflichten — von der Erstellung eines Lieferantenregisters über die Risikobewertung bis zur vertraglichen Absicherung und ISMS-Integration.