Sind Ihre Lieferanten NIS-2 compliant?

Q: Gelten die Pflichten auch für kleine Zulieferer?

Indirekt ja. Kleine Zulieferer müssen Sicherheitsnachweise erbringen, wenn ihre Kunden unter NIS-2 fallen.

Sie sind verpflichtet, die Sicherheit Ihrer Lieferkette zu prüfen (§ 30 Abs. 2 Nr. 4 BSIG). Nutzen Sie unseren Standard-Fragebogen.

Name des Lieferanten

Lieferkettensicherheit nach § 30 Abs. 2 Nr. 4 BSIG

NIS-2 verpflichtet betroffene Einrichtungen, die Sicherheit in der Lieferkette zu gewährleisten. Dies umfasst Sicherheitsanforderungen an unmittelbare Anbieter und Dienstleister, einschließlich deren Cybersicherheitspraktiken und der Qualität ihrer Produkte und Dienste. In der Praxis bedeutet das: Sie müssen Ihre kritischen Zulieferer regelmäßig auditieren.

Die 8 Kernfragen des Audits — und warum sie wichtig sind

ISO 27001 Zertifizierung

Nachweis eines systematischen Informationssicherheits-Managementsystems (ISMS).

Incident-Reporting (24h)

Wichtig für Ihre eigene Meldefrist — ohne schnelle Info des Zulieferers schaffen Sie die 24h nicht.

Multi-Faktor-Authentifizierung

Direkte Anforderung aus § 30 Abs. 2 Nr. 10 BSIG.

Penetrationstests

Nachweis aktiver Schwachstellensuche — Teil des Schwachstellenmanagements.

Backup-Konzept

Business Continuity nach § 30 Abs. 2 Nr. 3 BSIG.

Patch-Management

Zeitnahes Einspielen von Sicherheitsupdates ist eine Kernmaßnahme.

Incident-Response-Team

Stellt sicher, dass es im Ernstfall einen definierten Ansprechpartner gibt.

Mitarbeiter-Schulungen

Cyberhygiene nach § 30 Abs. 2 Nr. 7 BSIG.

Vendor-Risk-Assessment

Ihre Lieferanten müssen sicher sein. Aber wie prüft man das? Lars Averstegge (Diplom-Jurist) übernimmt das Vendor-Management für Sie. Er sichtet die Zertifikate (ISO 27001, SOC2) Ihrer Zulieferer, bewertet die Risiken und erstellt den Compliance-Bericht für Ihre Akten.

Vendor-Assessment anfragen

Risikomanagement

§ 30 BSIG live überwachen

Vorfall-Simulator

24h-Meldeprozess testen

Download-Center

Checklisten & Vorlagen

Häufige Fragen zum Lieferketten-Audit

Bin ich verpflichtet, meine Lieferanten zu prüfen?

Ja. § 30 Abs. 2 Nr. 4 BSIG verpflichtet betroffene Einrichtungen, die Sicherheit in der Lieferkette zu gewährleisten. Dazu gehören Sicherheitsanforderungen an unmittelbare Anbieter und Dienstleister.

Wie oft sollte ein Lieferketten-Audit durchgeführt werden?

Das Gesetz gibt keine feste Frequenz vor. Best Practice ist eine jährliche Überprüfung der kritischen Lieferanten sowie anlassbezogene Prüfungen bei Sicherheitsvorfällen oder Vertragsänderungen.

Was wenn ein Lieferant den Fragebogen nicht beantwortet?

Die Nichtbeantwortung ist ein Risikosignal. Sie sollten den Lieferanten eskalieren, eine Frist setzen und ggf. vertragliche Konsequenzen prüfen. Im Extremfall kann ein Lieferantenwechsel notwendig sein.

Gelten die Pflichten auch für kleine Zulieferer?

Die NIS-2 Pflichten treffen den Auftraggeber, nicht direkt den Zulieferer. Indirekt müssen aber auch kleine Zulieferer Sicherheitsnachweise erbringen, wenn ihre Kunden unter NIS-2 fallen. Fehlende Nachweise können zum Verlust von Aufträgen führen.