Compliance-Lexikon · NIS-2
NIS-2 Lieferkette
auch: NIS-2-Lieferkettensicherheit, Supply Chain unter NIS-2
NIS-2 Lieferkette bezeichnet die Anforderung an wesentliche und wichtige Einrichtungen, Sicherheitsrisiken in ihrer gesamten Lieferkette - einschliesslich IKT-Dienstleister und Softwareanbieter - systematisch zu bewerten und durch vertragliche und organisatorische Massnahmen zu adressieren.
Warum Lieferkettensicherheit zur expliziten NIS-2-Pflicht wurde
Die schwerwiegendsten Sicherheitsvorfaelle der letzten Jahre - SolarWinds, Kaseya, Log4Shell - hatten ihren Ursprung in der Software- oder Dienstleisterkette, nicht in der betroffenen Organisation selbst. NIS-2 reagiert darauf mit einer expliziten Mindestmassnahme zur Lieferkettensicherheit. Wesentliche und wichtige Einrichtungen muessen nachweisen, dass sie Risiken bei Zulieferern und Dienstleistern systematisch bewerten.
Wo NIS-2-Lieferkettensicherheit gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| NIS-2 / BSIG | § 30 Abs. 2g | Sicherheit der Lieferkette als explizite NIS-2-Mindestmassnahme. |
| NIS-2-Richtlinie (EU) 2022/2555 | Art. 21 Abs. 2d | Lieferkettensicherheit einschliesslich sicherheitsrelevanter Aspekte der Beziehungen zu Anbietern. |
| ENISA | Supply Chain Guidelines | Europaeische Leitlinien zur Bewertung von Lieferkettenrisiken im NIS-2-Kontext. |
| ISO 27001:2022 | A.5.19-23 | Informationssicherheit in Lieferantenbeziehungen als Umsetzungsrahmen. |
| CRA | Art. 13 | Cyber Resilience Act: Ergaenzende Anforderungen an Software-Lieferketten von Herstellern. |
BAM-Objektreferenz
Haeufige Fehler
- Kein vollstaendiges Inventar aller kritischen Lieferanten und IKT-Dienstleister
- Sicherheitsanforderungen nicht vertraglich verankert
- Keine Risikobewertung vor Beauftragung neuer Dienstleister
- Software-Lieferkette (Open-Source-Abhaengigkeiten) nicht im Scope
Praktische Umsetzung
Eine wirksame Lieferkettensicherheit beginnt mit einem vollstaendigen Inventar aller kritischen Lieferanten, gefolgt von einer Risikobewertung nach Kritikalitaet. Vertraege mit kritischen Lieferanten sollten Sicherheitsanforderungen, Meldepflichten bei Vorfaellen und Pruefungsrechte enthalten. Fuer Software-Lieferketten ergaenzt der Cyber Resilience Act die NIS-2-Anforderungen um konkrete SBOM- und Secure-Development-Pflichten fuer Hersteller.
Naechster Schritt
NIS-2-Stresstest starten
Kostenloser Compliance-Stresstest zur Lieferkettensicherheit.