Das Sicherheitsproblem Ihrer Lieferanten ist Ihr Compliance-Problem
Unter NIS2 sind Sie rechtlich verantwortlich für die Cybersicherheitslage Ihrer Lieferkette. Nicht moralisch. Rechtlich. Bußgelder-auf-Ihrer-Bilanz rechtlich.
Die DSGVO verlangte schon immer Auftragsverarbeitungsverträge (AVV) mit Unterauftragsverarbeitern. Aber NIS2 und DORA gehen weiter. Sie fordern formale Risikobewertungen der Sicherheitspraktiken Ihrer Lieferanten, vertragliche Sicherheitsanforderungen und laufendes Monitoring.
Die durchschnittliche Organisation nutzt über 130 SaaS-Tools. Jedes einzelne ist eine potenzielle Compliance-Haftung. Wie viele haben Sie tatsächlich geprüft?
Die ehrliche Antwort der meisten KMU: null.
Warum Drittanbieter-Risiko jetzt zählt
Drei regulatorische Treiber sind 2025-2026 zusammengekommen:
NIS2-Lieferkettenanforderungen. Artikel 21 schreibt Lieferkettensicherheit für alle betroffenen Einrichtungen vor. Sie müssen die Cybersicherheitspraktiken Ihrer direkten Lieferanten bewerten, vertragliche Sicherheitsanforderungen sicherstellen und die Einhaltung überwachen. Die 29.000 in Deutschland nun von NIS2 betroffenen Organisationen müssen diese Anforderungen in ihre Lieferketten kaskadieren.
DSGVO-Unterauftragsverarbeiterpflichten. Wenn Sie personenbezogene Daten mit einem Anbieter teilen, brauchen Sie einen AVV nach Artikel 28. Wenn der Anbieter eine Datenpanne hat, verschwindet Ihre Meldepflicht nicht.
DORA-Drittanbieter-IKT-Risiko. Für Finanzunternehmen verlangt DORA detailliertes IKT-Drittanbieter-Risikomanagement. Konzentrationsrisikobewertungen, Exit-Strategien, vertragliche Resilienzanforderungen.
Das Lieferanten-Bewertungsframework
Nicht jeder Lieferant braucht die gleiche Prüftiefe. Stufen Sie nach Datenzugang und Kritikalität ein.
Stufe 1: Kritische Lieferanten (vollständige Bewertung)
Lieferanten, die sensible personenbezogene Daten verarbeiten, Zugang zu Ihren Produktionssystemen haben oder deren Ausfall Ihren Betrieb stören würde.
Für diese brauchen Sie: Sicherheitsfragebogen oder Audit-Bericht (SOC 2 Type II, ISO 27001 oder gleichwertig), AVV-Prüfung und -Abschluss, Penetrationstest-Ergebnisse, Incident-Response-Verfahren, Business-Continuity-Pläne, Datenresidenz- und Unterauftragsverarbeiterdokumentation.
Stufe 2: Bedeutende Lieferanten (Standardbewertung)
Lieferanten, die einige personenbezogene Daten verarbeiten, aber nicht betriebskritisch sind.
Für diese: Sicherheitsfragebogen, AVV-Abschluss, grundlegende Zertifizierungsprüfung, Unterauftragsverarbeiterliste.
Stufe 3: Geringfügige Lieferanten (leichte Bewertung)
Lieferanten mit minimalem Datenzugang. Design-Tools, Dokumentationsplattformen, interne Kommunikationstools.
Für diese: AVV-Verfügbarkeit bestätigen, Sicherheitsseite auf Zertifizierungen prüfen, Datenschutzerklärung lesen.
Warnsignale, die eine Beschaffung stoppen sollten
Kein AVV verfügbar. Wenn ein Lieferant, der personenbezogene Daten verarbeitet, keinen Auftragsverarbeitungsvertrag bereitstellen kann, Finger weg.
Keine Information zur Datenresidenz. “Wir nutzen AWS” reicht nicht. Welche Region? Wie sieht die Unterauftragsverarbeiterkette aus?
Keine Breach-Benachrichtigungsverpflichtung. Ihr AVV sollte eine Meldefrist enthalten (idealerweise 24-48 Stunden).
Kein SOC 2, ISO 27001 oder Gleichwertiges. Für Stufe-1-Lieferanten ist eine unabhängige Sicherheitsbewertung unverzichtbar.
Ausschließlich US-Datenspeicherung für EU-Daten. Nicht automatisch disqualifizierend (das EU-US Data Privacy Framework existiert), aber es erhöht die Komplexität. Für sensible Daten ist EU-Residenz einfacher. Siehe unseren Datenresidenz-Leitfaden.
Vertragliche Sicherheitsanforderungen
Ihre Lieferantenverträge (oder AVVs) sollten mindestens enthalten:
Datenverarbeitung nur für dokumentierte Zwecke. Sicherheitsmaßnahmen angemessen zum Risikoniveau. Breach-Benachrichtigung innerhalb einer definierten Frist.
Auditrecht (oder Akzeptanz unabhängiger Audit-Berichte). Unterauftragsverarbeiter-Benachrichtigung und Genehmigungsrechte. Datenrückgabe und Löschung bei Vertragsende.
Laufendes Monitoring
Bewertung ist kein einmaliges Ereignis. Lieferanten ändern sich. Ihre Sicherheitslage ändert sich. Ihre Eigentümerstruktur ändert sich.
Stufe-1-Lieferanten jährlich überprüfen. Aktualisierte SOC-2-Berichte anfordern. Auf Breach-Meldungen überwachen.
Stufe-2-Lieferanten alle zwei Jahre oder bei wesentlichen Änderungen.
Für den breiteren Regulierungsrahmen siehe unseren Pillar-Guide zur EU-Compliance für Softwareteams. Der NIS2-Compliance-Leitfaden behandelt die Lieferkettensicherheitsanforderungen im Detail. Und für die Bewertung, wo Lieferanten Daten speichern: unser Datenresidenz-Leitfaden.
Brauchen Sie Hilfe bei der Bewertung Ihres Lieferantenrisikos? Lassen Sie uns Ihre Lieferkette gemeinsam prüfen. Wir helfen Teams, praktische Drittanbieter-Risikoprozesse aufzubauen, die NIS2 und DSGVO erfüllen.
