Das Sicherheitsproblem Ihrer Lieferanten ist Ihr Compliance-Problem
Unter NIS2 sind Sie rechtlich verantwortlich für die Cybersicherheitslage Ihrer Lieferkette. Nicht moralisch. Rechtlich. Bußgelder-auf-Ihrer-Bilanz rechtlich.
Die DSGVO verlangte schon immer Auftragsverarbeitungsverträge (AVV) mit Unterauftragsverarbeitern. NIS2 und DORA gehen weiter, und beide gelten inzwischen. Sie fordern formale Risikobewertungen der Sicherheitspraktiken Ihrer Lieferanten, vertragliche Sicherheitsanforderungen und laufendes Monitoring.
Die durchschnittliche Organisation nutzt über 130 SaaS-Tools. Jedes einzelne ist eine potenzielle Compliance-Haftung. Wie viele haben Sie tatsächlich geprüft?
Die ehrliche Antwort der meisten KMU: null.
Warum Drittanbieter-Risiko jetzt zählt
Das sind keine künftigen Fristen. Vier regulatorische Treiber sind in Kraft oder stehen unmittelbar bevor:
NIS2-Lieferkettenanforderungen. Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit Dezember 2025 ohne Übergangsfrist in Kraft. Artikel 21 schreibt Lieferkettensicherheit für alle betroffenen Einrichtungen vor, und das überarbeitete BSI-Gesetz wird konkret: Sie müssen sichere Lieferanten auswählen, Cybersicherheit vertraglich verankern und die Einhaltung prüfen.
Rund 29.500 Organisationen sind in Deutschland nun betroffen, gegenüber etwa 4.500 unter der alten NIS-Richtlinie. Jede einzelne muss diese Anforderungen in ihre Lieferkette kaskadieren.
DSGVO-Unterauftragsverarbeiterpflichten. Wenn Sie personenbezogene Daten mit einem Anbieter teilen, brauchen Sie einen AVV nach Artikel 28. Wenn der Anbieter eine Datenpanne hat, verschwindet Ihre Meldepflicht nicht.
DORA-Drittanbieter-IKT-Risiko. DORA gilt seit dem 17. Januar 2025. Für Banken, Versicherer, Zahlungsinstitute und die IKT-Anbieter, die sie bedienen, verlangt DORA detailliertes Drittanbieter-Risikomanagement: ein Register jedes IKT-Vertrags, Konzentrationsrisikobewertungen, Exit-Strategien, vertragliche Resilienzanforderungen.
Der Cyber Resilience Act. Der CRA verlagert Sicherheitspflichten auf die Produkte, die Sie einkaufen. Ab dem 11. September 2026 müssen Hersteller von Produkten mit digitalen Elementen aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle melden, die volle Konformität (Konformitätsbewertung, CE-Kennzeichnung) ist bis 11. Dezember 2027 fällig. Wenn Ihre Lieferanten Software, Firmware oder vernetzte Hardware in die EU liefern, ändert der CRA, was Sie von ihnen verlangen können.
Das Lieferanten-Bewertungsframework
Nicht jeder Lieferant braucht die gleiche Prüftiefe. Stufen Sie nach Datenzugang und Kritikalität ein.
Stufe 1: Kritische Lieferanten (vollständige Bewertung)
Lieferanten, die sensible personenbezogene Daten verarbeiten, Zugang zu Ihren Produktionssystemen haben oder deren Ausfall Ihren Betrieb stören würde.
Für diese brauchen Sie: Sicherheitsfragebogen oder Audit-Bericht (SOC 2 Type II, ISO 27001 oder gleichwertig), AVV-Prüfung und -Abschluss, Penetrationstest-Ergebnisse, Incident-Response-Verfahren, Business-Continuity-Pläne, Datenresidenz- und Unterauftragsverarbeiterdokumentation.
Stufe 2: Bedeutende Lieferanten (Standardbewertung)
Lieferanten, die einige personenbezogene Daten verarbeiten, aber nicht betriebskritisch sind.
Für diese: Sicherheitsfragebogen, AVV-Abschluss, grundlegende Zertifizierungsprüfung, Unterauftragsverarbeiterliste.
Stufe 3: Geringfügige Lieferanten (leichte Bewertung)
Lieferanten mit minimalem Datenzugang. Design-Tools, Dokumentationsplattformen, interne Kommunikationstools.
Für diese: AVV-Verfügbarkeit bestätigen, Sicherheitsseite auf Zertifizierungen prüfen, Datenschutzerklärung lesen.
Warnsignale, die eine Beschaffung stoppen sollten
Kein AVV verfügbar. Wenn ein Lieferant, der personenbezogene Daten verarbeitet, keinen Auftragsverarbeitungsvertrag bereitstellen kann, Finger weg.
Keine Information zur Datenresidenz. “Wir nutzen AWS” reicht nicht. Welche Region? Wie sieht die Unterauftragsverarbeiterkette aus?
Keine Breach-Benachrichtigungsverpflichtung. Ihr AVV sollte eine Meldefrist enthalten (idealerweise 24-48 Stunden).
Kein SOC 2, ISO 27001 oder Gleichwertiges. Für Stufe-1-Lieferanten ist eine unabhängige Sicherheitsbewertung unverzichtbar.
Kein Schwachstellenmanagement bei EU-Produkten. Ab dem 11. September 2026 verpflichtet der Cyber Resilience Act Hersteller von Produkten mit digitalen Elementen, aktiv ausgenutzte Schwachstellen und schwere Vorfälle zu melden. Ein Lieferant mit etabliertem Disclosure-Prozess und einer Software-Stückliste (SBOM) ist der Kurve voraus. Wer bei der Frage mit den Schultern zuckt, ist ein Risiko.
Ausschließlich US-Datenspeicherung für EU-Daten. Nicht automatisch disqualifizierend (das EU-US Data Privacy Framework existiert), aber es erhöht die Komplexität. Für sensible Daten ist EU-Residenz einfacher. Siehe unseren Datenresidenz-Leitfaden.
Vertragliche Sicherheitsanforderungen
Ihre Lieferantenverträge (oder AVVs) sollten mindestens enthalten:
Datenverarbeitung nur für dokumentierte Zwecke. Sicherheitsmaßnahmen angemessen zum Risikoniveau. Breach-Benachrichtigung innerhalb einer definierten Frist.
Auditrecht (oder Akzeptanz unabhängiger Audit-Berichte). Unterauftragsverarbeiter-Benachrichtigung und Genehmigungsrechte. Datenrückgabe und Löschung bei Vertragsende.
Laufendes Monitoring
Bewertung ist kein einmaliges Ereignis. Lieferanten ändern sich. Ihre Sicherheitslage ändert sich. Ihre Eigentümerstruktur ändert sich.
Stufe-1-Lieferanten jährlich überprüfen. Aktualisierte SOC-2-Berichte anfordern. Auf Breach-Meldungen überwachen.
Stufe-2-Lieferanten alle zwei Jahre oder bei wesentlichen Änderungen.
Für den breiteren Regulierungsrahmen siehe unseren Pillar-Guide zur EU-Compliance für Softwareteams. Der NIS2-Compliance-Leitfaden behandelt die Lieferkettensicherheitsanforderungen im Detail. Und für die Bewertung, wo Lieferanten Daten speichern: unser Datenresidenz-Leitfaden.
Brauchen Sie Hilfe bei der Bewertung Ihres Lieferantenrisikos? Lassen Sie uns Ihre Lieferkette gemeinsam prüfen. Wir helfen Teams, praktische Drittanbieter-Risikoprozesse aufzubauen, die NIS2 und DSGVO erfüllen.