Supply Chain Security ist die systematische Absicherung von Lieferanten, Dienstleistern, Software-Komponenten und Beschaffungsprozessen, damit Schwachstellen oder Angriffe in der Lieferkette nicht auf das eigene Unternehmen durchschlagen. Für NIS2-betroffene Unternehmen bedeutet Supply Chain Security, dass sie Drittparteirisiken nicht nur technisch, sondern auch vertraglich, organisatorisch und dokumentiert beherrschen müssen.
Was ist Supply Chain Security?
Supply Chain Security beschreibt die Cybersicherheit entlang der gesamten digitalen Lieferkette. Gemeint sind nicht nur klassische Zulieferer, sondern auch Cloud-Anbieter, Managed Service Provider, Open-Source-Bibliotheken, externe Entwickler, Hardware-Lieferanten und andere Dritte, von denen Betrieb, Updates oder Datenflüsse abhängen. Sobald ein Unternehmen fremde Komponenten oder Dienste nutzt, entstehen Abhängigkeiten, die zur Eintrittsstelle für Angriffe werden können.
Praktisch geht es deshalb um vier Fragen: Welche externen Abhängigkeiten sind kritisch? Welche Sicherheitsanforderungen gelten für diese Anbieter? Wie werden Nachweise, Audits und Vorfälle gehandhabt? Und wie schnell lässt sich erkennen, ob eine Schwachstelle in einem Zulieferprodukt das eigene Unternehmen betrifft? Genau an dieser Stelle hängen Themen wie SBOM, Risikoanalyse, Schwachstellenmanagement und Audit eng mit Risikomanagement, Cyber-Resilienz und Informationssicherheit zusammen.
Supply Chain Security ist damit mehr als Einkauf oder IT-Sicherheit. Einkauf, Rechtsabteilung, Informationssicherheit, Betrieb und Fachbereiche müssen gemeinsam festlegen, welche Mindeststandards für neue IKT-Beschaffungen gelten, welche Kontrollrechte vertraglich vereinbart werden und welche Lieferanten als geschäftskritisch eingestuft sind.
Warum ist Supply Chain Security für NIS2 relevant?
Supply Chain Security ist ein Kernthema der NIS2-Richtlinie. Art. 21 Abs. 2 lit. d der Richtlinie (EU) 2022/2555 nennt ausdrücklich die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern. NIS2 verlangt also nicht nur Firewall, Backup und Incident Response, sondern auch belastbare Steuerung externer Abhängigkeiten. Einen Überblick zum deutschen Rahmen finden Sie im NIS2-Hub.
Für die deutsche Umsetzung ist derselbe Gedanke im BSIG verankert. § 30 Abs. 2 Nr. 4 BSIG ordnet die Sicherheit der Lieferkette als Bestandteil des Risikomanagements ein. Für betroffene Unternehmen heißt das praktisch: Kritische Dienstleister müssen identifiziert, Sicherheitsanforderungen vertraglich festgelegt, Nachweise regelmäßig eingeholt und Eskalationswege für Vorfälle vorab definiert werden.
Die ENISA-Leitlinien zur Lieferkettensicherheit konkretisieren diese Logik. Sie empfehlen unter anderem Lieferantenklassifizierung, Mindestanforderungen in Verträgen, technische Integritätsprüfungen, Nachweisprozesse und eine laufende Überwachung von Drittparteirisiken. Für Unternehmen ist das besonders wichtig, weil moderne Angriffe oft nicht direkt beim Ziel beginnen, sondern über Wartungszugänge, Update-Mechanismen oder kompromittierte Software-Bausteine.
Welche Maßnahmen gehören dazu?
Supply Chain Security wird in der Praxis an wenigen, klaren Maßnahmen sichtbar. Erstens braucht es eine risikobasierte Inventarisierung aller kritischen Anbieter und Komponenten. Zweitens müssen Sicherheitsanforderungen in Ausschreibungen, Verträgen und Due-Diligence-Prozessen fest verankert sein. Drittens sollten Nachweise wie Penetration-Tests, Zertifikate, Incident-Meldepflichten, Support-Zusagen und Subunternehmertransparenz eingefordert werden. Viertens müssen Unternehmen im Ernstfall schnell erkennen können, ob sie von einer Schwachstelle in der Lieferkette betroffen sind.
Eine SBOM ist dafür oft der pragmatischste Baustein. Sie zeigt, welche Bibliotheken, Pakete und Abhängigkeiten in einer Software enthalten sind. Wenn eine kritische Sicherheitslücke veröffentlicht wird, können Unternehmen mit einer sauberen Komponentenübersicht deutlich schneller prüfen, ob eigene Systeme betroffen sind und welche Priorität Patches oder Gegenmaßnahmen haben. Im Produktkontext ist das eng mit dem CRA verbunden, weil dort sichere Entwicklung, Update-Prozesse und Schwachstellenmanagement ausdrücklich regulatorisch aufgewertet werden.
Praxisbeispiel für ein deutsches Unternehmen
Ein deutsches Maschinenbauunternehmen nutzt für Fernwartung, ERP-Anbindung und Produktionsplanung mehrere externe Software- und Cloud-Dienste. Ein Dienstleister spielt ein kompromittiertes Update ein oder wird selbst Opfer eines Angriffs. Ohne Supply Chain Security merkt das Unternehmen zu spät, dass sich der Vorfall über die Lieferkette auf Produktionssysteme, Benutzerkonten oder sensible Konstruktionsdaten auswirkt.
Mit belastbarer Supply Chain Security sieht die Lage anders aus. Das Unternehmen hat kritische Lieferanten vorab klassifiziert, Sicherheitsklauseln zu Meldewegen und Audit-Rechten vereinbart, die eingesetzten Komponenten dokumentiert und klare Eskalationspfade definiert. Wenn ein Vorfall wie bei SolarWinds oder Kaseya öffentlich wird, kann es zügig prüfen, ob eigene Systeme betroffen sind, welche Zugänge isoliert werden müssen und welche Kunden oder Behörden einzubeziehen sind.
Genau darin liegt der Unterschied zwischen formaler Compliance und wirksamer Resilienz. Supply Chain Security hilft nicht nur bei NIS2-Audits, sondern verkürzt Reaktionszeiten, verbessert Beschaffungsentscheidungen und reduziert Blindstellen in komplexen IT- und OT-Umgebungen.
Häufige Fragen zu Supply Chain Security
Was ist Supply Chain Security?
Supply Chain Security ist die Absicherung von Lieferanten, Software-Bausteinen, Dienstleistern und Beschaffungsprozessen gegen Cyberrisiken. Ziel ist, dass Schwachstellen, Manipulationen oder Ausfälle bei Dritten nicht unkontrolliert auf das eigene Unternehmen übergehen.
Warum ist Supply Chain Security für NIS2 wichtig?
Supply Chain Security ist für NIS2 wichtig, weil Art. 21 Abs. 2 lit. d ausdrücklich die Sicherheit der Lieferkette und die sicherheitsbezogenen Beziehungen zu unmittelbaren Anbietern verlangt. Betroffene Unternehmen müssen Drittparteirisiken daher bewerten, vertraglich absichern und regelmäßig überprüfen.
Wenn Sie Lieferkettensicherheit, Rollen und Nachweise für Ihr Unternehmen strukturiert aufbauen wollen, ist die NIS2-Schulung der passende nächste Schritt.