NIS2 Lieferkettensicherheit
Letzte Aktualisierung: 24. März 2026
NIS2 Art. 21(2)(d) verpflichtet betroffene Unternehmen zur Absicherung ihrer Lieferkette — einschließlich Risikobewertung von Zulieferern, vertraglicher Sicherheitsanforderungen und regelmäßiger Überprüfung. Als Maßnahme 4 von 10 in Art. 21 Abs. 2 betrifft das nicht nur direkt regulierte Einrichtungen, sondern in Deutschland voraussichtlich rund 30.000 Unternehmen und mittelbar deren Zulieferer; bei schwerwiegenden Verstößen drohen je nach Einstufung Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes.
NIS2 Lieferkettensicherheit bedeutet praktisch: Ihr Unternehmen muss kritische Drittparteien erkennen, ihr Risiko nachvollziehbar bewerten, Mindeststandards vertraglich absichern und laufend kontrollieren, ob die ausgelagerten Leistungen Ihre eigene Resilienz gefährden. Wer zuerst den regulatorischen Gesamtzusammenhang einordnen will, sollte ergänzend den Vergleich CRA vs. NIS2, den Überblick CRA + NIS2 + AI Act und den Glossarbegriff Informationssicherheit lesen.
Die wichtigste Management-Botschaft lautet: NIS2 macht Lieferketten-Sicherheit nicht zu einer reinen Einkaufsfrage, sondern zu einem Governance-Thema für Geschäftsleitung, IT, Informationssicherheit, Legal und Betrieb. Wenn ein Cloud-Dienst, MSP, Softwarelieferant oder OT-Dienstleister ausfällt, betrifft das nicht nur SLA und Einkaufskosten, sondern Verfügbarkeit, Integrität und Meldefähigkeit Ihrer eigenen Netze und Informationssysteme.
Was NIS2 unter Lieferkettensicherheit konkret verlangt
NIS2 verlangt keine abstrakte „Lieferanten-Sorgfalt“, sondern konkrete Sicherheitsmaßnahmen entlang der Beziehungen zu direkten Lieferanten und Dienstleistern. Art. 21 Abs. 2 Buchst. d der Richtlinie (EU) 2022/2555 nennt ausdrücklich die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte in den Beziehungen zwischen jeder Einrichtung und ihren direkten Lieferanten oder Diensteanbietern.
Für die Praxis folgt daraus erstens eine Pflicht zur strukturierten Lieferantenklassifizierung. Unternehmen müssen unterscheiden, welche Drittparteien nur Randdienste erbringen und welche Anbieter geschäftskritische Systeme, OT-Zugänge, Identitätsdienste, Cloud-Plattformen, Software-Updates oder sensible Datenverarbeitungen verantworten. Ohne diese Kritikalitätslogik bleibt jede Lieferantenbewertung oberflächlich.
Für die Praxis folgt daraus zweitens eine Pflicht zur individuellen Risikobewertung. NIS2 verlangt keine Einheitsfragebögen für alle Anbieter, sondern risikobasierte Maßnahmen. Ein Reinigungsdienst und ein Managed-SOC-Anbieter dürfen deshalb nicht mit derselben Prüftiefe behandelt werden. Bei kritischen Dienstleistern müssen Sie tiefer prüfen: technische Schutzmaßnahmen, Incident-Prozesse, Subunternehmer, Standort der Datenverarbeitung, Wiederanlaufzeiten und Nachweisdokumente.
Für die Praxis folgt daraus drittens eine Pflicht zur organisatorischen Steuerung. Lieferketten-Sicherheit endet nicht mit einer Due-Diligence vor Vertragsabschluss. Sie verlangt laufendes Monitoring, Eskalationswege, Vertragsnachträge bei geänderten Risiken und einen Prozess, der Sicherheitsvorfälle von Drittparteien in Ihre eigene Incident- und Meldeorganisation überführt. Wie solche Meldewege grundsätzlich funktionieren, erläutert auch unser Glossareintrag zur Meldepflicht.
Warum Maßnahme 4 für den Mittelstand besonders kritisch ist
NIS2 Lieferkettensicherheit wirkt im Mittelstand vor allem über Kaskadeneffekte. Große regulierte Unternehmen geben ihre Pflichten an Softwarehäuser, Integratoren, Rechenzentrumsdienstleister, OT-Wartungspartner und spezialisierte Zulieferer weiter. Dadurch geraten auch Unternehmen unter Druck, die selbst nicht eindeutig unter NIS2 fallen, aber kritische Leistungen für regulierte Kunden erbringen.
Der entscheidende Punkt ist: Ihr Kunde fragt nicht, ob Sie formal im Gesetz genannt sind, sondern ob Ihr Ausfall, Ihre Schwachstelle oder Ihr Incident dessen Betriebsfähigkeit beeinträchtigen kann. Sobald die Antwort „ja“ lautet, werden NIS2-nahe Sicherheitsfragen vertraglich und operativ zum Beschaffungskriterium. Das erklärt, warum Lieferantenfragebögen, Audit-Anfragen und Security-Schedules seit 2025 und 2026 deutlich zunehmen.
Besonders betroffen sind IT-Dienstleister, MSPs, Cloud- und SaaS-Anbieter, OT-Servicepartner, Softwareentwickler mit Fernzugriff, Hersteller digitaler Komponenten und Beratungen mit privilegierten Systemzugängen. In all diesen Fällen besteht nicht nur ein Datenschutz- oder Vertraulichkeitsrisiko, sondern auch ein Risiko für Verfügbarkeit und Integrität. Genau an dieser Stelle überschneidet sich Lieferketten-Sicherheit mit Cyber-Resilienz und technischem Schwachstellenmanagement.
Mittelständische Unternehmen unterschätzen außerdem häufig die Haftungslogik. NIS2 sagt sinngemäß nicht: „Der Lieferant ist schuld, also ist das Thema erledigt.“ NIS2 fragt vielmehr: „Haben Sie als regulierte Einrichtung Ihre Lieferkette angemessen ausgewählt, vertraglich gesteuert, überwacht und in Ihr Risikomanagement eingebunden?“ Diese Perspektive macht Lieferantenmanagement zu einer Führungsaufgabe.
Welche Lieferanten Sie vorrangig prüfen sollten
Nicht jeder Zulieferer ist für NIS2 gleich kritisch. Der richtige Ansatz ist eine Priorisierung nach Auswirkungsrisiko. Unternehmen sollten zuerst alle Drittparteien identifizieren, deren Ausfall, Kompromittierung oder Fehlkonfiguration erhebliche Folgen für Betrieb, Meldepflichten oder Wiederanlauf hätte.
Besonders kritisch sind in der Regel diese Lieferantengruppen:
| Lieferantentyp | Warum NIS2 hier besonders relevant ist | Typische Nachweise |
|---|---|---|
| Cloud- und Hosting-Anbieter | Sie tragen Verfügbarkeit, Datenstandorte, Backup- und Zugriffsmodelle | Zertifikate, Audit-Reports, Incident-Prozess, Subunternehmerliste |
| Managed Service Provider / MSSP | Sie haben oft privilegierten Zugriff auf Systeme und Sicherheitswerkzeuge | Rollenmodell, Logging, Admin-Schutz, Notfallprozess |
| Software- und SaaS-Anbieter | Sie liefern Updates, APIs und teils geschäftskritische Kernfunktionen | Secure-Development-Nachweise, Patch-Prozess, SBOM, Pen-Test-Berichte |
| OT- und Fernwartungsdienstleister | Sie können Produktions- oder Infrastruktursysteme direkt beeinflussen | Fernzugriffsregeln, Segmentierung, MFA, Wartungsfenster |
| Identitäts- und Kommunikationsdienste | Ein Ausfall legt oft weite Teile des Betriebs lahm | Verfügbarkeitskonzept, Backup-Authentisierung, Notfallkontakte |
Die erste Bewertungsfrage lautet nicht „Ist der Lieferant groß oder bekannt?“, sondern „Welche Folgen hätte ein Sicherheitsvorfall dieses Lieferanten für unsere kritischen Prozesse?“ Ein kleiner Spezialanbieter mit VPN-Zugang in Ihre Produktionsumgebung kann riskanter sein als ein globaler Dienstleister ohne privilegierten Zugriff.
Die zweite Bewertungsfrage lautet „Welche Abhängigkeit entsteht?“ Je geringer Ihre Wechselmöglichkeit, desto höher das Lieferkettenrisiko. Single-Vendor-Abhängigkeiten, proprietäre Integrationen, fehlende Exit-Pläne und mangelnde Datenportabilität erhöhen die operative und regulatorische Verwundbarkeit deutlich. Wer diese Strukturfragen früh erkennt, verbessert nicht nur Compliance, sondern auch Resilienz.
Die dritte Bewertungsfrage lautet „Wie tief reicht die Kette?“ NIS2 adressiert ausdrücklich direkte Lieferanten; in der Praxis müssen Sie aber auch deren Subunternehmer im Blick behalten, wenn diese kritische Leistungen erbringen. Das heißt nicht, dass Sie jedes Tier-3-Unternehmen selbst auditieren müssen. Es heißt aber, dass Ihr Vertrag mit dem direkten Lieferanten Mindestanforderungen an dessen eigene Unterauftragskette enthalten sollte.
Welche Vertragsanforderungen NIS2 in der Lieferkette praktisch erzwingt
NIS2 Lieferkettensicherheit wird erst durch belastbare Verträge wirksam. Ohne klare Vertragsklauseln bleiben Sicherheitsfragebögen und Auswahlgespräche unverbindlich. Die Durchführungsverordnung (EU) 2024/2690 konkretisiert für bestimmte Einrichtungen, dass vertragliche Beziehungen Cybersicherheitsanforderungen, Überprüfungsmöglichkeiten und Subunternehmer-Aspekte abdecken müssen. Daraus lässt sich für viele Unternehmen ein belastbarer Mindeststandard ableiten.
Die wichtigste Klausel ist eine Incident-Notification-Pflicht. Kritische Lieferanten müssen Sicherheitsvorfälle, die Ihre Dienste beeinträchtigen können, sehr früh melden. Praktisch braucht es definierte Eskalationswege, Ansprechpartner, Meldeinhalte und Fristen, die zu Ihren eigenen NIS2-Prozessen passen. Wenn Ihr Dienstleister erst nach drei Tagen reagiert, können Sie Ihre eigenen 24- und 72-Stunden-Pflichten kaum einhalten.
Die zweitwichtigste Klausel ist ein Audit- und Auskunftsrecht. Unternehmen brauchen nicht zwingend jederzeit ein Vor-Ort-Audit, aber sie brauchen einen vertraglichen Anspruch auf Sicherheitsnachweise, Audit-Reports, Penetrationstest-Zusammenfassungen, Zertifikate, Remediation-Status und Informationen zu wesentlichen Änderungen. Ohne diese Rechte bleibt das Lieferantenmonitoring von gutem Willen abhängig.
Die drittwichtigste Klausel betrifft Subunternehmer und Weitervergabe. Kritische Lieferanten sollten nur mit Zustimmung oder zumindest vorheriger Information wesentliche Unterauftragnehmer einsetzen dürfen. Zusätzlich sollten die Sicherheitsanforderungen an Subunternehmer weitergereicht werden, damit das Sicherheitsniveau nicht auf der zweiten Ebene der Kette zusammenbricht.
Die vierte zentrale Klausel betrifft technische Mindeststandards. Verträge sollten Vorgaben zu MFA, Protokollierung, Patch-Management, Schwachstellenmanagement, Zugriffsschutz, Backup, Wiederanlauf, Datenverschlüsselung, Rollen- und Berechtigungskonzepten sowie sicheren Fernzugriffen enthalten. Welche Standards konkret passen, hängt vom Dienst ab; entscheidend ist, dass sie nicht nur allgemein „angemessene Sicherheit“ versprechen.
Die fünfte zentrale Klausel betrifft Exit und Continuity. NIS2 denkt Resilienz mit, deshalb muss ein Unternehmen auch das Ende einer Lieferantenbeziehung beherrschen. Verträge sollten regeln, wie Daten exportiert werden, wie Zugänge entzogen werden, wie Schlüssel und Backups behandelt werden und welche Unterstützung beim Anbieterwechsel oder beim Notbetrieb geschuldet ist.
Welche Rolle SBOMs und technische Transparenz spielen
SBOMs sind unter NIS2 nicht pauschal für jede Lieferbeziehung gesetzlich vorgeschrieben, aber sie sind für viele Software- und Plattformrisiken das praktisch beste Transparenzinstrument. Eine Software Bill of Materials zeigt, aus welchen Komponenten eine Anwendung oder ein Produkt besteht und welche Abhängigkeiten in der Lieferkette verborgen sind. Genau diese Transparenz brauchen Unternehmen, wenn kritische Schwachstellen in Bibliotheken, Containern oder Embedded-Komponenten auftreten.
SBOMs sind vor allem dort sinnvoll, wo Softwarelieferanten Kernsysteme, vernetzte Geräte, OT-nahe Anwendungen oder sicherheitskritische Integrationen liefern. Wenn Sie nicht nachvollziehen können, welche Drittkomponenten in Ihrem Produktivbetrieb stecken, erkennen Sie Kaskadeneffekte zu spät. Für die technische Einordnung lohnt ergänzend unser Beitrag zur CRA SBOM-Pflicht.
Technische Transparenz umfasst aber mehr als SBOMs. NIS2-nahe Lieferkettensteuerung profitiert auch von Architekturübersichten, Datenflussdiagrammen, Penetrationstest-Ergebnissen, Notfallkonzepten, Patch-Zyklen, Support-Enddaten und Informationen zu Fernwartungszugängen. Je kritischer der Dienst, desto weniger reicht ein Marketing-Whitepaper als Nachweis.
Wichtig ist die saubere Abgrenzung: Eine SBOM ersetzt keine organisatorische Lieferantenbewertung, und eine Lieferantenbewertung ersetzt keine technische Transparenz. Reife Unternehmen kombinieren beides. Sie bewerten also nicht nur, ob ein Anbieter „Sicherheit ernst nimmt“, sondern fordern konkrete Artefakte, die im Incident-Fall schnelle Entscheidungen ermöglichen.
So bauen Sie ein belastbares Third-Party Risk Management für NIS2 auf
Ein wirksames Third-Party Risk Management beginnt mit einem vollständigen Lieferanteninventar. Unternehmen sollten nicht nur Verträge aus dem Einkauf betrachten, sondern alle externen Parteien mit Systemzugriff, Datenverarbeitung, Fernwartung, Softwarelieferung oder kritischen Betriebsfunktionen erfassen. Erst wenn diese Transparenz vorliegt, lässt sich NIS2 Lieferkettensicherheit ernsthaft steuern.
Ein wirksames Third-Party Risk Management braucht danach ein klares Bewertungsmodell. Bewährt hat sich eine Einteilung in niedrig, mittel und hoch kritisch anhand von Kriterien wie Systemzugriff, Datenbezug, Betriebsrelevanz, Wiederanlaufabhängigkeit, Ausweichmöglichkeit, regulatorischer Relevanz und Subunternehmer-Tiefe. Ohne ein solches Modell eskalieren Teams entweder zu wenig oder prüfen alles gleich intensiv und damit ineffizient.
Ein wirksames Third-Party Risk Management verlangt außerdem Eigentümer im Unternehmen. Einkauf allein reicht nicht, weil viele Risiken technisch oder prozessual sind. Kritische Lieferanten sollten deshalb mindestens durch Fachbereich, Informationssicherheit und gegebenenfalls Legal oder Datenschutz gemeinsam bewertet werden. Bei OT- oder Produktionsnähe gehört auch der Betriebsverantwortliche an den Tisch.
Ein wirksames Third-Party Risk Management endet nicht bei der Erstbewertung. Unternehmen brauchen Trigger für Neubewertungen: Sicherheitsvorfälle, wesentliche Architekturänderungen, neue Unterauftragnehmer, größere Scope-Erweiterungen, Ablauf von Audit-Nachweisen oder verlängerte Supportzyklen. Genau hier scheitern viele Programme, weil nach dem Onboarding niemand mehr systematisch hinsieht.
Ein wirksames Third-Party Risk Management muss schließlich in Incident Response und Management-Reporting integriert sein. Wenn kritische Lieferanten Vorfälle melden, muss klar sein, wer die Auswirkung bewertet, wer interne Gegenmaßnahmen auslöst, wer Behördenmeldungen prüft und wie die Geschäftsleitung informiert wird. Lieferkettenrisiko ist deshalb untrennbar mit Compliance-Management-Systemen und Krisensteuerung verbunden.
Praktische Checkliste für NIS2 Lieferantenmanagement
Die folgende Tabelle verdichtet die wichtigsten Maßnahmen in ein umsetzbares Kontrollraster. Sie eignet sich als Startpunkt für Einkauf, Informationssicherheit und Management.
| Maßnahme | Mindestfrage | Praktischer Nachweis | Rhythmus |
|---|---|---|---|
| Risikobewertung | Ist der Lieferant für kritische Prozesse oder Systeme relevant? | Kritikalitätsklassifizierung, Risikoscore, Owner | Vor Vertragsabschluss, dann bei Änderungen |
| Vertragsanforderungen | Sind Incident-Meldung, Auditrechte und Flow-down-Klauseln geregelt? | Security Schedule, AVV/SLA, Vertragsanhang | Vor Beauftragung, bei Vertragsänderung |
| Monitoring | Liegen aktuelle Sicherheitsnachweise und Ansprechpartner vor? | Zertifikate, Audit-Reports, Kontaktliste, Review-Protokoll | Mindestens jährlich, bei kritischen Anbietern häufiger |
| Audit | Können Sie Nachweise anfordern und Findings nachverfolgen? | Auditrecht, Maßnahmenliste, Remediation-Plan | Risikobasiert |
| Komponenten-Transparenz | Kennen Sie kritische Software- und Dienstabhängigkeiten? | SBOM, Architekturübersicht, Datenflussdiagramm | Bei Releases, wesentlichen Änderungen |
| Continuity | Gibt es Exit-, Backup- und Notfallregelungen? | Exit-Plan, Backup-Test, Wiederanlaufkonzept | Jährlich testen |
Die Checkliste zeigt den Kernfehler vieler Unternehmen: Sie prüfen Lieferanten vor dem Start, vergessen aber das laufende Monitoring. NIS2 verlangt jedoch Resilienz im Betrieb, nicht nur Sorgfalt in der Auswahl. Ein Lieferant, der vor zwei Jahren sauber aussah, kann heute neue Subunternehmer, andere Datenflüsse oder Sicherheitsrückstände haben.
Die Checkliste hilft außerdem gegen blinden Formalismus. Nicht jedes Dokument ist automatisch ein guter Nachweis. Ein Zertifikat ohne Scope-Bezug, ein Penetrationstest ohne Remediation-Nachweis oder eine Sicherheitsrichtlinie ohne benannte Kontakte sind für kritische Lieferketten oft zu dünn. Entscheidend ist immer die Frage, ob der Nachweis das konkrete Risiko Ihres Einsatzes abbildet.
Wie oft Sie Lieferketten nach NIS2 überprüfen sollten
NIS2 schreibt keinen starren Turnus wie „einmal pro Jahr für alle“ vor. Die richtige Frequenz folgt aus dem Risiko. Kritische Lieferanten mit privilegiertem Zugriff, Produktionsbezug, Identitätsfunktionen oder hoher Ausfallwirkung sollten mindestens jährlich vollständig geprüft und bei wesentlichen Änderungen außerplanmäßig neu bewertet werden.
Weniger kritische Lieferanten können in längeren Zyklen überprüft werden, etwa alle zwei Jahre oder anlassbezogen. Entscheidend ist, dass Sie die Prüffrequenz begründen können. Eine dokumentierte risikobasierte Entscheidung ist regulatorisch belastbarer als ein pauschaler Kalender, der die tatsächliche Kritikalität ignoriert.
Zusätzliche Reviews sind immer dann notwendig, wenn Sicherheitsvorfälle auftreten, wenn Subunternehmer wechseln, wenn neue Regionen oder Datenstandorte hinzukommen, wenn der Leistungsumfang ausgeweitet wird oder wenn ein Anbieter wirtschaftlich oder organisatorisch instabil wirkt. Lieferketten-Sicherheit ist deshalb keine reine Jahresroutine, sondern Teil des laufenden Risikomanagements.
Häufige Fehler bei der Umsetzung von NIS2 Maßnahme 4
Der häufigste Fehler ist ein rein formales Fragebogenprogramm. Fragebögen sind nützlich, aber sie ersetzen keine kritische Bewertung. Wer jede Antwort unbesehen akzeptiert, baut nur Dokumentation, aber keine Sicherheit. Kritische Anbieter brauchen tiefergehende Nachweise und Rückfragen.
Der zweithäufigste Fehler ist eine unklare Rollenverteilung. Wenn Einkauf Verträge schließt, IT Risiken kennt, Informationssicherheit Reviews anstößt und niemand die Gesamtverantwortung trägt, entstehen Lücken. NIS2 Lieferkettensicherheit funktioniert nur mit klaren Zuständigkeiten und Eskalationswegen.
Der dritthäufigste Fehler ist fehlende Subunternehmer-Transparenz. Viele Unternehmen kennen ihren direkten SaaS- oder MSP-Anbieter, aber nicht dessen Hosting-, Support- oder Entwicklungsunterauftragnehmer. Genau dort entstehen jedoch oft die versteckten Kaskadeneffekte.
Der vierthäufigste Fehler ist die fehlende Verzahnung mit Incident Response. Wenn ein Lieferant einen Vorfall meldet, reicht es nicht, ein Ticket zu eröffnen. Unternehmen müssen sofort verstehen, welche Dienste betroffen sind, ob Meldepflichten ausgelöst werden und welche internen Notfallmaßnahmen greifen. Lieferkettenmanagement ohne Krisenlogik bleibt unvollständig.
Der fünfthäufigste Fehler ist das Fehlen eines Management-Blicks. Weil Lieferantenprüfung operativ wirkt, bleibt sie oft unterhalb der Geschäftsleitung hängen. NIS2 verlangt aber gerade, dass das Management Sicherheitsmaßnahmen billigt, überwacht und versteht. Kritische Drittparteirisiken gehören daher ins Management-Reporting.
FAQ zu NIS2 Lieferkettensicherheit
Was fordert NIS2 zur Lieferkettensicherheit?
NIS2 fordert ein risikobasiertes Sicherheitsprogramm für direkte Lieferanten und Dienstleister. Dazu gehören Klassifizierung, individuelle Bewertung, vertragliche Mindeststandards, laufendes Monitoring und die Integration von Drittparteivorfällen in das eigene Incident- und Meldewesen.
Müssen Zulieferer selbst NIS2-konform sein?
Nicht zwingend im formalen Sinne. Praktisch müssen viele Zulieferer aber NIS2-nahe Anforderungen erfüllen, weil ihre Kunden Sicherheitsnachweise, Incident-Meldungen, Auditrechte und Mindeststandards verlangen. Die Wirkung der Richtlinie reicht deshalb weit über den direkten Normadressatenkreis hinaus.
Welche Vertragsklauseln brauche ich für NIS2-Lieferketten?
Sie brauchen vor allem Incident-Notification-Klauseln, Audit- und Auskunftsrechte, Flow-down-Verpflichtungen für Subunternehmer, technische Mindestanforderungen, Regeln zu Business Continuity sowie Exit- und Datenrückgabemechanismen. Die konkrete Ausgestaltung hängt vom Dienst und dessen Kritikalität ab.
Wie oft muss die Lieferkette nach NIS2 überprüft werden?
Die Lieferkette muss risikobasiert überprüft werden. Kritische Anbieter sollten mindestens jährlich und zusätzlich anlassbezogen geprüft werden, etwa nach Sicherheitsvorfällen, Architekturänderungen oder beim Einsatz neuer Unterauftragnehmer.
Haftet mein Unternehmen für Sicherheitslücken bei Zulieferern?
Ihr Unternehmen bleibt jedenfalls für seine eigene Governance verantwortlich. Wenn ein Lieferant ausfällt oder kompromittiert wird, müssen Sie gegenüber Aufsicht, Kunden und Management darlegen können, dass Auswahl, Vertrag, Monitoring und Eskalation angemessen organisiert waren.
Fazit: Lieferkettensicherheit ist unter NIS2 ein Dauerprozess
NIS2 Lieferkettensicherheit ist keine Einzelmaßnahme, sondern ein dauerhaftes Steuerungsmodell für kritische Drittparteien. Art. 21 Abs. 2 Buchst. d verlangt im Kern vier Dinge: Risiken erkennen, Anforderungen vertraglich fixieren, Nachweise laufend prüfen und Vorfälle der Lieferkette in die eigene Resilienz- und Meldeorganisation einbinden.
Der sinnvollste nächste Schritt ist deshalb nicht der perfekte 200-Fragen-Katalog, sondern ein sauberes Startprogramm für Ihre kritischen Lieferanten. Identifizieren Sie zuerst die zehn bis zwanzig wichtigsten Drittparteien, klassifizieren Sie deren Risiko, ergänzen Sie fehlende Vertragsklauseln und definieren Sie einen Review-Zyklus. So wird aus NIS2 Maßnahme 4 ein handhabbarer Governance-Prozess statt eines reaktiven Audit-Problems.
Wenn Sie Geschäftsleitung, Einkauf, Informationssicherheit und Fachbereiche schnell auf einen gemeinsamen Mindeststandard für NIS2 bringen wollen, ist die EU AI Act Schulung der pragmatischste nächste Schritt. Für die strategische Einordnung helfen außerdem CRA vs. NIS2, CRA + NIS2 + AI Act und unser Glossarbegriff Cyber-Resilienz.