Skip to main content

NIS 2 – wie gehen Ihre Partner damit um?

1. April 2026
|In blog.
|By esc

NIS 2 – wie gehen Ihre Partner damit um?

Warum Cybersicherheit in der Zusammenarbeit mit Lieferanten heute wichtiger ist als je zuvor

Die Anforderungen der NIS2Richtlinie treffen nicht nur Ihr eigenes Unternehmen – sie wirken entlang der gesamten Lieferkette. Jede Schnittstelle zu Lieferanten, Dienstleistern oder technischen Partnern kann zu einem Risiko werden, wenn Cybersicherheitsmaßnahmen nicht aufeinander abgestimmt sind. Genau das erleben wir in der Praxis immer wieder: unterschiedliche Reifegrade, fehlende Zertifizierungen und uneinheitliche Standards schaffen Lücken, die Angreifern ideale Angriffspunkte bieten.
Dieser Beitrag zeigt, welche Gefahren entstehen können, warum harmonisierte Sicherheitsanforderungen so wichtig sind – und wie Unternehmen gemeinsam Lösungen schaffen. 

Gemeinsame Cyberrisiken in vernetzten Lieferketten 

Unternehmen arbeiten heute mit einer Vielzahl externer Partner zusammen:
Rechenzentren, Cloud-Anbieter, Softwarelieferanten, Wartungsfirmen oder Service
Provider. Diese Partner verarbeiten Daten, greifen auf Systeme zu oder betreiben
eigene Infrastrukturen.
Dabei gilt ein einfacher Grundsatz: Cybersicherheit ist nur so stark wie das schwächste
Glied.
In unserer Beratungspraxis sehen wir immer wieder typische Risiken an diesen
Schnittstellen, die in der Zusammenarbeit häufig nicht ausreichend abgestimmt sind:
  • Unsichere Systemzugänge von externen Dienstleistern (z. B. RemoteWartung)
  • Unklare Patch- und Update-Prozesse, die bei Partnern deutlich verzögert erfolgen
  • Unterschiedliche Authentifizierungsstandards (MFA vs. einfache Passwörter)
  • Unzureichend gesicherte Cloud- oder SaaSDienste ohne formale Zertifizierung
  • Fehlende Sensibilisierung der Mitarbeiter in den Partnerunternehmen
  • ShadowIT, wenn Partner Tools einsetzen, von denen Ihr Unternehmen nichts weiß
Selbst dann, wenn Ihre internen Sicherheitsmaßnahmen bereits auf hohem Niveau
sind, können solche Schwachstellen diese Schutzmechanismen aushebeln. Genau
deshalb lohnt sich der Blick auf die gesamte Lieferkette, nicht nur auf das eigene
Haus.

Unterschiedliche Reifegrade: Wenn Zertifikate den Unterschied machen 

Viele Organisationen verfügen über etablierte Standards wie beispielsweise: 
  • ISO/IEC 27001
  • BSI ITGrundschutz
  • TISAX
  • NIS2-konformes ISMS
Diese Unternehmen arbeiten meist strukturiert, planvoll, auditierbar und mit klaren Rollenmodellen. 
Doch wie sieht die Realität aus?
Bei vielen kleineren oder weniger regulierten Partnern gibt es lediglich Basismaßnahmen, die oft auch nicht den Stand der Technik abbilden:
  • Standard Firewall und Virenschutz ohne Überwachung  
  • Spontan gewachsene ITStrukturen ohne nachvollziehbare Architektur 
  • IncidentProzesse die weder systematisch verlaufen noch klare Verantwortlichkeiten festgelegt haben 
  • Unvollständige oder stark individualisierte Dokumentation  
Das eigentliche Risiko entsteht dann, wenn Unternehmen aus pragmatischen Gründen
ihre eigenen hohen Standards absenken, um die Zusammenarbeit möglich zu machen.
Genau an dieser Stelle entstehen Compliance-Risiken und potenzielle Haftungsfragen
im Kontext von NIS-2. Denn ein Vorfall beim Lieferanten bleibt selten beim Lieferanten.
Er wird schnell zum Problem für Ihr eigenes Unternehmen.

Warum gegenseitige Vereinbarungen unverzichtbar sind

Damit die Sicherheit in der Lieferkette gewährleistet ist, brauchen Unternehmen klar definierte, gemeinsam akzeptierte Regeln.
Aus unserer Erfahrung heraus empfehlen wir vertragliche Regelungen zu treffen, die beiden Seiten als Orientierung zur Stärkung der eigenen Cyberresillienz dienen können: 
  • Mindest-Sicherheitsanforderungen festlegen 
  • Dokumentationspflichten für den Nachweis von Sicherheitsmaßnahmen 
  • Gemeinsame Vorgaben zu Identitäts- & Zugriffsmanagement 
  • Regeln für den Austausch von Informationen und Daten 
  • Meldepflichten für Sicherheitsvorfälle 
  • Verpflichtung zu regelmäßigen Audits 
  • Regeln für Remote Zugriffe und gemeinsame Systeme 
Wichtig ist dabei die Haltung: Gegenseitige Kontrollen sind kein Ausdruck von Misstrauen. Sie schaffen Klarheit, schützen beide Seiten und sorgen dafür, dass im Ernstfall nicht erst Zuständigkeiten und Erwartungen geklärt werden müssen.
Audits verstehen wir deshalb nicht als Sanktion, sondern als Instrument gemeinsamer Verbesserung.

Praktische Lösungen für eine sichere Zusammenarbeit

Wir unterstützen Unternehmen dabei, ihre Lieferkette so aufzustellen, dass Sicherheitsanforderungen nicht nur dokumentiert, sondern im Alltag auch wirklich gelebt werden.
 Gemeinsame Risikoanalysen durchführen 
Identifizieren Sie kritischer Schnittstellen und Systeme auf beiden Seiten. 
 Abgleich der Cybersicherheitsreife vornehmen 
Stellen Sie sich mit Ihrem Partner folgende Fragen: Wo steht der eigene Partner? Welche Lücken sind kritisch? Welche Maßnahmen sind realistisch? 
 Wir moderieren Workshops & Awareness-Programme  
Sensibilisieren Sie alle beteiligten Mitarbeiter bis zur Geschäftsleitung. 
 Wir unterstützen bei der Einführung struktureller Sicherheitsmaßnahmen 
Wir begleiten die Einführung oder Aufrechterhaltung von Managementsystemen (ISO 27001, TISAX, BSI-Grundschutz etc.) und erstellen mit Ihnen Policies, Rollenmodelle, Passwort- und Berechtigungskonzepte. 
 Lieferantenaudits planen und umsetzen 
Gemeinsam mit Ihrem Personal helfen wir bei der regelmäßigen Planung, vereinbaren Termine und sorgen für Transparenz der Ergebnisse. Damit Lieferantenaudits nicht als Kontrolle, sondern als gemeinsame Qualitätsmaßnahme erlebt werden

Wie wir Sie darüber hinaus konkret unterstützen

Wir unterstützen Unternehmen entlang der gesamten Sicherheitskette, insbesondere dort, wo NIS2 klare Pflichten definiert. 
Unsere Angebote für Ihre NIS2Konformität und sichere Lieferketten: 
  1. Ausbildung interner Auditoren
  • Praxisnahe Schulung interner Auditoren nach ISO 19011  
  • Ausbau der Methodenkompetenz für Informationssicherheits- und andere Beauftragte 
  • Wir entwickeln Umsetzungswissen speziell für Lieferantenaudits 
  1. Schulungen aller Mitarbeiterebenen
  • Individuelle Awareness für unterschiedliche Fachbereiche 
  • Spezielle Trainings für Führungskräfte und Geschäftsleitung (NIS2Pflicht!) 
  • Rollenbezogene Schulungen für IT, Einkauf und Vertrieb 
  1. Unterstützung bei Lieferantenaudits
  • Mitarbeite bei der Auditplanung und Risikobewertung 
  • Erstellung von Auditprogrammen und Fragenkatalogen 
  • Durchführung von Audits gemeinsam oder vollständig delegiert 
  • Bewertung des Reifegrades und Maßnahmenpläne 
  1. Harmonisierung der Sicherheitsanforderungen
  • Erstellung von Mindeststandards 
  • Entwicklung von Lieferantenrichtlinien 
  • Definition von Sicherheitsanhängen für Verträge (z.B. SLA, NDA, AVV) 
  1. Begleitung bei der Umsetzung
  • Einführung und Aufrechterhaltung eines Informationssicherheitsmanagementsystems 
  • Aufbau eines durchgängigen Lieferketten-Sicherheitsmanagements 
  • Coaching von Verantwortlichen im Tagesgeschäft 
Die NIS-2-Richtlinie macht deutlich: Cybersicherheit endet nicht an der Grenze Ihres Unternehmens.
Sichere Lieferketten entstehen dort, wo Unternehmen und ihre Partner Verantwortung gemeinsam tragen. Mit klaren Vereinbarungen, nachvollziehbaren Standards, regelmäßigen Audits und einem praxistauglichen Vorgehen schaffen Sie die Grundlage für mehr Sicherheit, mehr Resilienz und mehr Handlungsfähigkeit. Wir unterstützen Sie dabei, Ihre Partner systematisch einzubinden, Risiken frühzeitig zu erkennen und Sicherheitsanforderungen so umzusetzen, dass sie im Alltag funktionieren.

Aus Gründen der besseren Lesbarkeit wird in den Texten auf die Verwendung geschlechtergerechter Sprachformen verzichtet und das generische Maskulinum verwendet.
Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

© Copyright 2024
evolving systems consulting GmbH

ISO Logo
Allianz Cyber