Cybersicherheit war lange ein Thema für die IT-Abteilung. Mit NIS2 verschiebt sich der Blick: Sicherheitsrisiken entstehen nicht mehr nur im eigenen Netzwerk, sondern bei Cloud-Anbietern, Software-Lieferanten, Wartungsfirmen, Rechenzentren und anderen Dienstleistern. Genau deshalb wird Cybersecurity zur Lieferkettenfrage.
Die EU-Richtlinie NIS2 soll ein höheres gemeinsames Cybersicherheitsniveau in Europa schaffen. Sie betrifft direkt vor allem bestimmte wichtige und besonders wichtige Einrichtungen. Indirekt reicht ihre Wirkung aber weiter. Wer für ein betroffenes Unternehmen arbeitet, kritische Dienste liefert oder Teil einer digitalen Wertschöpfungskette ist, wird häufiger nach Nachweisen, Prozessen und Sicherheitsstandards gefragt werden.
Was NIS2 grundsätzlich verändert
NIS2 ist keine einzelne Produktvorschrift und kein neues Passwortgesetz. Die Richtlinie verlangt von betroffenen Organisationen, Cyberrisiken systematischer zu managen. Dazu gehören technische und organisatorische Maßnahmen, Meldeprozesse für erhebliche Sicherheitsvorfälle, Lieferketten- und Dienstleisterrisiken, Business Continuity, Krisenmanagement und eine stärkere Verantwortung der Leitungsebene.
Das klingt nach Compliance, hat aber einen praktischen Kern. Moderne Unternehmen betreiben ihre IT selten allein. E-Mail, ERP, Backup, Fernwartung, Identitätsmanagement, Produktionsdaten, Kundenschnittstellen und Entwicklungsplattformen hängen an externen Services. Wenn dort etwas ausfällt oder kompromittiert wird, steht nicht nur ein einzelner Server still. Es kann eine ganze Lieferkette treffen.
Warum Lieferketten plötzlich Cyberrisiken tragen
Eine Lieferkette besteht heute nicht nur aus Rohstoffen, Bauteilen und Transportwegen. Sie besteht auch aus Datenflüssen, Schnittstellen, Software-Updates und Zugängen. Ein IT-Dienstleister hat möglicherweise Administrationsrechte. Ein SaaS-Anbieter verarbeitet sensible Kundendaten. Ein Produktionspartner hängt per VPN am Werk. Ein Software-Lieferant liefert Updates, die automatisch verteilt werden.
Genau an diesen Übergängen entstehen Risiken. Angreifer müssen nicht immer das Zielunternehmen direkt knacken. Manchmal reicht ein schwächer geschützter Dienstleister, ein schlecht abgesicherter Fernzugang oder ein kompromittiertes Update. NIS2 macht diese Abhängigkeiten sichtbarer, weil Organisationen Risiken in ihrer unmittelbaren Lieferkette nicht mehr nur als Einkaufsdetail behandeln können.
Direkte Pflicht und indirekter Druck sind nicht dasselbe
Wichtig ist die Unterscheidung: Nicht jedes kleine Unternehmen wird automatisch direkt NIS2-pflichtig. Die konkrete Betroffenheit hängt von Sektor, Größe, Rolle und nationaler Umsetzung ab. Trotzdem kann ein kleiner Dienstleister indirekt betroffen sein, wenn seine Kunden Nachweise verlangen. Ein Cloud-Integrator, ein Managed-Service-Provider oder ein spezialisierter Maschinenbauer kann plötzlich beantworten müssen, wie Schwachstellen gemeldet, Zugänge abgesichert und Vorfälle eskaliert werden.
Für viele Firmen wird NIS2 deshalb weniger als Amtsbrief beginnen, sondern als Fragebogen eines Kunden: Welche Sicherheitsmaßnahmen gibt es? Wer ist verantwortlich? Gibt es ein Incident-Response-Verfahren? Werden Backups getestet? Wie werden Unterauftragnehmer geprüft? Gibt es klare Regeln für Updates, Zugriffe und Protokollierung?
Managementverantwortung statt reiner IT-Aufgabe
Ein zentraler Punkt ist die Verantwortung der Leitungsebene. Cybersicherheit wird damit näher an Geschäftsführung, Risikomanagement und Einkauf gerückt. Das ist sinnvoll, denn viele Entscheidungen sind nicht rein technisch. Wer einen günstigen Dienstleister ohne ausreichende Nachweise auswählt, schafft ein Geschäftsrisiko. Wer keine Zeit für Notfallübungen einplant, nimmt längere Ausfälle in Kauf. Wer Identitätsmanagement spart, erhöht die Angriffsfläche.
Die technische Abteilung bleibt wichtig. Aber sie kann die Fragen nicht allein lösen. Verträge, Lieferantenauswahl, Versicherungen, Budget, Schulungen und Eskalationswege gehören genauso dazu. NIS2 zwingt Unternehmen damit, Cybersecurity als Organisationsaufgabe zu begreifen.
Welche Maßnahmen dauerhaft zählen
Viele sinnvolle Maßnahmen sind nicht spektakulär. Dazu gehören Mehrfaktor-Authentifizierung, rollenbasierte Zugriffe, Patch-Management, sichere Backups, Logging, Schwachstellenmanagement, Notfallpläne, klare Meldewege und regelmäßige Tests. Entscheidend ist weniger das einzelne Tool als die Nachvollziehbarkeit: Wer macht was, wann, warum und mit welchem Ergebnis?
Bei Lieferanten kommen weitere Fragen hinzu. Welche Mindestanforderungen stehen in Verträgen? Wie werden kritische Dienstleister bewertet? Gibt es Alternativen, wenn ein Provider ausfällt? Werden Subunternehmer transparent gemacht? Sind Schnittstellen dokumentiert? Kann ein kompromittierter Zugang schnell gesperrt werden? Solche Fragen wirken trocken, entscheiden im Ernstfall aber über Stunden oder Tage Ausfallzeit.
Praktisch heißt das auch: Einkauf und IT müssen enger zusammenarbeiten. Ein günstiger Vertrag ist wenig wert, wenn Sicherheitsanforderungen fehlen oder niemand weiß, wie ein Vorfall beim Dienstleister gemeldet wird. Ebenso reicht ein Zertifikat allein nicht aus, wenn es keine klare Zuordnung zu den tatsächlich genutzten Services gibt. Gute Lieferantensteuerung verbindet deshalb Vertragsklauseln, technische Kontrollen und regelmäßige Gespräche. Sie fragt nicht nur, ob ein Anbieter sicher ist, sondern welche Risiken aus der konkreten Nutzung entstehen und wer sie im Alltag kontrolliert.
Cloud macht die Sache nicht automatisch sicher
Cloud-Dienste können Sicherheit erhöhen, weil große Anbieter professionelle Teams, Redundanz und moderne Schutzmechanismen betreiben. Sie können aber auch neue Abhängigkeiten schaffen. Wenn Identitäten falsch konfiguriert sind, Daten unklar verteilt werden oder Adminrechte zu breit vergeben sind, hilft die beste Plattform wenig. Cloud-Sicherheit ist immer geteilte Verantwortung.
Für NIS2-relevante Organisationen heißt das: Cloud-Anbieter sind nicht nur Kostenstelle oder Innovationsbeschleuniger, sondern Teil des Risikoprofils. Verträge, Datenstandorte, Wiederanlaufzeiten, Protokolle, Rollenmodelle und Exit-Szenarien werden wichtiger. Das gilt besonders für Dienste, die Kernprozesse tragen.
Was mittelständische Unternehmen daraus lernen können
Auch wenn ein Unternehmen nicht direkt unter NIS2 fällt, lohnt sich ein pragmatischer Einstieg. Zuerst sollte klar sein, welche digitalen Dienste wirklich geschäftskritisch sind. Danach folgen die wichtigsten externen Abhängigkeiten: IT-Betrieb, Cloud, Software, Fernwartung, Zahlungsdienste, Logistikplattformen, Produktionspartner. Für diese Kette braucht es Ansprechpartner, Mindeststandards und Notfallwege.
Der zweite Schritt ist Dokumentation ohne Bürokratieballast. Ein aktuelles Asset-Verzeichnis, klare Zuständigkeiten, getestete Backups und definierte Meldeketten bringen oft mehr als ein dicker Ordner, den niemand nutzt. Der dritte Schritt ist Übung. Ein Incident-Plan ist nur so gut wie der letzte Test.
Warum NIS2 mehr ist als eine Fristendebatte
Viele Diskussionen drehen sich um Umsetzungsfristen und nationale Gesetze. Das ist verständlich, aber für einen Evergreen-Blick zu eng. Der dauerhafte Kern von NIS2 liegt darin, dass digitale Resilienz zur Voraussetzung von Geschäftsfähigkeit wird. Wer vernetzt arbeitet, muss auch vernetzt Risiken steuern.
Das verändert Einkaufsprozesse, Ausschreibungen, Dienstleisterverträge und Managementberichte. Cybersecurity wird messbarer und vertraglicher. Sie rückt aus der Ecke der technischen Spezialisten in die Sprache von Risiko, Kontinuität und Verantwortung.
Warum das dauerhaft relevant ist
Die eigentliche Lehre reicht über NIS2 hinaus: Unternehmen sind heute digitale Ökosysteme. Kein Betrieb ist nur sein eigenes Netzwerk. Cloud, Software, Wartung, Datenanalyse, Payment, Logistik und Kundenkommunikation bilden ein Geflecht, das stabil sein muss. Wenn ein Teil ausfällt, kann der Schaden weit über die eigene Organisation hinausgehen.
NIS2 macht diesen Zusammenhang rechtlich und organisatorisch sichtbarer. Für Unternehmen ist das unbequem, aber nützlich. Wer seine digitalen Lieferketten kennt, kann Risiken besser priorisieren, Ausfälle schneller begrenzen und Kunden glaubwürdiger zeigen, dass Sicherheit nicht nur behauptet, sondern geführt wird. Genau deshalb wird Cybersicherheit zur Lieferkettenfrage – und bleibt es auch dann, wenn die aktuelle Umsetzungsdebatte längst vorbei ist.
Quellen
- ENISA: NIS2 Technical Implementation Guidance
- ENISA: Cybersecurity of Critical Sectors
- EUR-Lex: Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau
- BSI: NIS-2-Umsetzung in Deutschland
Hinweis: Für diesen Artikel wurden KI-gestützte Recherche- und Editierwerkzeuge verwendet. Der Inhalt wurde menschlich redaktionell geprüft. Stand: 6. Mai 2026
