NIS 2 Lieferantenverträge
Artikel 21(2)(d) NIS 2 verpflichtet Einrichtungen, Sicherheitsaspekte in ihren Beziehungen zu unmittelbaren Anbietern und Diensteanbietern zu adressieren. Artikel 21(1) bestimmt, wie weit diese Pflicht reicht.
Was Artikel 21(2)(d) verlangt
Artikel 21(2)(d) NIS 2 führt die Sicherheit der Lieferkette als eine der zehn Mindestmaßnahmen für das Risikomanagement im Bereich der Cybersicherheit auf. Die Richtlinie ist im Anwendungsbereich präzise: Erfasst sind die sicherheitsbezogenen Aspekte der Beziehung zwischen der Einrichtung und ihren unmittelbaren Anbietern oder Diensteanbietern. Sie reguliert nicht die gesamte Lieferkette und schreibt keine generische Musterklausel vor.
Die Begleitvorschrift ist Artikel 21(1). Alle Maßnahmen aus Artikel 21(2), einschließlich der Sicherheit der Lieferantenbeziehung, müssen geeignet und verhältnismäßig zu den Risiken der Einrichtung sein. Stand der Technik, Umsetzungskosten, Größe der Einrichtung, Wahrscheinlichkeit von Vorfällen und deren Schwere fließen in die Verhältnismäßigkeitsprüfung ein. Von einem Entsorgungsbetrieb mit 60 Beschäftigten und einem großen Cloud-Anbieter wird nicht dieselbe vertragliche Tiefe erwartet.
Die praktische Frage für eine erfasste Einrichtung ist daher nicht, welche Klauseln aus einer Vorlage übernommen werden, sondern welche sicherheitsbezogenen Aspekte jeder Lieferantenbeziehung relevant sind, welche Nachweise die Einrichtung zur Steuerung des Restrisikos benötigt und wie dokumentiert wird, dass diese risikobasierte Auswahl bewusst getroffen wurde.
Artikel 21(2)(d) NIS 2
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
Eine der zehn Mindestmaßnahmen nach Artikel 21(2). Die Beschränkung auf unmittelbare Anbieter und Diensteanbieter ist bewusst. Die Richtlinie weitet die Klausel nicht auf Unterauftragnehmer beliebiger Tiefe aus. Erwägungsgründe 85 und 90 bestätigen, dass die Bewertung risikobasiert erfolgt und die konkrete Verwundbarkeit jedes Anbieters sowie die Gesamtqualität seiner Cybersicherheitspraktiken berücksichtigt.
DVO 2024/2690, Anhang Abschnitt 5
The relevant entities shall lay down, implement and apply a supply chain security policy that governs the relationships with their direct suppliers and service providers.
Die Durchführungsverordnung (EU) 2024/2690 konkretisiert die Lieferantenmaßnahme ausschließlich für Einrichtungen der digitalen Infrastruktur (DNS, Domain-Name-Registries, Cloud, Rechenzentren, CDN, Managed Services und Managed Security Services, Online-Marktplätze, Suchmaschinen, soziale Netzwerke, Vertrauensdiensteanbieter). Abschnitt 5 des Anhangs nennt Auswahlkriterien, Vertragsanforderungen, Überwachungspflichten und Ausstiegsregelungen. Für andere Sektoren gilt das jeweilige nationale Umsetzungsrecht.
§30(2) Nr. 4 BSIG
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
Das deutsche NIS2UmsuCG setzt Artikel 21(2)(d) eins zu eins in §30(2) Nr. 4 BSIG um. §30(1) BSIG trägt die Verhältnismäßigkeit aus Artikel 21(1) fort. Die bisherigen Hinweise des BSI behandeln die Sicherheit der Lieferantenbeziehung als Kombination aus Richtlinie, Vertrag und Überwachung, nicht als feste Klauselliste.
Welche Anbieter fallen darunter
Artikel 21(2)(d) zielt auf unmittelbare Anbieter und Diensteanbieter, nicht auf die gesamte vorgelagerte Kette. Eine Einrichtung benennt diejenigen Anbieter, die Daten verarbeiten, übertragen oder speichern, von denen die Einrichtung abhängt, oder deren Ausfall den wesentlichen oder wichtigen Dienst beeinträchtigen würde. Der Bürobedarfslieferant fällt heraus, der Cloud-Hoster der Kundendatenbank fällt darunter. Das Auswahlkriterium ist das vom Anbieter eingebrachte Risiko, nicht das Vertragsvolumen.
Was die Vertragsebene typischerweise abdeckt
BSI-Hinweise und Abschnitt 5 der DVO beschreiben eine Lieferantenrichtlinie, die in vertragliche Anforderungen übersetzt wird. Häufig erwartete Elemente sind ein Verweis auf ein Sicherheitsbaseline, eine Meldepflicht bei Sicherheitsvorfällen abgestimmt auf die Fristen aus Artikel 23, Transparenz über wesentliche Unterauftragnehmer, ein angemessenes Audit- oder Nachweisrecht sowie Kündigungsrechte aus Sicherheitsgründen. Die Tiefe wird pro Anbieterklasse kalibriert, nicht uniform vergeben.
Wie die Einrichtung den Anbieter verifiziert
Die Richtlinie ist technologie- und zertifikatsneutral. Als Nachweis kommen ein Lieferantenfragebogen, eine anerkannte Zertifizierung wie ISO 27001 oder SOC 2, ein aktueller Penetrationstestbericht oder ein vertraglich vereinbartes Auditrecht in Frage, das stichprobenartig ausgeübt wird. DVO 2024/2690 Abschnitt 5 nennt mehrere Nachweisformen ausdrücklich parallel. Die Einrichtung entscheidet pro Anbieterklasse, welche Form geeignet ist, und hält die Entscheidung fest.
Nur unmittelbare Anbieter, kein automatischer Durchgriff
Artikel 21(2)(d) nennt unmittelbare Anbieter und Diensteanbieter. Er schreibt keine vertragliche Weitergabe an Unterauftragnehmer beliebiger Tiefe vor. Wo Risiken aus Unterauftragsverhältnissen wesentlich sind, adressiert die Einrichtung diese über den direkten Vertrag, typischerweise durch Transparenz über kritische Unterauftragnehmer und Zustimmungsrechte bei wesentlichen Änderungen. Eine pauschale Durchgriffsklausel ist keine Richtlinienanforderung und gegenüber Parteien ohne direkten Vertrag in der Regel nicht durchsetzbar.
Verhältnismäßig zum Risiko, kein fester Standard
Artikel 21(1) verlangt geeignete und verhältnismäßige Maßnahmen unter Berücksichtigung des Stands der Technik, der Umsetzungskosten, der Größe der Einrichtung, ihres Risikoprofils sowie der Wahrscheinlichkeit und Schwere von Sicherheitsvorfällen. Dieselbe Verhältnismäßigkeit gilt für die Lieferantenklausel. Eine Standardbestellung braucht keine vollständige Auditklausel, wenn das Anbieterrisiko gering ist. Ein Anbieter von Managed Security Services rechtfertigt eine tiefere Klausel als ein Hardware-Lieferant. Die Entscheidung wird dokumentiert, nicht standardisiert.
BSI IT-Grundschutz OPS.2 und CON.7
Die Bausteine OPS.2 (Outsourcing für Nutzer) und CON.7 (Outsourcing für Anbieter) sowie ORP.4 (Identitäts- und Berechtigungsmanagement) beschreiben einen Lieferantenprozess, der zu Artikel 21(2)(d) passt. Einrichtungen, die den Weg über §44(2) BSIG und IT-Grundschutz wählen, nutzen diese Bausteine als Nachweis für die Maßnahme zur Lieferantenbeziehung.
ENISA Threat Landscape for Supply Chain Attacks
Die wiederkehrenden ENISA-Berichte zu Lieferkettenangriffen beschreiben das Risikobild, auf das die Richtlinie reagiert. ENISA veröffentlicht keine Mustervertragsklauseln. Die Arbeit wird in den Erwägungsgründen zur Lieferkette referenziert und fließt in die Methodik der Kooperationsgruppe ein, sie ist aber kein verbindlicher Vertragsstandard.
DVO 2024/2690 Anhang Abschnitt 5
Für die elf Arten von Einrichtungen der digitalen Infrastruktur im Anwendungsbereich der DVO 2024/2690 setzt Abschnitt 5 des Anhangs eine konkretere Lieferantenspezifikation: Auswahlkriterien, Vertragsanforderungen, Überwachung über den Vertragslauf, Ausstiegsbedingungen. Für andere Sektoren bleibt das nützliche Orientierung, aber nicht unmittelbar verbindlich; maßgeblich sind die nationale Umsetzung und die Hinweise der zuständigen Behörde.
Ein einziger Lieferantenanhang, von allen unterschrieben, erledigt Artikel 21(2)(d).
Die Richtlinie verpflichtet, die sicherheitsbezogenen Aspekte der Beziehung zu adressieren; Artikel 21(1) verknüpft das mit einer Verhältnismäßigkeitsprüfung pro Anbieter. Ein einheitlicher Anhang widerspricht dieser Logik und führt zu überzogenen Klauseln bei kleinen Anbietern oder unzureichenden Klauseln bei kritischen. Belastbar ist die Lieferantenrichtlinie samt anbieterbezogener Risikoklassifizierung, aus der die Vertragsklauseln abgeleitet werden.
Eine ISO 27001 Zertifizierung des Anbieters ersetzt alle Audit- und Nachweisrechte.
Eine anerkannte Zertifizierung ist für viele Anbieterklassen ein zulässiger Nachweis, Artikel 21(2)(d) nennt ISO 27001 aber nicht und verlagert die Pflicht nicht auf die Zertifizierungsstelle. Die Einrichtung bleibt nach §30 BSIG verantwortlich für die Beziehung. Bei hohem Anbieterrisiko oder wenn der Zertifizierungsbereich den bezogenen Dienst nicht abdeckt, bleiben zusätzliche Nachweisrechte angemessen. DVO Abschnitt 5 nennt mehrere Nachweisformen ausdrücklich parallel.
Kleine Anbieter fallen aus der Lieferantenpflicht der Einrichtung heraus.
Artikel 21(2)(d) sieht keine Ausnahme für kleine Anbieter vor. Der eigene NIS 2 Anwendungsbereich des Anbieters nach Artikel 2 ist eine andere Frage. Die Pflicht der Einrichtung gilt für die Beziehung zum unmittelbaren Anbieter unabhängig von dessen Größe, kalibriert am Risiko, das dieser Anbieter einbringt. Ein zweiköpfiger Backup-Hoster mit kritischen Daten erfordert mehr Aufmerksamkeit als ein tausendköpfiger Caterer.
Prüfungen zur Lieferantensicherheit unter NIS 2 verlangen typischerweise drei Artefakte in dieser Reihenfolge: die Lieferantenrichtlinie mit der Klassifizierungslogik, das Lieferantenverzeichnis mit der angewandten Klassifizierung und Stichproben aus jeder Risikoklasse, die zeigen, wie die Richtlinie im Vertrag abgebildet ist. Die Vertragsklauseln selbst sind die letzte Ebene, nicht die erste.
Wo die Einrichtung den Weg über §44(2) BSIG und IT-Grundschutz nutzt, strukturieren OPS.2 und CON.7 die Lieferantenrichtlinie und die Vertragsebene bereits. Einrichtungen außerhalb Deutschlands greifen auf die jeweiligen nationalen Behördenhinweise zurück oder, für Einrichtungen der digitalen Infrastruktur, auf DVO 2024/2690 Anhang Abschnitt 5. Eine einheitliche Klauselliste schreibt die Richtlinie selbst nicht vor.
Das Lieferantenmodul der Plattform erfasst die Artefakte, die eine Prüfung erwartet: ein Lieferantenverzeichnis mit Risikoklassifizierung, den verknüpften Dienst oder das Asset, die je Anbieter vereinbarte Nachweisform (Fragebogen, Zertifikatsverweis, Auditklausel, punktueller Nachweis) und den Meldepfad bei Vorfällen zurück in den eigenen Artikel-23-Meldeprozess der Einrichtung.
Über das Lieferantenportal beantworten unmittelbare Anbieter Fragebögen und laden Nachweise über einen tokenbasierten Zugang hoch, sodass der Austausch an einem Ort dokumentiert ist. Die Plattform stellt keine Mustervertragsklauseln bereit. Sie hält fest, dass die Maßnahme zur Lieferantenbeziehung nach §30(2) Nr. 4 BSIG vorhanden und pro Anbieter belegt ist.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 21(2)(d) und Artikel 21(1), EUR-Lex
- Erwägungsgründe 85 und 90, Richtlinie (EU) 2022/2555, EUR-Lex
- Durchführungsverordnung (EU) 2024/2690, Anhang Abschnitt 5, EUR-Lex
- BSIG §30(2) Nr. 4 und §30(1), gesetze-im-internet.de
- BSI IT-Grundschutz Kompendium, Bausteine OPS.2 und CON.7, BSI
- ENISA Threat Landscape for Supply Chain Attacks, ENISA