Ein Lieferant ist gehackt. Was verlangt NIS 2 von der Einrichtung?
Artikel 21 Absatz 2 Buchstabe d NIS 2 verankert Lieferkettensicherheit bei der Einrichtung. Artikel 23 regelt die Meldung von Vorfällen. Beide greifen, sobald ein betroffener Lieferant die eigenen Dienste der Einrichtung berührt.
Worum es hier geht
Artikel 21 Absatz 2 Buchstabe d NIS 2 verlangt von Einrichtungen geeignete und verhältnismäßige Maßnahmen, um Risiken in der Lieferkette für die eigenen Netz- und Informationssysteme zu adressieren. Die Pflicht trifft die Einrichtung, nicht den Lieferanten. Die Richtlinie reguliert nicht Lieferanten außerhalb ihres Anwendungsbereichs, sondern wie die in den Anwendungsbereich fallende Einrichtung diese Lieferanten steuert.
Wird ein direkter Lieferant Opfer eines Vorfalls, ergeben sich zwei getrennte Fragen. Erstens: Ist die eigene Diensterbringung der Einrichtung betroffen, sodass eine Meldung nach Artikel 23 auf Ebene der Einrichtung ausgelöst wird. Zweitens: Funktioniert die vertragliche Benachrichtigungskette nach Artikel 21 Absatz 2 Buchstabe d, sodass die Einrichtung in der vereinbarten Zeit und über den vereinbarten Kanal erfährt.
Ein Vorfall beim betroffenen Lieferanten ist für sich genommen kein meldepflichtiger Vorfall der Einrichtung. Er wird zu einem, wenn er bei der Einrichtung einen erheblichen Sicherheitsvorfall im Sinne von Artikel 23 Absatz 3 NIS 2 verursacht.
Artikel 21 Absatz 2 Buchstabe d NIS 2
Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Dienstleistern.
Der Artikel adressiert die Beziehung zu unmittelbaren Anbietern, nicht den Anbieter selbst. Die Einrichtung bleibt für die Steuerung dieser Beziehung verantwortlich, einschließlich Vorfällen, die sich daraus auf sie übertragen.
Erwägungsgrund 90 NIS 2
Einrichtungen sollten die Gesamtqualität und Widerstandsfähigkeit von Produkten und Diensten, die darin verankerten Risikomanagementmaßnahmen im Bereich der Cybersicherheit und die Cybersicherheitspraktiken ihrer Anbieter und Dienstleister, einschließlich ihrer sicheren Entwicklungsverfahren, beurteilen und berücksichtigen.
Erwägungsgrund 90 erläutert die politische Logik hinter Artikel 21 Absatz 2 Buchstabe d. Lieferkettensicherheit wird als laufende Beurteilung der Lieferantenlage verstanden, nicht als einmalige Prüfung beim Onboarding.
Artikel 23 Absatz 3 NIS 2
Ein Sicherheitsvorfall gilt als erheblich, wenn er a) schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann; b) andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.
Artikel 23 Absatz 3 definiert die Erheblichkeitsschwelle auf Ebene der Einrichtung. Ein Lieferantenvorfall wird durch diese Linse beurteilt, sobald er die eigenen Dienste der Einrichtung erreicht.
Rechtzeitig vom Vorfall erfahren
Artikel 21 Absatz 2 Buchstabe d wird operativ zur Vertragsklausel. Der betroffene Lieferant benachrichtigt die Einrichtung in einer definierten Frist über einen definierten Kanal. Ohne diese Klausel erfährt die Einrichtung aus der Presse, was für die Fristen in Artikel 23 zu spät ist.
Eigene Abhängigkeit prüfen
Die Frage ist nicht, ob der Lieferant in Schwierigkeiten steckt. Die Frage ist, ob die eigenen Netz- und Informationssysteme der Einrichtung oder die von ihr erbrachten Dienste betroffen sind. Das ist Faktenarbeit: welche Daten, welche Schnittstelle, welche Abhängigkeit, welcher Rückfallpfad.
Über die eigene Meldung entscheiden
Erreichen die eigenen Dienste der Einrichtung die Schwelle aus Artikel 23 Absatz 3, meldet die Einrichtung innerhalb von 24 Stunden frühwarnend, innerhalb von 72 Stunden den Sicherheitsvorfall und innerhalb eines Monats abschließend. Die Meldung erfolgt durch die Einrichtung für die Einrichtung, auch wenn die Ursache beim Lieferanten liegt.
Die Pflicht liegt bei der Einrichtung
Artikel 21 listet Maßnahmen auf, die die Einrichtung ergreifen muss. Den Lieferanten reguliert er nicht. Fällt der betroffene Lieferant selbst in den Anwendungsbereich von NIS 2, hat er seine eigenen Pflichten. Diese ersetzen die Pflichten der Einrichtung nicht, sie laufen parallel.
Vertrag vor Krise
Erwägungsgrund 90 setzt voraus, dass die Lieferantenbeziehung vor einem Vorfall beurteilt wurde. Benachrichtigungskette, Mitwirkungspflicht, Anspruch auf Nachweise: das lebt im Vertrag. Nach einem Vorfall ist der falsche Moment, das zu verhandeln.
§30 und §32 BSIG
§30 BSIG überträgt die Pflicht zum Risikomanagement in der Lieferkette ins deutsche Recht. §32 BSIG überträgt das Schema mit 24 Stunden, 72 Stunden und einem Monat. Die Einrichtung meldet über das BSI Meldeportal, unabhängig davon, wo der Ursprungsvorfall stattgefunden hat.
ENISA Threat Landscape for Supply Chain
Die ENISA veröffentlicht jährlich Material zu Angriffsmustern in der Lieferkette und zur Meldepraxis. Es ist Referenzmaterial für die Risikomethodik der Einrichtung nach Artikel 21 Absatz 2 Buchstabe d, keine eigenständige Pflicht.
Sektorale CSIRT-Hinweise
Für Einrichtungen der digitalen Infrastruktur konkretisiert die Durchführungsverordnung 2024/2690 die Anforderungen an die Lieferkette auf der nächsten Detailstufe. Andere Sektoren folgen Artikel 21 Absatz 2 Buchstabe d direkt, präzisiert durch nationale Leitlinien und sektorale CSIRTs.
"Das ist Sache des Lieferanten."
Artikel 21 Absatz 2 Buchstabe d verankert die Lieferkettenpflicht bei der Einrichtung. Der Lieferant kann eigene NIS 2 Pflichten haben oder nicht, je nachdem ob er selbst in den Anwendungsbereich fällt. Die Pflicht der Einrichtung besteht in beiden Fällen.
"Der Lieferant meldet, also muss die Einrichtung nicht."
Ein Lieferant im Anwendungsbereich von NIS 2 meldet seinen eigenen erheblichen Sicherheitsvorfall. Diese Meldung erfüllt Artikel 23 für die Einrichtung nicht. Erreichen die eigenen Dienste der Einrichtung die Schwelle aus Artikel 23 Absatz 3, meldet die Einrichtung separat auf ihrer Ebene.
"Die IT beobachtet den Lieferanten, die Geschäftsführung muss nicht eingebunden werden."
Artikel 20 NIS 2 verlangt, dass das Leitungsorgan die Risikomanagementmaßnahmen billigt und ihre Umsetzung überwacht. Die Überwachung der Lieferkette gehört dazu. Ein stiller IT-Prozess ohne Freigabe durch das Leitungsorgan erfüllt Artikel 20 nicht.
Schwierig ist selten die Meldung. Schwierig ist die Betroffenheitsanalyse unter Zeitdruck. Weiß die Einrichtung nicht ohnehin, welcher Lieferant welchen Dienst, welche Daten und welche Schnittstelle berührt, gehen die ersten Stunden nach einem Lieferantenvorfall mit dem Rekonstruieren dieser Karte verloren, statt sie zu nutzen.
Ein Asset- und Lieferantenverzeichnis, das pro Lieferant den betroffenen Dienst, die Datenkategorie und den vertraglichen Benachrichtigungskanal ausweist, macht aus einem Lieferantenvorfall einen Routinefall. Die Richtlinie schreibt das Format nicht vor. Sie verlangt aber, dass es in einer Form vorliegt, mit der die Einrichtung tatsächlich arbeiten kann.
Die Plattform führt ein Lieferantenverzeichnis, verknüpft mit den Diensten der Einrichtung, und ein Feld für den vertraglichen Benachrichtigungskanal je Lieferant. Wird ein Lieferantenvorfall erfasst, erscheinen die betroffenen Dienste sofort, und der Fristlauf nach Artikel 23 startet auf einer sauberen Abhängigkeitskarte.
Die Freigabe des Lieferkettenansatzes durch das Leitungsorgan wird als einmalige Billigung mit versionierter Historie erfasst. Dieselbe Historie hält jeden Lieferantenvorfall und die Erheblichkeitsentscheidung nach Artikel 23 Absatz 3 fest, sodass die Beurteilung später nachvollziehbar bleibt.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 20, Artikel 21 Absatz 2 Buchstabe d, Artikel 23, Erwägungsgrund 90. EUR-Lex.
- Durchführungsverordnung (EU) 2024/2690, Anforderungen an die Lieferkette für Einrichtungen der digitalen Infrastruktur.
- BSIG (Deutschland), §30 Risikomanagementmaßnahmen, §32 Meldepflicht.
- ENISA Threat Landscape for Supply Chain Attacks, jährliche Ausgabe.