Art. 21(2)(d) + Art. 23 NIS 2

Ein Lieferant ist gehackt. Was verlangt NIS 2 von der Einrichtung?

Artikel 21 Absatz 2 Buchstabe d NIS 2 verankert Lieferkettensicherheit bei der Einrichtung. Artikel 23 regelt die Meldung von Vorfällen. Beide greifen, sobald ein betroffener Lieferant die eigenen Dienste der Einrichtung berührt.

Simon OrzelSimon Orzel·

Worum es hier geht

Artikel 21 Absatz 2 Buchstabe d NIS 2 verlangt von Einrichtungen geeignete und verhältnismäßige Maßnahmen, um Risiken in der Lieferkette für die eigenen Netz- und Informationssysteme zu adressieren. Die Pflicht trifft die Einrichtung, nicht den Lieferanten. Die Richtlinie reguliert nicht Lieferanten außerhalb ihres Anwendungsbereichs, sondern wie die in den Anwendungsbereich fallende Einrichtung diese Lieferanten steuert.

Wird ein direkter Lieferant Opfer eines Vorfalls, ergeben sich zwei getrennte Fragen. Erstens: Ist die eigene Diensterbringung der Einrichtung betroffen, sodass eine Meldung nach Artikel 23 auf Ebene der Einrichtung ausgelöst wird. Zweitens: Funktioniert die vertragliche Benachrichtigungskette nach Artikel 21 Absatz 2 Buchstabe d, sodass die Einrichtung in der vereinbarten Zeit und über den vereinbarten Kanal erfährt.

Ein Vorfall beim betroffenen Lieferanten ist für sich genommen kein meldepflichtiger Vorfall der Einrichtung. Er wird zu einem, wenn er bei der Einrichtung einen erheblichen Sicherheitsvorfall im Sinne von Artikel 23 Absatz 3 NIS 2 verursacht.

Rechtsgrundlage
Drei Ebenen ordnen die Situation. Die Richtlinie setzt die Pflicht, die Durchführungsverordnung konkretisiert sie für Einrichtungen der digitalen Infrastruktur, das nationale Gesetz setzt um.

Artikel 21 Absatz 2 Buchstabe d NIS 2

Sicherheit der Lieferkette, einschließlich sicherheitsrelevanter Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Dienstleistern.

Der Artikel adressiert die Beziehung zu unmittelbaren Anbietern, nicht den Anbieter selbst. Die Einrichtung bleibt für die Steuerung dieser Beziehung verantwortlich, einschließlich Vorfällen, die sich daraus auf sie übertragen.

Erwägungsgrund 90 NIS 2

Einrichtungen sollten die Gesamtqualität und Widerstandsfähigkeit von Produkten und Diensten, die darin verankerten Risikomanagementmaßnahmen im Bereich der Cybersicherheit und die Cybersicherheitspraktiken ihrer Anbieter und Dienstleister, einschließlich ihrer sicheren Entwicklungsverfahren, beurteilen und berücksichtigen.

Erwägungsgrund 90 erläutert die politische Logik hinter Artikel 21 Absatz 2 Buchstabe d. Lieferkettensicherheit wird als laufende Beurteilung der Lieferantenlage verstanden, nicht als einmalige Prüfung beim Onboarding.

Artikel 23 Absatz 3 NIS 2

Ein Sicherheitsvorfall gilt als erheblich, wenn er a) schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann; b) andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

Artikel 23 Absatz 3 definiert die Erheblichkeitsschwelle auf Ebene der Einrichtung. Ein Lieferantenvorfall wird durch diese Linse beurteilt, sobald er die eigenen Dienste der Einrichtung erreicht.

Drei Schritte, die die Einrichtung leistet
Erkennen, eigene Betroffenheit prüfen, Meldeentscheidung treffen. In dieser Reihenfolge.
Erkennen

Rechtzeitig vom Vorfall erfahren

Artikel 21 Absatz 2 Buchstabe d wird operativ zur Vertragsklausel. Der betroffene Lieferant benachrichtigt die Einrichtung in einer definierten Frist über einen definierten Kanal. Ohne diese Klausel erfährt die Einrichtung aus der Presse, was für die Fristen in Artikel 23 zu spät ist.

Betroffenheit

Eigene Abhängigkeit prüfen

Die Frage ist nicht, ob der Lieferant in Schwierigkeiten steckt. Die Frage ist, ob die eigenen Netz- und Informationssysteme der Einrichtung oder die von ihr erbrachten Dienste betroffen sind. Das ist Faktenarbeit: welche Daten, welche Schnittstelle, welche Abhängigkeit, welcher Rückfallpfad.

Melden

Über die eigene Meldung entscheiden

Erreichen die eigenen Dienste der Einrichtung die Schwelle aus Artikel 23 Absatz 3, meldet die Einrichtung innerhalb von 24 Stunden frühwarnend, innerhalb von 72 Stunden den Sicherheitsvorfall und innerhalb eines Monats abschließend. Die Meldung erfolgt durch die Einrichtung für die Einrichtung, auch wenn die Ursache beim Lieferanten liegt.

Zwei Grundsätze, die häufig verwechselt werden
Das sind keine Rechtsauffassungen. Es ist nur, was die Richtlinie wo verortet.

Die Pflicht liegt bei der Einrichtung

Artikel 21 listet Maßnahmen auf, die die Einrichtung ergreifen muss. Den Lieferanten reguliert er nicht. Fällt der betroffene Lieferant selbst in den Anwendungsbereich von NIS 2, hat er seine eigenen Pflichten. Diese ersetzen die Pflichten der Einrichtung nicht, sie laufen parallel.

Vertrag vor Krise

Erwägungsgrund 90 setzt voraus, dass die Lieferantenbeziehung vor einem Vorfall beurteilt wurde. Benachrichtigungskette, Mitwirkungspflicht, Anspruch auf Nachweise: das lebt im Vertrag. Nach einem Vorfall ist der falsche Moment, das zu verhandeln.

Nationale Sicht
Deutschland setzt die Richtlinie über das BSIG um. Die materielle Pflicht aus Artikel 21 Absatz 2 Buchstabe d wird durch §30 BSIG umgesetzt, die Meldepflicht durch §32 BSIG.
Deutschland

§30 und §32 BSIG

§30 BSIG überträgt die Pflicht zum Risikomanagement in der Lieferkette ins deutsche Recht. §32 BSIG überträgt das Schema mit 24 Stunden, 72 Stunden und einem Monat. Die Einrichtung meldet über das BSI Meldeportal, unabhängig davon, wo der Ursprungsvorfall stattgefunden hat.

EU

ENISA Threat Landscape for Supply Chain

Die ENISA veröffentlicht jährlich Material zu Angriffsmustern in der Lieferkette und zur Meldepraxis. Es ist Referenzmaterial für die Risikomethodik der Einrichtung nach Artikel 21 Absatz 2 Buchstabe d, keine eigenständige Pflicht.

Sektor

Sektorale CSIRT-Hinweise

Für Einrichtungen der digitalen Infrastruktur konkretisiert die Durchführungsverordnung 2024/2690 die Anforderungen an die Lieferkette auf der nächsten Detailstufe. Andere Sektoren folgen Artikel 21 Absatz 2 Buchstabe d direkt, präzisiert durch nationale Leitlinien und sektorale CSIRTs.

Drei häufige Fehllesarten
Jede taucht regelmäßig auf. Jede ist aus einem spezifischen Grund falsch.
  • "Das ist Sache des Lieferanten."

    Artikel 21 Absatz 2 Buchstabe d verankert die Lieferkettenpflicht bei der Einrichtung. Der Lieferant kann eigene NIS 2 Pflichten haben oder nicht, je nachdem ob er selbst in den Anwendungsbereich fällt. Die Pflicht der Einrichtung besteht in beiden Fällen.

  • "Der Lieferant meldet, also muss die Einrichtung nicht."

    Ein Lieferant im Anwendungsbereich von NIS 2 meldet seinen eigenen erheblichen Sicherheitsvorfall. Diese Meldung erfüllt Artikel 23 für die Einrichtung nicht. Erreichen die eigenen Dienste der Einrichtung die Schwelle aus Artikel 23 Absatz 3, meldet die Einrichtung separat auf ihrer Ebene.

  • "Die IT beobachtet den Lieferanten, die Geschäftsführung muss nicht eingebunden werden."

    Artikel 20 NIS 2 verlangt, dass das Leitungsorgan die Risikomanagementmaßnahmen billigt und ihre Umsetzung überwacht. Die Überwachung der Lieferkette gehört dazu. Ein stiller IT-Prozess ohne Freigabe durch das Leitungsorgan erfüllt Artikel 20 nicht.

Sicht aus der Praxis

Schwierig ist selten die Meldung. Schwierig ist die Betroffenheitsanalyse unter Zeitdruck. Weiß die Einrichtung nicht ohnehin, welcher Lieferant welchen Dienst, welche Daten und welche Schnittstelle berührt, gehen die ersten Stunden nach einem Lieferantenvorfall mit dem Rekonstruieren dieser Karte verloren, statt sie zu nutzen.

Ein Asset- und Lieferantenverzeichnis, das pro Lieferant den betroffenen Dienst, die Datenkategorie und den vertraglichen Benachrichtigungskanal ausweist, macht aus einem Lieferantenvorfall einen Routinefall. Die Richtlinie schreibt das Format nicht vor. Sie verlangt aber, dass es in einer Form vorliegt, mit der die Einrichtung tatsächlich arbeiten kann.

Wie die Plattform passt

Die Plattform führt ein Lieferantenverzeichnis, verknüpft mit den Diensten der Einrichtung, und ein Feld für den vertraglichen Benachrichtigungskanal je Lieferant. Wird ein Lieferantenvorfall erfasst, erscheinen die betroffenen Dienste sofort, und der Fristlauf nach Artikel 23 startet auf einer sauberen Abhängigkeitskarte.

Die Freigabe des Lieferkettenansatzes durch das Leitungsorgan wird als einmalige Billigung mit versionierter Historie erfasst. Dieselbe Historie hält jeden Lieferantenvorfall und die Erheblichkeitsentscheidung nach Artikel 23 Absatz 3 fest, sodass die Beurteilung später nachvollziehbar bleibt.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Artikel 20, Artikel 21 Absatz 2 Buchstabe d, Artikel 23, Erwägungsgrund 90. EUR-Lex.
  • Durchführungsverordnung (EU) 2024/2690, Anforderungen an die Lieferkette für Einrichtungen der digitalen Infrastruktur.
  • BSIG (Deutschland), §30 Risikomanagementmaßnahmen, §32 Meldepflicht.
  • ENISA Threat Landscape for Supply Chain Attacks, jährliche Ausgabe.
Prüfen, ob NIS 2 für die Einrichtung gilt
Fünf Minuten. Sektorprüfung nach Anhang I und II sowie die Größenschwelle. Ergebnis ohne Konto sichtbar.