NIS2-Lieferkettensicherheit nach § 30 Abs. 2 Nr. 4 BSIG

§ 30 Abs. 2 Nr. 4 BSIG verpflichtet dich, die Sicherheit deiner Lieferkette aktiv zu managen. Das bedeutet: Du musst die Cybersicherheitsrisiken deiner direkten Lieferanten und Dienstleister bewerten, vertragliche Sicherheitsanforderungen verankern und Audit-Rechte sicherstellen. Wer diese Pflicht vernachlässigt, riskiert ein Bußgeld von bis zu 10 Millionen EUR nach § 65 BSIG. Dieser Leitfaden erklärt die konkreten Anforderungen, zeigt ein praxiserprobtes A/B/C-Tiering-Modell und bietet eine CC-BY-4.0-lizenzierte Vertragsklausel-Vorlage als PDF-Download.

Was fordert § 30 Abs. 2 Nr. 4 BSIG konkret?

§ 30 Abs. 2 Nr. 4 BSIG verlangt, dass betroffene Einrichtungen "Sicherheit in der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern" als Teil ihres Risikomanagements umsetzen. Das BSIG setzt damit Art. 21 Abs. 2 lit. d NIS2-Richtlinie in deutsches Recht um.

Konkret bedeutet das:

• •Identifikation aller Lieferanten und Dienstleister, die Zugang zu deinen Systemen oder Daten haben
• •Risikobewertung jedes kritischen Lieferanten nach einem dokumentierten Verfahren
• •Vertragliche Verankerung von Sicherheitsanforderungen (Mindeststandards, Incident-Meldung, Audit-Rechte)
• •Laufendes Monitoring des Sicherheitsniveaus der Lieferanten
• •Dokumentation aller Maßnahmen als Nachweisgrundlage gegenüber dem BSI

Wichtig: Das Gesetz bezieht sich auf "unmittelbare Anbieter" (Tier 1). Indirekte Lieferanten (Tier 2+) sind nicht direkt adressiert, sollten aber im Risikomanagement berücksichtigt werden, wenn sie kritische Abhängigkeiten darstellen.

Welche Lieferanten gelten als kritisch?

Nicht jeder Bürobedarfslieferant muss mit denselben Maßstäben geprüft werden wie ein Cloud-Anbieter, der deine Produktivsysteme betreibt. Ein risikobasierter Ansatz unterscheidet anhand von drei Kriterien:

Kriterium 1: Zugriffstiefe

• •Kein Zugriff: Lieferant erbringt rein physische Leistungen ohne IT-Berührung
• •Indirekter Zugriff: Lieferant verarbeitet nicht-kritische Daten
• •Direkter Zugriff: Lieferant hat Zugang zu Netzwerken, Systemen oder kritischen Daten
• •Privilegierter Zugriff: Lieferant hat Admin-, Root- oder Schlüssel-Zugriff

Kriterium 2: Verfügbarkeitskritikalität

Führe dir vor Augen, was passiert, wenn der Lieferant ausfällt oder kompromittiert wird. Kann dein Dienst innerhalb von 24 Stunden ohne diesen Lieferanten weiterlaufen? Je länger die Abhängigkeitsdauer, desto kritischer der Lieferant.

Kriterium 3: Vertraulichkeit der verarbeiteten Daten

Lieferanten, die personenbezogene Daten, Geschäftsgeheimnisse oder sicherheitsrelevante Informationen verarbeiten, sind automatisch hochkritisch, unabhängig vom Zugriffsmodell.

Lieferanten-Lebenszyklus: Von Onboarding bis Exit

NIS2-Lieferkettensicherheit ist kein einmaliger Vertrag, sondern ein kontinuierlicher Prozess entlang des gesamten Lieferanten-Lebenszyklus.

Phase 1: Onboarding (vor Vertragsschluss)

• •Sicherheitsbefragung oder Self-Assessment des Lieferanten
• •Prüfung bestehender Zertifizierungen (ISO 27001, SOC 2, BSI C5)
• •Risikoeinstufung nach A/B/C-Tiering (siehe unten)
• •Freigabe durch CISO oder Sicherheitsverantwortlichen bei A-Lieferanten

Phase 2: Vertragsschluss

• •Aufnahme der 7 Kernklauseln (Sicherheitsniveau, Vorfallmeldung, Audit-Rechte, Subunternehmer, Datenlokalisierung, BC/RPO, Vertragsstrafen)
• •Vereinbarung von SLAs für Sicherheitsupdates und Patch-Zeiten
• •Zustimmungspflicht bei Weitergabe an Subunternehmer

Phase 3: Laufende Überwachung

• •Jährliche Sicherheitsbefragung oder erneutes Self-Assessment
• •Überprüfung von Zertifizierungen bei Ablauf
• •Incident-Eskalation bei gemeldeten Vorfällen beim Lieferanten
• •Continuous-Monitoring bei A-Lieferanten (z. B. via SecurityScorecard)

Phase 4: Exit und Offboarding

• •Widerruf aller Zugriffe (VPN-Accounts, API-Keys, Zertifikate) unmittelbar nach Vertragsende
• •Nachweis der Datenlöschung oder -rückgabe
• •Abschluss-Sicherheitsbericht für die Dokumentationsakte

Die 7 Kernklauseln für NIS2-konforme Lieferantenverträge

Diese sieben Klauseln bilden das Minimum, das du in Verträgen mit kritischen Lieferanten verankern solltest. Alle sieben findest du auch in der CC-BY-4.0 Vertragsklausel-Vorlage (PDF).

Klausel 1: Sicherheitsniveau

Der Lieferant verpflichtet sich, ein dem Stand der Technik entsprechendes Informationssicherheitsniveau einzuhalten. Bei A-Lieferanten empfiehlt sich eine konkrete Referenz auf ISO 27001 oder BSI IT-Grundschutz. Die Klausel sollte das Recht enthalten, bei Änderungen des Sicherheitsniveaus informiert zu werden.

Klausel 2: Vorfallmeldung

Sicherheitsvorfälle beim Lieferanten, die deine Systeme oder Daten betreffen könnten, müssen dir innerhalb von 24 Stunden nach Kenntnis gemeldet werden. Dies ist entscheidend, damit du die eigene NIS2-Meldepflicht nach § 32 BSIG einhalten kannst. Die Klausel sollte den Meldekanal, die verantwortliche Person und die Mindestinhalte der Meldung definieren.

Klausel 3: Audit-Rechte

Du oder ein von dir beauftragter Dritter hat das Recht, das Sicherheitsniveau des Lieferanten mindestens einmal jährlich zu prüfen. Die Prüfung kann als Fragebogen, Dokumentenprüfung oder Vor-Ort-Audit erfolgen. Bei A-Lieferanten sollte das Recht auf unangekündigte Audits bei begründetem Verdacht eingeschlossen sein.

Klausel 4: Subunternehmer

Die Weitergabe von Leistungen an Subunternehmer ist nur mit deiner vorherigen schriftlichen Zustimmung erlaubt. Der Lieferant muss sicherstellen, dass Subunternehmer denselben Sicherheitsanforderungen unterliegen und dir auf Anfrage eine Liste aktueller Subunternehmer bereitstellen.

Klausel 5: Datenlokalisierung

Daten dürfen nur in vorab definierten Rechtsräumen verarbeitet und gespeichert werden. Für besonders kritische Daten sollte die EU/EWR als Mindestanforderung gelten. Jede Änderung der Datenlokalisierung erfordert deine Zustimmung.

Klausel 6: Business Continuity und RPO

Der Lieferant muss dokumentierte Business-Continuity-Pläne vorhalten und einen Recovery-Point-Objective (RPO) von maximal [RPO] Stunden für kritische Daten garantieren. Bei Ausfall muss ein Recovery-Time-Objective (RTO) von maximal [RTO] Stunden eingehalten werden.

Klausel 7: Vertragsstrafen

Bei Verletzung wesentlicher Sicherheitspflichten (insbesondere der Vorfallmeldepflicht und der Audit-Verweigerung) ist eine Vertragsstrafe von [BETRAG] EUR fällig. Die Vertragsstrafe ist anrechenbar auf weitergehende Schadensersatzansprüche. Das Recht zur außerordentlichen Kündigung bei schwerwiegenden Verstößen bleibt unberührt.

A/B/C-Tiering: Lieferanten risikobasiert einstufen

Ein dreistufiges Tiering-Modell hilft dir, Ressourcen gezielt einzusetzen und die Tiefe der Maßnahmen an die tatsächliche Kritikalität anzupassen.

Dokumentiere dein Tiering-Entscheidung mit Begründung. Das BSI kann im Rahmen seiner Aufsicht die Kriterienbasis deiner Risikoklassifizierung einsehen.

Typische Fehler und wie du sie vermeidest

• •Keine vollständige Lieferantenliste: Erstelle ein zentrales Lieferantenregister mit allen Dritten, die Systemzugriff oder Datenzugang haben. Cloud-Dienste, SaaS-Tools und externe Entwickler werden oft vergessen.
• •Fehlende Vertragsklauseln bei Altsystemen: Überprüfe bestehende Verträge und fordere Nachträge bei kritischen Lieferanten an. Bei Verweigerung musst du die Fortführung des Vertrags aus Risikosicht rechtfertigen können.
• •Audit-Recht nur auf dem Papier: Plane konkrete Audits ein und führe sie durch. Ein Audit-Recht, das nie genutzt wird, hat keinen Nachweiswert gegenüber dem BSI.
• •Zu kurze Vorfallmeldefrist vereinbart: Vereinbare 24 Stunden, nicht 72 Stunden. Du brauchst Puffer, um intern zu bewerten und ggf. selbst ans BSI zu melden.
• •Keine Subunternehmer-Kontrolle: Frage aktiv nach der Subunternehmerkette deiner kritischen Lieferanten. Überraschende Subunternehmer in kritischen Ländern können dein eigenes NIS2-Risiko erhöhen.

CC-BY-4.0 Vertragsklausel-Vorlage als PDF

Die Vertragsklausel-Vorlage enthält alle 7 Kernklauseln mit ausformulierten Mustertexten und Platzhaltern für [NAME], [DATUM], [RTO], [RPO] und [BETRAG]. Sie ist unter der Creative Commons CC-BY-4.0 Lizenz veröffentlicht: kostenlose Nutzung, Weitergabe und Anpassung erlaubt, mit Nennung "Kopexa GmbH, kopexa.com".

Verwandte Ressourcen

Lieferkettensicherheit ist kein isoliertes Thema. Diese Seiten helfen dir beim Gesamtbild:

• ›NIS2-Anforderungen nach Art. 21 Alle Pflichten im Überblick, von Risikomanagement bis Meldepflicht
• ›NIS2-Meldepflicht nach § 32 BSIG Dreistufige Meldekette mit CC-BY-4.0 Vorlage
• ›ISO 27001 Control A.5.19 Mapping NIS2-Anforderungen auf ISO 27001 Annex A Controls abbilden
• ›NIS2-Bußgelder nach § 65 BSIG Was bei Verstößen gegen § 30 Abs. 2 Nr. 4 droht
• ›ISO 27001 A.5.19: Informationssicherheit in Lieferantenbeziehungen Control-Details zur Lieferkettensicherheit