Erst: Richtiger Absatz, richtige Sprache

In älteren Texten sehe ich oft zwei häufige Fehler. Der erste ist, auf den falschen Absatz zu verweisen. Die Lieferkette ist in Artikel 21.2 d geregelt, nicht in 21.2 c. Absatz c befasst sich mit Kontinuität.

Der zweite Fehler ist die Verwendung von NIS1-Sprache. NIS2 spricht von wesentlichen und wichtigen Einrichtungen, nicht von Betreibern kritischer Dienste im gleichen juristischen Sinne. Das mag pedantisch klingen, macht aber einen Unterschied bei der Aufsicht (Europäische Union, 2022).

Was Artikel 21.2 d tatsächlich verlangt

Artikel 21.1 setzt den Rahmen. Die Maßnahmen müssen angemessen und verhältnismäßig sein und die Auswirkungen von Vorfällen mindern. Artikel 21.2 listet Bereiche auf, die abgedeckt werden müssen. Absatz d betrifft die Sicherheit in der Lieferkette und die Beziehung zu Lieferanten und Dienstleistern.

Wichtig ist, dass NIS2 nicht vorschreibt, eine bestimmte Dienstleistung oder ein bestimmtes Tool zu kaufen. Es verlangt, das Risiko in der Kette zu managen und Schwachstellen bei jedem direkten Lieferanten sowie die Gesamtsicherheit ihrer Cybersicherheitsmaßnahmen, einschließlich sicherer Entwicklungsprozesse, zu berücksichtigen (Europäische Union, 2022).

Warum das zum Gesprächsthema wurde

Der Grund ist pragmatisch: Angriffe erfolgen oft über Ketten. ENISA analysierte Supply-Chain-Vorfälle von 2020 bis Mitte 2021 und stellte fest, dass Angreifer in 66 % der Fälle den Code des Lieferanten angriffen, um den Endkunden zu erreichen (ENISA, 2021).

In Schweden zeigte MSB in seinem Bericht über digitale Lieferketten, dass zwei Drittel der von NIS-Anbietern im Zeitraum 2020 bis Juni 2021 gemeldeten Vorfälle ihren Ursprung in einer Lieferkette hatten (MSB, 2021).

Schwedische Umsetzung: Es ist keine Theorie mehr

In Schweden traten das Cybersicherheitsgesetz (2025:1506) und die Cybersicherheitsverordnung (2025:1507) am 15. Januar 2026 in Kraft. Damit ist die Lieferkette eine Aufsichtsfrage, nicht nur eine Beschaffungsfrage (Schwedisches Parlament, 2025a; Schwedisches Parlament, 2025b; Regierung, 2026).

Was in der Praxis oft schiefläuft

Der häufigste Fehler ist, die Kontrolle nur bei der Beschaffung durchzuführen und die Kette danach laufen zu lassen. Das entspricht, als würde man die Temperatur im Kühlraum bei der Lieferung messen und dann das Thermometer abschalten.

Der zweithäufigste Fehler ist, Anforderungen und Nachweise zu vermischen. Man formuliert schöne Anforderungen im Vertrag, hat aber keine Verfahren zur Überwachung. Keine Telemetrie, kein Log-Review, keine Revision, kein Test der Notabschaltung. Dann ist es keine Kontrolle, sondern Hoffnung.

Was "Kontrolle" bedeutet, ohne Bürokratie zu erzeugen

Hier sagt oft jemand: "Das wird ja endlos." Muss es nicht. Der Schlüssel ist, einige wenige Maßnahmen zu wählen, die echte Risikoreduzierung bringen, und diese konsequent umzusetzen.

Ich sehe Kontrolle in der Lieferkette als drei Bausteine.

· Kenne die Kette und deren Kritikalität.

· Stelle messbare Anforderungen.

· Verfolge die Einhaltung im laufenden Betrieb, immer.

Kenne die Kette bedeutet, dass du weißt, welche Lieferanten für welche Dienste kritisch sind, welche Zugriffspfade bestehen und was passiert, wenn sie ausfallen.

Messbare Anforderungen bedeuten, poetische Formulierungen zu vermeiden und stattdessen Kontrollierbares zu schreiben. Beispiele sind Mehr-Faktor-Authentifizierung für administrative Zugänge, Patch-Zeiten nach Kritikalität, Protokollierung und Vorfallmeldung innerhalb vereinbarter Fristen.

Verfolge im Betrieb bedeutet, dass du tatsächlich Beweise anforderst. Nicht täglich und nicht bei allen, aber in einem Rhythmus, der zur Kritikalität passt. So vermeidest du sowohl Schein-Souveränität als auch Compliance-Theater.

Ein Punkt, bei dem ich sachlich bleiben möchte: Kleine Unternehmen

NIS2 gilt nicht für alle. Mikro- und Kleinunternehmen sind oft ausgenommen, können aber erfasst werden, wenn sie besonders kritisch sind. Unabhängig davon, ob du betroffen bist oder nicht, wirst du oft indirekt berührt, weil große Kunden Lieferkettenkontrolle verlangen.

Wichtig ist, "klein" nicht mit "risikofrei" zu verwechseln. Ein kleiner Lieferant kann eine große Schwachstelle sein, wenn er an der richtigen Stelle in der Kette sitzt.

Fazit

Artikel 21.2 d ist für mich einer der geschäftsnahesten Teile von NIS2. Er erzwingt ein reifes Gespräch über Abhängigkeiten und Verantwortung. Und er bringt etwas Nützliches: Er verlagert Sicherheit von der einmaligen Kontrolle hin zur kontinuierlichen Überwachung.

Die Kühlkette ist ein guter Lackmustest. Kontrollierst du nur beim Einkauf, hast du eigentlich keine Kontrolle. Du hast nur ein Gefühl. Und Gefühle sind schön, aber schlechte Notfallpläne.

Quellen

ENISA. (2021). ENISA Threat Landscape for Supply Chain Attacks. Europäische Agentur für Cybersicherheit.

Europäische Union. (2022). Richtlinie (EU) 2022/2555 (NIS2). Amtsblatt der Europäischen Union, L 333.

MSB. (2021). Bedrohungen der digitalen Lieferketten – 50 Empfehlungen für mehr Cybersicherheit. Behörde für Bevölkerungsschutz und Katastrophenhilfe.

Regierung. (2026). Cybersicherheit: Das neue Cybersicherheitsgesetz und die Cybersicherheitsverordnung traten am 15. Januar 2026 in Kraft.

Schwedisches Parlament. (2025a). Cybersicherheitsgesetz (2025:1506). Schwedisches Gesetzesblatt.

Schwedisches Parlament. (2025b). Cybersicherheitsverordnung (2025:1507). Schwedisches Gesetzesblatt.