ISMS Copilot
NIS2 mit KI

Verwaltung der NIS2-Lieferkettensicherheit mithilfe von KI

Übersicht

Sie erfahren, wie Sie mithilfe von KI ein umfassendes NIS2-Lieferkettensicherheitsprogramm gemäß Artikel 21 Absatz 2 Buchstabe d erstellen. Dieser Leitfaden behandelt die Bewertung der Sicherheit von direkten Lieferanten und Dienstleistern, die Verwaltung von Schwachstellen in Ihrer Lieferkette, die Erstellung von Sicherheitsfragebögen für Lieferanten, die Festlegung vertraglicher Sicherheitsanforderungen, die Überwachung der laufenden Compliance von Lieferanten und die Adressierung sektorspezifischer Lieferkettenrisiken für kritische Infrastrukturen.

Für wen dies gedacht ist

Dieser Leitfaden richtet sich an:

  • CISOs und Sicherheitsmanager, die für das Risiko-Management von Drittanbietern und Lieferketten verantwortlich sind

  • Beschaffungs- und Lieferantenmanagement-Experten, die NIS2-Sicherheitsanforderungen in Lieferantenbeziehungen integrieren müssen

  • Compliance-Beauftragte, die Frameworks für die Lieferkettensicherheit für NIS2-Audits aufbauen

  • Sicherheitsberater, die Kunden zu NIS2-Lieferkettenanforderungen in kritischen Sektoren beraten

  • Risikomanager, die Schwachstellen in der Lieferkette in Sektoren kritischer Infrastrukturen bewerten

Bevor Sie beginnen

Sie benötigen:

  • Ein ISMS Copilot-Konto (kostenlose Testversion verfügbar)

  • Ihre NIS2-Unternehmensklassifizierung und Geltungsbereichsfestlegung – siehe Erste Schritte bei der NIS2-Implementierung mithilfe von KI

  • Ihre Ergebnisse der Risikobewertung, insbesondere Lieferkettenrisiken – siehe Durchführung der NIS2-Risikobewertung mithilfe von KI

  • Ihre Richtlinie zur Lieferkettensicherheit – siehe Erstellung von NIS2-Cybersecurity-Richtlinien mithilfe von KI

  • Ein Inventar Ihrer aktuellen Lieferanten und Dienstleister (oder die Bereitschaft, eines zu erstellen)

  • Bestehende Lieferantenverträge und Vereinbarungen zur Überprüfung

Angriffe auf die Lieferkette sind der wichtigste Bedrohungsvektor für kritische Infrastrukturen. Die ENISA stuft die Kompromittierung der Lieferkette konsequent als eine der folgenreichsten Bedrohungen für NIS2-regulierte Sektoren ein. Die Vorfälle bei SolarWinds, Kaseya und MOVEit haben gezeigt, wie ein einziger kompromittierter Lieferant Tausende von nachgelagerten Organisationen beeinträchtigen kann. Artikel 21 Absatz 2 Buchstabe d adressiert dieses Risiko direkt.

Verständnis der NIS2-Anforderungen an die Lieferkettensicherheit

Was Artikel 21 Absatz 2 Buchstabe d fordert

Artikel 21 Absatz 2 Buchstabe d verpflichtet Einrichtungen zu Maßnahmen zur „Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Lieferanten oder Dienstleistern“. Insbesondere verlangt die Richtlinie von den Einrichtungen, folgendes zu berücksichtigen:

  • Die spezifischen Schwachstellen jedes direkten Lieferanten und Dienstleisters

  • Die Gesamtqualität der Produkte und der Cybersecurity-Praktiken der Lieferanten und Dienstleister, einschließlich ihrer Verfahren für die sichere Entwicklung

  • Die Ergebnisse koordinierter Sicherheitsrisikobewertungen kritischer Lieferketten, die gemäß Artikel 22 durchgeführt wurden

Fokus auf direkte Lieferanten: NIS2 Artikel 21 Absatz 2 Buchstabe d bezieht sich spezifisch auf „direkte Lieferanten oder Dienstleister“ – Ihre unmittelbaren Vertragspartner. Ein gründliches Programm zur Lieferkettensicherheit muss jedoch auch Risiken durch Unterauftragnehmer (die Lieferanten Ihres Lieferanten) berücksichtigen, insbesondere bei kritischen Dienstleistungen. Eine Angriffskette vom Typ SolarWinds umfasst in der Regel mehrere Ebenen von Lieferanten.

Koordinierte Risikobewertungen der Lieferkette (Artikel 22)

Artikel 22 ermöglicht es der NIS-Kooperationsgruppe, koordinierte Sicherheitsrisikobewertungen spezifischer kritischer Lieferketten auf EU-Ebene durchzuführen. Diese Bewertungen können zu sektorweiten Empfehlungen führen, die Ihre Organisation berücksichtigen muss. Beispiele hierfür sind Bewertungen der Sicherheit der 5G-Lieferkette und der Cloud-Computing-Lieferketten.

Warum Lieferkettensicherheit eine Audit-Priorität ist

Aufsichtsbehörden behandeln die Lieferkettensicherheit bei NIS2-Inspektionen als hochprioritären Bereich, da:

  • Angriffe auf die Lieferkette in den letzten Jahren die bedeutendsten grenzüberschreitenden Vorfälle verursacht haben

  • Einrichtungen kritischer Infrastrukturen in hohem Maße von Technologieanbietern abhängig sind

  • Ein einziger kompromittierter Lieferant Auswirkungen auf mehrere NIS2-regulierte Sektoren kaskadieren kann

  • Viele Organisationen historisch gesehen ein schwaches Risikomanagement für Drittanbieter haben

Schritt 1: Aufbau Ihres Lieferanteninventars und Kritikalitätsklassifizierung

Identifizierung und Katalogisierung aller Lieferanten

Bevor Sie das Lieferkettenrisiko bewerten können, benötigen Sie ein umfassendes Inventar jedes direkten Lieferanten und Dienstleisters, der Zugriff auf Ihre Netzwerk- und Informationssysteme hat, Dienstleistungen dafür erbringt oder deren Sicherheit beeinträchtigen könnte.

  1. Vorlage für das Lieferanteninventar generieren:

    „Erstellen Sie eine umfassende Vorlage für ein Lieferanten- und Dienstleisterinventar zur Einhaltung von NIS2 Artikel 21 Absatz 2 Buchstabe d. Enthalten sein sollten Spalten für: Lieferanten-ID, Name des Lieferanten, Dienstleistungs-/Produktbeschreibung, Lieferantenkategorie (IT, Cloud, MSP, MSSP, Hardware, Software, OT/ICS, professionelle Dienstleistungen, Gebäude, Versorgungsunternehmen), Vertragsreferenz, Vertragsablaufdatum, Datenzugriffsebene (keine, begrenzt, vollständig), Systemzugriffsebene (keine, Lesen, Lesen-Schreiben, Admin), Integrationspunkte (API, VPN, physischer Zugriff, Datenfeeds), geografischer Standort, Unterauftragnehmer/Unterlieferanten (falls bekannt), aktuelle Sicherheitszertifizierungen (ISO 27001, SOC 2 usw.), Geschäftskritikalität (Kritisch/Hoch/Mittel/Niedrig), NIS2-Risikostufe (wird nach der Bewertung zugewiesen) und verantwortlicher interner Ansprechpartner.“

  2. Lieferantenkritikalität klassifizieren:

    „Erstellen Sie Klassifizierungskriterien für die Lieferantenkritikalität im Rahmen der NIS2-Lieferkettensicherheit. Definieren Sie vier Stufen (Kritisch, Hoch, Mittel, Niedrig) basierend auf: Auswirkungen bei Kompromittierung des Lieferanten (könnte dies unsere wesentlichen/wichtigen Dienste beeinträchtigen?), Grad des Zugriffs auf unsere Systeme und Daten, ob der Lieferant sensible Informationen verarbeitet, Ersetzbarkeit (Single Source vs. mehrere Alternativen), Abhängigkeitstiefe (wie tief ist der Lieferant in unsere Abläufe integriert?) und ob der Lieferant selbst eine NIS2-regulierte Einrichtung ist. Definieren Sie für jede Stufe die Bewertungstiefe, die Überwachungsfrequenz und die vertraglichen Anforderungen. Geben Sie Entscheidungskriterien und Beispiele für eine Organisation im Sektor [Sektor] an.“

  3. Identifizierung von Konzentrationsrisiken:

    „Analysieren Sie unser Lieferanteninventar auf Konzentrationsrisiken. Identifizieren Sie: (1) Single Points of Failure, bei denen wir für einen kritischen Dienst ohne Alternative von einem Lieferanten abhängen, (2) Situationen, in denen mehrere kritische Dienste vom selben zugrunde liegenden Anbieter abhängen (z. B. derselbe Cloud-Anbieter für mehrere Systeme), (3) geografische Konzentration, bei der mehrere kritische Lieferanten vom selben Standort oder aus derselben Rechtsordnung operieren, (4) Branchenkonzentration, bei der viele unserer Lieferanten im selben NIS2-Sektor tätig sind und von einem sektorweiten Vorfall betroffen sein könnten. Empfehlen Sie für jedes Konzentrationsrisiko Minderungsstrategien.“

Beginnen Sie mit Ihren kritischsten Lieferanten: Versuchen Sie nicht, alle Lieferanten gleichzeitig zu bewerten, sondern priorisieren Sie Lieferanten der Stufen „Kritisch“ und „Hoch“. Dies sind die Lieferanten, deren Kompromittierung die Erbringung Ihrer wesentlichen/wichtigen Dienste direkt beeinträchtigen könnte. Schließen Sie deren Bewertungen zuerst ab und arbeiten Sie sich dann systematisch durch die Stufen „Mittel“ und „Niedrig“.

Schritt 2: Durchführung von Sicherheitsbewertungen der Lieferanten

Bewertungsansatz nach Lieferantenstufe

Die Tiefe und Methode der Sicherheitsbewertung eines Lieferanten sollte proportional zu seiner Kritikalitätsstufe sein.

Lieferantenstufe

Bewertungsmethode

Häufigkeit

Tiefe

Kritisch

Detaillierter Fragebogen + Überprüfung von Nachweisen + Vor-Ort-/Remote-Audit

Jährlich (mindestens)

Vollständige Bewertung aller für den Dienst relevanten NIS2-Maßnahmenbereiche

Hoch

Detaillierter Fragebogen + Überprüfung von Nachweisen

Jährlich

Umfassender Fragebogen mit Aufforderung zur Einreichung von Nachweisen für wichtige Kontrollen

Mittel

Standardfragebogen + Überprüfung von Zertifizierungen

Alle 2 Jahre

Standardfragebogen; Akzeptanz von Zertifizierungen als Teilnachweis

Niedrig

Selbstauskunft + grundlegende Due Diligence

Alle 3 Jahre oder bei Vertragsverlängerung

Minimal; Bestätigung grundlegender Sicherheitspraktiken

Erstellung von Sicherheitsfragebögen mit KI

  1. Fragebogen für die Stufen Kritisch/Hoch generieren:

    „Erstellen Sie einen umfassenden Fragebogen zur Sicherheitsbewertung für Lieferanten der Stufen 'Kritisch' und 'Hoch' gemäß NIS2 Artikel 21 Absatz 2 Buchstabe d. Der Fragebogen muss folgende Bereiche abdecken: (1) Governance und Organisation – Struktur des Sicherheitsmanagements, Richtlinien, Zertifizierungen, Management-Commitment, (2) Risikomanagement – Methodik der Risikobewertung, Ansatz zur Risikobehandlung, (3) Zugriffskontrolle – Authentifizierung, Autorisierung, Privileged Access Management, (4) Datenschutz – Verschlüsselung, Datenklassifizierung, Datenhandhabung und -entsorgung, (5) Incident Management – Incident-Response-Fähigkeit, Meldefristen (können sie NIS2-kompatible Meldefenster einhalten?), Historie von Vorfällen, (6) Business Continuity – BCP/DR-Pläne, Tests, RTO/RPO für unsere Dienste, (7) Schwachstellenmanagement – Patch-Zyklen, Scan-Häufigkeit, Penetrationstests, (8) Sichere Entwicklung – SDLC-Praktiken, Code-Reviews, Sicherheitstests bei Softwarelieferungen, (9) Lieferkette – deren eigenes Lieferantenmanagement (Unterauftragnehmer), (10) Physische Sicherheit – Datenzentrumsicherheit, Umgebungskontrollen, (11) Personal-Sicherheit – Hintergrundüberprüfungen, Schulungen, Verfahren bei Beendigung des Arbeitsverhältnisses, (12) Kryptographie – Verschlüsselungsstandards, Schlüsselmanagement, Zertifikatsmanagement. Fügen Sie für jeden Abschnitt sowohl Ja/Nein-Compliance-Fragen als auch offene Fragen zum Reifegrad ein. Fügen Sie eine Spalte für Dokumentationsanforderungen hinzu.“

  2. Fragebogen für die Stufe Mittel generieren:

    „Erstellen Sie einen optimierten Sicherheitsfragebogen für Lieferanten der Stufe 'Mittel' unter NIS2. Konzentrieren Sie sich auf die kritischsten Bereiche: vorhandene Sicherheitszertifizierungen, Incident-Response- und Meldefähigkeit, Praktiken der Zugriffskontrolle, Datenschutzmaßnahmen, Patch- und Schwachstellenmanagement sowie Unterlieferantenmanagement. Halten Sie ihn prägnant (maximal 30-40 Fragen), damit die Lieferanten ihn auch tatsächlich ausfüllen.“

  3. Sektorspezifische Lieferantenbewertung generieren:

    „Erstellen Sie einen Fragebogen zur Sicherheitsbewertung der Lieferanten mit zusätzlichen Fragen, die spezifisch für unseren Sektor [Sektor] sind. Fügen Sie sektorrelevante Fragen hinzu für: [für Energie: OT/ICS-Sicherheitspraktiken, SCADA-Systemzugriff, physische Sicherheit der Energieinfrastruktur] [für das Gesundheitswesen: Sicherheit von Medizinprodukten, Umgang mit Patientendaten, HIPAA/DSGVO-Compliance] [für den Verkehrssektor: Sicherheit sicherheitskritischer Systeme, Verfügbarkeit von Echtzeitsystemen, Vernetzung mit Verkehrsnetzen] [für digitale Infrastruktur: DDoS-Resilienz, DNS-Sicherheit, Zertifikatsmanagement, Mandantentrennung]. Diese sektorspezifischen Fragen sollen den Standardfragebogen ergänzen.“

Bestehende Zertifizierungen nutzen: Wenn ein Lieferant über ISO 27001, SOC 2 Typ II oder andere anerkannte Sicherheitszertifizierungen verfügt, können diese Ihre Bewertungsanforderungen teilweise erfüllen – sie ersetzen die Bewertung jedoch nicht vollständig. Fordern Sie das Zertifikat, die Geltungsbereichserklärung (Statement of Applicability) und den jüngsten Auditbericht an. Konzentrieren Sie Ihren Fragebogen dann auf Bereiche, die nicht durch deren Zertifizierung abgedeckt sind, auf NIS2-spezifische Anforderungen wie Meldefristen für Vorfälle sowie auf alle sektorspezifischen Anliegen.

Schritt 3: Auswertung der Ergebnisse der Lieferantenbewertung und Erstellung des Lieferantenrisikoregisters

Bewertung und Evaluierung der Lieferantenantworten

  1. Evaluierungs-Framework erstellen:

    „Erstellen Sie einen Bewertungsrahmen für die Sicherheitsbewertung von Lieferanten für NIS2. Enthalten sein sollten: Bewertungskriterien für jeden Abschnitt des Fragebogens (Konform/Teilweise Konform/Nicht Konform mit Punktwerten), Gewichtung der Abschnitte basierend auf der NIS2-Relevanz und der Kritikalitätsstufe des Lieferanten, Berechnung des Gesamtrisikowerts für den Lieferanten, Schwellenwerte für die Risk-Ratings (Akzeptabel/Bedingt/Inakzeptabel), Kriterien für jedes Rating: Akzeptabel – Lieferant erfüllt Anforderungen und kann beauftragt werden; Bedingt – Lieferant hat Lücken, die innerhalb eines definierten Zeitrahmens behoben werden müssen; Inakzeptabel – Lieferant stellt ein inakzeptables Risiko dar und sollte ohne größere Nachbesserungen oder alternative Vereinbarungen nicht beauftragt werden. Fügen Sie eine Entscheidungsmatrix zur Kombination der Lieferantenkritikalität mit dem Risk-Rating zur Bestimmung der geeigneten Maßnahme bei.“

  2. Lieferantenrisikoregister generieren:

    „Erstellen Sie eine Vorlage für ein Lieferantenrisikoregister zur Einhaltung von NIS2 Artikel 21 Absatz 2 Buchstabe d. Enthalten sein sollten für jeden Lieferanten: Lieferanten-ID, Name des Lieferanten, Kritikalitätsstufe, Bewertungsdatum, Gesamtrisikowert, Risk-Rating (Akzeptabel/Bedingt/Inakzeptabel), wichtigste Erkenntnisse (größte identifizierte Lücken), spezifische identifizierte Schwachstellen (gemäß Anforderung aus Art. 21 Abs. 2 Buchst. d), Risikobehandlungsentscheidung, erforderliche Abhilfemaßnahmen mit Fristen, vertragliche Sicherheitsanforderungen vorhanden (Ja/Nein), nächstes Bewertungsdatum und Risikoeigentümer. Füllen Sie die Evaluierungskriterien basierend auf unserem Sektor [Sektor] vor.“

  3. Analyse von Schwachstellen in der Lieferkette:

    „Identifizieren Sie auf der Grundlage unserer Ergebnisse der Lieferantenbewertung die bedeutendsten Schwachstellen in der Lieferkette. Kategorisieren Sie nach: Schwachstellen in den Sicherheitspraktiken der Lieferanten (in Bewertungen identifizierte schwache Kontrollen), Schwachstellen in Produkten und Dienstleistungen der Lieferanten (bekannte CVEs, unsichere Standardeinstellungen, schwache Update-Mechanismen), Konzentrationsschwachstellen (Single Points of Failure, geografische Konzentration) und Schwachstellen in der Abhängigkeitskette (Risiken durch die Unterlieferanten unserer Lieferanten). Bewerten Sie für jede Schwachstelle die potenziellen Auswirkungen auf unsere wesentlichen/wichtigen Dienste und empfehlen Sie Minderungsmaßnahmen.“

Schritt 4: Festlegung vertraglicher Sicherheitsanforderungen

NIS2-konforme Vertragsklauseln

Artikel 21 Absatz 2 Buchstabe d verlangt sicherheitsbezogene Maßnahmen in den Beziehungen zu direkten Lieferanten. Dies übersetzt sich direkt in vertragliche Verpflichtungen, die Ihre Sicherheitsanforderungen durchsetzen.

  1. Vertragliche Sicherheitsklauseln generieren:

    „Generieren Sie einen umfassenden Satz NIS2-konformer Sicherheitsklauseln zur Aufnahme in Verträge mit Lieferanten und Dienstleistern. Decken Sie folgende Bereiche ab: (1) Sicherheitsstandards und Zertifizierungen – Mindestsicherheitsanforderungen, Verpflichtung zur Aufrechterhaltung von Zertifizierungen, Einhaltung unserer Sicherheitsrichtlinien, (2) Zugriffskontrolle – Authentifizierungsanforderungen, Least Privilege, Zugriffsprotokollierung, Überprüfung von Personal, (3) Datenschutz und Verschlüsselung – Einhaltung der Datenklassifizierung, Verschlüsselungsstandards für Daten im Ruhezustand und bei der Übertragung, Verpflichtungen zur Datenhandhabung und -entsorgung, (4) Meldung von Vorfällen – Verpflichtung, uns innerhalb von [24 Stunden] über Sicherheitsvorfälle zu informieren, IOCs bereitzustellen, bei Untersuchungen zu kooperieren, Meldung von Beinahe-Vorfällen und Bedrohungen, (5) Schwachstellenmanagement – Verpflichtung zum Patchen kritischer Schwachstellen innerhalb definierter Fristen, Responsible Disclosure, Meldung von Schwachstellen in für uns bereitgestellten Produkten/Diensten, (6) Business Continuity – BCP/DR-Anforderungen, RTO/RPO-Zusagen, regelmäßige Tests, (7) Audit-Rechte – Recht zur Durchführung von Sicherheitsaudits oder -bewertungen, Recht zur Anforderung von Penetrationstest-Ergebnissen, Zugriff auf Sicherheitsdokumentation, (8) Unterlieferantenmanagement – vorherige Genehmigung für Unterlieferanten, Weitergabe von Sicherheitsanforderungen (Flow-down), Benachrichtigung über Änderungen bei Unterlieferanten, (9) Beendigung und Übergang – Rückgabe und Vernichtung von Daten, Widerruf des Zugriffs, Unterstützung beim Übergang, (10) Haftung und Schadloshaltung – Haftung für Sicherheitsverletzungen, Freistellung von behördlichen Strafen infolge einer Verletzung durch den Lieferanten und (11) Kontinuierliche Compliance – Verpflichtung zur Meldung wesentlicher Änderungen der Sicherheitslage, jährliche Sicherheitsbescheinigung. Organisieren Sie dies nach Lieferantenkritikalität und zeigen Sie auf, welche Klauseln für welche Stufe obligatorisch sind.“

  2. SLA-Sicherheitsanforderungen generieren:

    „Erstellen Sie sicherheitsspezifische SLA-Anforderungen für NIS2-regulierte Lieferkettenbeziehungen. Enthalten sein sollten messbare Sicherheits-KPIs für: Patch-Bereitstellungszeiten nach Schweregrad, Reaktionszeit bei Vorfällen von der Entdeckung bis zur Meldung, Systemverfügbarkeitsziele für kritische Dienste, Wiederherstellungszeit- (RTO) und Wiederherstellungspunkt-Ziele (RPO), Häufigkeit von Schwachstellenscans, Häufigkeit von Penetrationstests, Abschlussquoten von Sicherheitsschulungen und Einhaltung von Zeitplänen für Zugriffsüberprüfungen. Definieren Sie Strafen und Abhilfemaßnahmen bei SLA-Verletzungen.“

Bestehende Verträge: Viele Organisationen haben Altverträge, die vor NIS2 geschlossen wurden und denen angemessene Sicherheitsklauseln fehlen. Erstellen Sie einen Plan zur Vertragsüberprüfung, um Verträge zu identifizieren und zu priorisieren, die NIS2-konforme Änderungen benötigen. Beginnen Sie mit Lieferanten der Stufe „Kritisch“. Nutzen Sie Termine zur Vertragsverlängerung als Gelegenheit, aktualisierte Klauseln einzuführen. Bei kritischen Lücken sollten Sie Änderungen bereits vor der Verlängerung aushandeln.

Schritt 5: Implementierung einer laufenden Lieferantenüberwachung

Kontinuierliche Aufsicht über die Lieferkette

Die NIS2-Lieferkettensicherheit ist keine einmalige Bewertung. Sie müssen die Sicherheit der Lieferanten kontinuierlich überwachen und auf Änderungen der Bedrohungslage, der Sicherheitslage der Lieferanten oder Ihres eigenen Risikoprofils reagieren.

  1. Überwachungs-Framework erstellen:

    „Erstellen Sie ein Framework zur laufenden Überwachung der Lieferantensicherheit für die NIS2-Compliance. Enthalten sein sollten: (1) Kontinuierliche Überwachungsaktivitäten – Überwachung von Threat Intelligence auf Kompromittierungen von Lieferanten, Überwachung von Sicherheitsnachrichten und Schwachstellenveröffentlichungen zu Produkten/Diensten von Lieferanten, Verfolgung des Zertifizierungsstatus und der Auditergebnisse von Lieferanten, Überwachung regulatorischer Maßnahmen gegen Lieferanten, (2) Periodische Bewertungsaktivitäten – Re-Evaluierungsplan nach Lieferantenstufe, jährliche Aktualisierung des Sicherheitsfragebogens, Überprüfung der Vertragseinhaltung, SLA-Performance-Review, (3) Ereignisgesteuerte Überwachungsauslöser – Sicherheitsvorfall beim Lieferanten, signifikante Schwachstelle im Produkt des Lieferanten, organisatorische Änderungen beim Lieferanten (M&A, Führungswechsel, finanzielle Instabilität), Änderungen in unserer eigenen Risikobewertung, Ergebnisse sektorweiter Lieferketten-Risikobewertungen (Art. 22), (4) Überwachungswerkzeuge und Quellen – externe Risk-Rating-Dienste, Open-Source-Intelligence, Sicherheitshinweise von Anbietern, Branchen-ISACs, ENISA-Lieferkettenwarnungen und (5) Eskalation und Reaktion – Kriterien für die Eskalation von Lieferantenproblemen, Prozess für die Anforderung von Abhilfemaßnahmen, Kriterien für die Aussetzung oder Beendigung von Lieferantenbeziehungen.“

  2. Verfahren zur Reaktion auf Vorfälle bei Lieferanten erstellen:

    „Erstellen Sie ein Verfahren zur Reaktion auf Sicherheitsvorfälle bei Lieferanten, die Auswirkungen auf unsere Organisation haben könnten. Decken Sie ab: Erhalt der Meldung und Erstbewertung, Auswirkungsanalyse auf unsere Systeme und Dienste, NIS2-Vorfallswesentlichkeitsprüfung (ist dies ein meldepflichtiger Vorfall für uns?), Eindämmungsmaßnahmen (Isolierung von Lieferantenverbindungen, Widerruf des Zugriffs, Sperren kompromittierter Komponenten), Koordination mit dem betroffenen Lieferanten, Kommunikation mit anderen betroffenen Einrichtungen (falls zutreffend), Meldung gemäß Artikel 23, falls der Lieferanten-Vorfall für unseren Betrieb signifikant ist, Wiederherstellung und Wiederaufnahme der Lieferantenbeziehung, Post-Incident-Review und Aktualisierung des Lieferanten-Risk-Ratings sowie Lessons Learned zur Verbesserung der Lieferkettensicherheit.“

Lieferkettenvorfälle als NIS2-meldepflichtige Vorfälle: Ein Sicherheitsvorfall bei Ihrem Lieferanten kann NIS2-Meldepflichten für Ihre Organisation auslösen, wenn er erhebliche Auswirkungen auf Ihre wesentlichen/wichtigen Dienste hat oder haben könnte. Ihre Matrix zur Klassifizierung von Vorfällen sollte Kriterien für von Lieferanten ausgehende Vorfälle enthalten. Siehe Implementierung der NIS2-Vorfallmeldung mithilfe von KI für detaillierte Melde-Workflows.

Schritt 6: Adressierung sektorspezifischer Lieferkettenrisiken

Überlegungen zur Lieferkette nach Sektor

Verschiedene NIS2-Sektoren sind mit einzigartigen Lieferkettenrisiken konfrontiert, die auf der von ihnen genutzten Technologie, der Art ihrer Dienste und den Bedrohungsakteuren basieren, die sie ins Visier nehmen.

  1. Sektorspezifische Lieferketten-Risikoanalyse generieren:

    „Erstellen Sie eine sektorspezifische Lieferketten-Risikoanalyse für unsere Organisation im Sektor [Sektor]. Behandeln Sie: (1) kritische Technologieabhängigkeiten spezifisch für unseren Sektor, (2) sektorspezifische Angriffsvektoren über die Lieferkette, (3) regulatorische Anforderungen an die Lieferkette über NIS2 hinaus, die für unseren Sektor gelten, (4) Beispiele für Lieferkettenvorfälle in unserem Sektor und Lessons Learned, (5) sektorspezifische Lieferantenkategorien, die eine erweiterte Bewertung erfordern, und (6) Empfehlungen für sektorspezifische Maßnahmen zur Lieferkettensicherheit.“

Hier sind sektorspezifische Prompts für die gängigsten NIS2-Sektoren:

  • Energiesektor: „Analysieren Sie die für ein Unternehmen im Energiesektor spezifischen Lieferkettenrisiken. Behandeln Sie: Sicherheit von OT/ICS-Anbietern (SCADA-, DCS-, RTU-Lieferanten), Integrität der Firmware-Lieferkette, Hardware-Lieferkette für Netzkomponenten, Integration erneuerbarer Energiesysteme mit potenziellen IoT-Schwachstellen und Fernzugriff von Anbietern auf operative Technologiesysteme.“

  • Gesundheitswesen: „Analysieren Sie die Lieferkettenrisiken für eine Einrichtung im Gesundheitswesen unter NIS2. Behandeln Sie: Sicherheitspraktiken von Medizinprodukteherstellern, Risiken bei Anbietern von elektronischen Patientenakten (ePA), Lieferanten von Laborgeräten mit Netzwerkanbindung, Integrität der pharmazeutischen Lieferkette und Zugriff von Anbietern medizinischer Bildgebungssysteme.“

  • Verkehrssektor: „Analysieren Sie Lieferkettenrisiken für ein Unternehmen im Verkehrssektor. Behandeln Sie: Lieferanten sicherheitskritischer Systeme, Anbieter von Echtzeit-OT, Lieferanten vernetzter Fahrzeugsysteme, Anbieter von Verkehrsmanagementsystemen und Abhängigkeiten von GPS/Positionierungssystemen.“

  • Sektor digitale Infrastruktur: „Analysieren Sie Lieferkettenrisiken für eine Einrichtung der digitalen Infrastruktur (Cloud, Rechenzentrum, DNS, IXP). Behandeln Sie: Integrität der Hardware-Lieferkette (Server, Netzwerk-Equipment, HSMs), Risiken bei Upstream-Konnektivitätsanbietern, Software-Lieferkette für Plattformkomponenten, Abhängigkeiten von Zertifizierungsstellen und Mandantentrennung in gemeinsamer Infrastruktur.“

  • Verarbeitendes Gewerbe: „Analysieren Sie Lieferkettenrisiken für ein produzierendes Unternehmen unter NIS2. Behandeln Sie: Sicherheit von Anbietern industrieller Steuerungssysteme, Risiken bei Supply-Chain-Management-Software, Integrität der Komponentenlieferanten (Fälschung, Manipulation), Risiken bei ERP- und MES-Systemanbietern sowie Technologielieferanten automatisierter Produktionslinien.“

Schritt 7: Koordination mit Lieferkettenbewertungen auf EU-Ebene

Koordinierte Risikobewertungen gemäß Artikel 22

Artikel 22 ermöglicht es der NIS-Kooperationsgruppe, koordinierte Sicherheitsrisikobewertungen spezifischer kritischer Lieferketten auf EU-Ebene durchzuführen. Diese Bewertungen können zu Empfehlungen führen, die Einrichtungen berücksichtigen müssen.

  1. Informiert und ausgerichtet bleiben:

    „Erstellen Sie ein Verfahren zur Überwachung und Reaktion auf koordinierte Lieferketten-Risikobewertungen auf EU-Ebene gemäß NIS2 Artikel 22. Decken Sie ab: Quellen zur Überwachung veröffentlichter Bewertungen (NIS-Kooperationsgruppe, ENISA, nationale zuständige Behörde), Prozess zur Überprüfung von Bewertungsergebnissen und Empfehlungen, Gap-Analyse unserer Lieferkettensicherheit gegenüber den Empfehlungen, Aktionsplan zur Umsetzung empfohlener Maßnahmen, Dokumentation der Einhaltung von Empfehlungen und Berichterstattung an das Leitungsorgan über die Ergebnisse und unsere Reaktion.“

Schritt 8: Dokumentation und Berichterstattung an das Leitungsorgan

Berichterstattung zur Lieferkettensicherheit

Gemäß Artikel 20 muss das Leitungsorgan die Umsetzung der Cybersecurity-Maßnahmen, einschließlich der Lieferkettensicherheit, überwachen. Eine regelmäßige Berichterstattung stellt die Aufsicht und Rechenschaftspflicht sicher.

  1. Berichtspaket für das Leitungsorgan erstellen:

    „Erstellen Sie eine Vorlage für einen vierteljährlichen Bericht zur Lieferkettensicherheit für das Leitungsorgan. Enthalten sein sollten: Management Summary der aktuellen Risikolage der Lieferkette, Highlights aus dem Lieferantenrisikoregister (Anzahl der Lieferanten nach Stufe und Risk-Rating), wesentliche Änderungen seit dem letzten Bericht (neue Lieferanten, Vorfälle bei Lieferanten, Bewertungsergebnisse), offene Abhilfemaßnahmen und deren Status, Status der Vertragskonformität, SLA-Leistung wichtiger Lieferanten, Lieferkettenvorfälle oder Beinahe-Vorfälle im Zeitraum, anstehende Bewertungen und Vertragsverlängerungen, Ressourcenanforderungen für Aktivitäten zur Lieferkettensicherheit und Empfehlungen, die eine Entscheidung des Leitungsorgans erfordern.“

  2. Dokumentation der Audit-Nachweise erstellen:

    „Erstellen Sie ein Dokumentationspaket für Audit-Nachweise zur Lieferkettensicherheit, das die Einhaltung von NIS2 Artikel 21 Absatz 2 Buchstabe d belegt. Enthalten sein sollten: dokumentierte Richtlinie zur Lieferkettensicherheit (Referenz), Lieferanteninventar mit Kritikalitätsklassifizierungen, Bewertungsmethodik und Scoring-Framework, abgeschlossene Lieferantenbewertungen (Stichprobe), Lieferantenrisikoregister mit Behandlungsentscheidungen, Vertragsvorlagen mit Sicherheitsklauseln, Verfahren zur Lieferantenüberwachung und Nachweise von Überwachungsaktivitäten, Verfahren zur Reaktion auf Vorfälle bei Lieferanten, Schulungsnachweise für Personal in Beschaffung und Lieferantenmanagement sowie Nachweise der Aufsicht durch das Leitungsorgan (Sitzungsprotokolle, Berichte).“

Das Beweisportfolio aufbauen: Aufsichtsbehörden, die NIS2-Inspektionen durchführen, achten auf einen systematischen, dokumentierten Ansatz zur Lieferkettensicherheit. Die Bereitstellung Ihres Lieferanteninventars, der Bewertungsergebnisse, des Risikoregisters, der Vertragsklauseln und der Überwachungsnachweise in organisierter und zugänglicher Form demonstriert Compliance-Reife. Nutzen Sie Ihren ISMS Copilot-Arbeitsbereich, um diese Artefakte zu pflegen und zu aktualisieren.

Häufige Herausforderungen und Lösungen bei der Lieferkettensicherheit

Herausforderung

Warum es wichtig ist

Lösung

Lieferant weigert sich, den Fragebogen auszufüllen

Das Lieferantenrisiko kann nicht wie nach Artikel 21(2)(d) erforderlich bewertet werden

Zertifizierungen als Teilnachweis akzeptieren; Bewertung bei Vertragsverlängerung zur vertraglichen Pflicht machen; alternative Lieferanten für kritische Dienste prüfen

Zu viele Lieferanten für eine Bewertung

Ressourcenbeschränkungen verzögern die Compliance

Stufenbasierter Ansatz: vollständige Bewertung für Kritisch/Hoch, optimiert für Mittel, Selbstauskunft für Niedrig

Altverträgen fehlen Sicherheitsklauseln

Keine vertragliche Grundlage zur Durchsetzung von Sicherheitsanforderungen

Vertragsänderungen für die Stufe „Kritisch“ priorisieren; Verlängerungstermine für systematische Aktualisierungen nutzen

Transparenz bei Unterlieferanten

Risiken durch die Lieferanten der Lieferanten bleiben verborgen

Offenlegung von Unterlieferanten in Verträgen fordern; Fokus auf kritische Dienstleistungsketten

Verzögerungen bei der Meldung von Vorfällen durch Lieferanten

Verspätete Kenntnis verzögert Ihre eigene NIS2-Meldung

Vertragliche Meldefristen festlegen (24 Stunden); externe Threat Intelligence auf Anzeichen für Kompromittierung von Lieferanten überwachen

Konzentration auf einen einzigen Cloud-Anbieter

Single Point of Failure für mehrere Dienste

Konzentrationsrisiko bewerten; Notfallpläne entwickeln; Multi-Cloud für kritische Dienste in Betracht ziehen

Abhängigkeit von OT/ICS-Anbietern (Vendor Lock-in)

Anbieterwechsel schwierig; begrenzter Spielraum für Sicherheitsanforderungen

Kompensierende Kontrollen dokumentieren; Sicherheitshinweise der Anbieter engmaschig überwachen; Branchengruppen für kollektiven Einfluss nutzen

Nächste Schritte

Mit der Einrichtung Ihres Programms zur Lieferkettensicherheit haben Sie einen der kritischsten und komplexesten Bereiche der NIS2-Compliance abgedeckt.

Prüfen Sie auch die anderen Leitfäden dieser Serie, um eine vollständige Abdeckung sicherzustellen:

  • Erste Schritte bei der NIS2-Implementierung mithilfe von KI – Geltungsbereich, Governance, Gap-Analyse und Roadmap für die Umsetzung

  • Durchführung der NIS2-Risikobewertung mithilfe von KI – All-Hazards-Risikoanalyse einschließlich Lieferkettenrisiken, die in Ihre Bewertungskriterien für Lieferanten einfließen

  • Erstellung von NIS2-Cybersecurity-Richtlinien mithilfe von KI – Die Richtlinie zur Lieferkettensicherheit und alle anderen Richtlinien gemäß Artikel 21

  • Implementierung der NIS2-Vorfallmeldung mithilfe von KI – Meldung von Vorfällen für Lieferkettenereignisse, die Ihre Organisation betreffen

Einsatzbereite Prompts zur Lieferkettensicherheit finden Sie in der NIS2 Directive Prompt Library. Einen umfassenden Überblick über alle NIS2-Anforderungen bietet der NIS2 Compliance Guide for In-Scope Companies.

Hilfe erhalten

Für zusätzliche Unterstützung bei der NIS2-Lieferkettensicherheit:

  • Fragen Sie den ISMS Copilot: Nutzen Sie Ihren NIS2-Arbeitsbereich für laufende Fragen zur Lieferantenbewertung, zur Anpassung von Fragebögen und zum Entwurf von Vertragsklauseln

  • Lieferantendokumentation hochladen: Laden Sie Antworten auf Lieferantenfragebögen, Zertifizierungen oder Auditberichte für eine KI-gestützte Analyse und Identifizierung von Lücken hoch

  • Sektorspezifische Beratung: Fordern Sie eine Risikoanalyse für die Lieferkette an, die auf die Technologieabhängigkeiten und die Bedrohungslage Ihres spezifischen Sektors zugeschnitten ist

  • Vertragsprüfung: Laden Sie bestehende Lieferantenverträge hoch und lassen Sie den ISMS Copilot fehlende NIS2-konforme Sicherheitsklauseln identifizieren und entsprechende Ergänzungstexte generieren

Bereit, Ihre NIS2-Lieferkettensicherheit zu stärken? Öffnen Sie Ihren NIS2-Arbeitsbereich unter chat.ismscopilot.com und beginnen Sie mit der Erstellung Ihres Lieferanteninventars und der Kritikalitätsklassifizierung. Arbeiten Sie sich dann systematisch durch Bewertungen, Fragebögen und vertragliche Aktualisierungen. Mit dem ISMS Copilot können Sie ein umfassendes Programm zur Lieferkettensicherheit aufbauen, das die Aufsichtsbehörden zufriedenstellt und Ihr Risiko durch Drittanbieter effektiv reduziert.

War das hilfreich?