NIS2 Lieferkette absichern: § 30 BSIG Abs. 2 Nr. 4 in der Praxis
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
- § 30 BSIG Abs. 2 Nr. 4: Pflicht zur Lieferketten-Sicherheit seit 06.12.2025
- 8-Schritt-Audit: Inventar → Kritikalität → Selbstauskunft → Audit → Vertrag → Monitoring → Vorfall-Plan → Re-Eval
- 6 Pflicht-Vertragsklauseln in jedem AV-Vertrag
- Kritische Lieferanten: jährlich, bei Vorfall sofort
- Bußgeldrisiko: 10 Mio. EUR / 2% Weltumsatz + § 38 GF-Haftung
1. Warum Lieferkette ein NIS2-Schwerpunkt ist
NIS2 reagiert auf Realität: 2024 stammten 42% aller schweren Cyber-Vorfälle aus Lieferkettenangriffen (ENISA Threat Landscape 2025). Beispiele:
- SolarWinds (2020): 18.000 Kunden via Software-Update kompromittiert
- 3CX (2023): Voice-Software-Update mit Trojaner
- MOVEit (2023): File-Transfer-Tool, 60+ Mio. Datensätze gestohlen
- XZ Utils (2024): Linux-Backdoor in upstream-Library
Konsequenz: NIS2 macht Lieferketten-Sicherheit zur expliziten Pflicht.
2. § 30 BSIG Abs. 2 Nr. 4 (NIS2UmsuCG)
"Maßnahmen zur Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern" — § 30 Abs. 2 Nr. 4 BSIG
Konkretisiert durch BSI-Leitfaden 03/2026 + ENISA Supply Chain Guidelines 2024.
3. 8-Schritt-Lieferanten-Audit
| Schritt | Aktivität | Output |
|---|---|---|
| 1. Inventar | Alle externen Diensteanbieter erfassen | Lieferanten-Liste |
| 2. Kritikalitäts-Bewertung | Risiko bei Ausfall/Kompromittierung scoren | Top-20-Kritisch-Liste |
| 3. Selbstauskunft | Sicherheits-Fragebogen senden (40 Fragen) | Antwort-Sheet |
| 4. Audit | Bei Top-20: Vor-Ort-Audit oder ISO-27001-Zertifikat | Audit-Bericht |
| 5. Vertragsklauseln | 6 Pflichtklauseln in AVV verankern | Aktualisiertes AVV |
| 6. Monitoring | Quartalsweise Vorfall-Reports vom Lieferanten | Reports im DMS |
| 7. Vorfall-Plan | Eskalations-Workflow bei Lieferanten-Vorfall | Notfall-Plan |
| 8. Re-Evaluation | Jährliches Reassessment | Aktualisiertes Score |
Lieferanten-Fragebogen + AVV-Mustertext-Klauseln + Audit-Checkliste im NIS2-Kit.
4. 6 Pflicht-Vertragsklauseln
- Sicherheits-Standards: ISO 27001 oder NIST CSF oder gleichwertig — schriftlich
- Vorfall-Meldung: binnen 24 Stunden ab Kenntnis
- Audit-Recht: Right-to-Audit jährlich, ggf. durch unabhängigen Dritten
- Sub-Lieferanten: Liste vorab + Genehmigung neuer Sub-Lieferanten
- Kontinuitäts-Plan: BCM/DR-Doku verfügbar, RTO/RPO definiert
- Beendigung: Datenrückgabe + sichere Löschung dokumentiert
5. Kritische Lieferanten priorisieren
Kritikalitäts-Matrix (vereinfacht):
| Lieferant | Geschäfts-Auswirkung Ausfall | Datensensibilität | Score |
|---|---|---|---|
| IT-Hosting (AWS/Azure) | kritisch (alle Systeme) | hoch (alle Daten) | 9/10 |
| ERP-SaaS (SAP, MS Dyn.) | kritisch | hoch (Finanz) | 9/10 |
| E-Mail-Dienst (M365) | kritisch | mittel-hoch | 8/10 |
| HR-SaaS (Workday) | hoch | hoch (sondersensibel) | 8/10 |
| Marketing-CRM (HubSpot) | mittel | mittel | 5/10 |
| Druckerei (Werbematerial) | niedrig | niedrig | 2/10 |
6. Praxisbeispiele 2025
- Mittelständler 250 MA: 47 Lieferanten identifiziert, davon 8 kritisch. Audit-Aufwand: 12 Personentage einmalig + 3 PT/Jahr.
- Groß-KMU 800 MA: 120 Lieferanten, 18 kritisch. ISO-27001-Zertifikat als Standard-Anforderung. 25 Personentage einmalig.
- Energieversorger: nach BSI-KritisV zusätzlich KritisV § 8a — strengere Audit-Pflichten.
Häufig gestellte Fragen
Welche Lieferanten muss ich auditieren?
Risikobasiert: alle, deren Ausfall oder Kompromittierung kritische Geschäftsprozesse stören würde. Mindestens IT-Hosting, Cloud-Software, IT-Wartung.
Reicht eine Selbstauskunft des Lieferanten?
Bei kritischen Lieferanten nein. Pflicht: Audit-Recht im AVV, jährliche Wirksamkeitsprüfung, ggf. ISO 27001-Zertifikat anfordern.
Was ist mit Cloud-Anbietern (AWS, Azure, GCP)?
Hyperscaler haben SOC 2 + ISO 27001. Pflicht: Drittland-Bewertung, Aktivierung EU-Datenboundary, Customer-Lockbox-Funktion, Vertrags-AVV mit § 30-Klauseln.
Welche Vertragsklauseln sind Pflicht?
Mind. 6: 1) Sicherheits-Standards, 2) Vorfall-Meldung 24h, 3) Recht auf Audit, 4) Sub-Lieferanten-Liste, 5) Kontinuitäts-Plan, 6) Beendigungs-Datenrückgabe.
Wie oft Lieferanten-Bewertung?
Jährlich. Bei kritischen Lieferanten: zusätzlich nach Sicherheitsvorfällen + bei Vertrags-Verlängerungen.
Bußgeld bei Lieferketten-Verstoß?
§ 60 BSIG: bis 10 Mio. EUR oder 2% Weltumsatz für wesentliche Einrichtungen. § 38 BSIG-Geschäftsführer-Haftung greift bei grober Pflichtverletzung.
Quellen
- BSIG 2025 (konsolidierte Fassung) — § 30 Abs. 2 Nr. 4 (Lieferketten-Sicherheit) (Stand: 02.05.2026)
- NIS-2-Umsetzungsgesetz — BGBl. 2025 I Nr. 301 (Stand: 02.05.2026)
- Richtlinie (EU) 2022/2555 (NIS2) — Art. 21 Abs. 2 lit. d (Lieferkette) (Stand: 02.05.2026)
- BSI — NIS-2 FAQ regulierte Unternehmen
Werkzeuge & Selbsttests
NIS2 Readiness-Check
Pruefen Sie Ihre NIS2-Reife in 10 Minuten.
Bussgeld-Rechner
Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen.
NIS2 Selbsttest
Bin ich betroffen? Pruefen Sie Schwellenwerte und Sektoren-Zugehoerigkeit.
NIS2 Pflichtmassnahmen-Audit
10 Pflichtmassnahmen aus Paragraph 30 BSIG mit Reifegrad-Bewertung.