NIS2 wirkt über die direkt betroffenen Betreiber hinaus. Auch die Lieferkette muss cybersicher sein. Zulieferer müssen Maßnahmen dokumentieren – von Patchmanagement bis Incident Response.
Cyberangreifer nutzen schwache Partner als Einfallstor in Unternehmen. Deswegen rückt NIS2 nun auch die Lieferkette in den Fokus. Zulieferer müssen ein angemessenes, dokumentiertes Cybersicherheitsniveau vorweisen und realistische Zusagen machen.
(Bild: KI-generiert)
Die europäische NIS2-Richtlinie richtet sich formal an Betreiber kritischer Infrastrukturen sowie an besonders wichtige Einrichtungen. In der Praxis reicht ihre Wirkung jedoch deutlich weiter. Immer mehr Unternehmen beginnen damit, Cyberrisiken entlang ihrer gesamten Lieferkette systematisch zu bewerten. Damit geraten auch zahlreiche Zulieferer in den Fokus, die selbst gar nicht direkt unter die Regulierung fallen.
Für viele mittelständische Unternehmen entsteht dadurch eine neue Realität. Maschinenbauer, Komponentenhersteller oder spezialisierte Dienstleister erhalten zunehmend umfangreiche Cybersecurity-Fragebögen, Vertragsanhänge oder zusätzliche Sicherheitsanforderungen von ihren Großkunden. In vielen Fällen orientieren sich diese Anforderungen an internationalen Sicherheitsstandards oder an Konzernrichtlinien großer Industrieunternehmen.
Die Herausforderung liegt dabei weniger in der grundsätzlichen Bedeutung von IT-Sicherheit. Cybersecurity ist längst ein zentraler Faktor für stabile Produktions- und Lieferketten geworden. Schwieriger ist die praktische Umsetzung. Viele Anforderungen stammen aus Sicherheitsarchitekturen großer Organisationen und sind für mittelständische Unternehmen nicht ohne Weiteres übertragbar.
Cyberangriffe über Zulieferer gehören inzwischen zu den häufigsten Angriffsszenarien. Wenn ein Unternehmen seine eigenen Systeme gut absichert, suchen Angreifer gezielt nach schwächeren Partnern innerhalb der Wertschöpfungskette. Ein kompromittierter Dienstleister oder Zulieferer kann dabei zum Einfallstor für größere Angriffe werden.
Prominente Cyberangriffe der vergangenen Jahre haben gezeigt, dass genau dieser Weg häufig gewählt wird. Angreifer nutzen kleinere Partnerunternehmen, um Zugriff auf größere Organivsationen zu erhalten oder deren Produktionssysteme zu stören. Aus Sicht großer Unternehmen ist es daher nachvollziehbar, die Sicherheitsstrukturen ihrer Lieferanten genauer zu prüfen. NIS2 verstärkt diesen Ansatz zusätzlich. Regulierte Unternehmen sind verpflichtet, Risiken entlang ihrer Lieferkette zu berücksichtigen. Dadurch entstehen neue Anforderungen an Lieferanten und Geschäftspartner. In der Praxis zeigt sich diese Entwicklung vor allem in Form strukturierter Sicherheitsbewertungen. Unternehmen möchten nachvollziehen können, wie ihre Zulieferer mit Cyberrisiken umgehen und welche Schutzmaßnahmen umgesetzt sind.
Viele Lieferantenfragebögen orientieren sich an etablierten Sicherheitsstandards. Typische Fragen betreffen grundlegende technische Schutzmaßnahmen wie Patchmanagement, Zugriffskontrollen oder die Absicherung administrativer Zugänge. Auch Themen wie Netzwerksegmentierung, Backup-Strategien oder Multi-Faktor-Authentifizierung tauchen regelmäßig auf. Ziel ist es, sicherzustellen, dass kritische Systeme geschützt sind und Angriffe möglichst früh erkannt werden können.
Neben technischen Maßnahmen rücken zunehmend organisatorische Aspekte in den Fokus. Kunden fragen nach Sicherheitsrichtlinien, klar definierten Verantwortlichkeiten für Informationssicherheit oder Prozessen zur Behandlung von Sicherheitsvorfällen. Gerade an dieser Stelle entsteht im Mittelstand häufig ein Spannungsfeld. Viele Unternehmen verfügen durchaus über funktionierende Sicherheitsabläufe, diese sind jedoch selten formal dokumentiert. Entscheidungen werden pragmatisch getroffen, Verantwortlichkeiten sind intern bekannt. Für Sicherheitsbewertungen durch große Kunden reicht diese informelle Struktur jedoch nicht aus. Unternehmen müssen ihre Sicherheitsmaßnahmen nachvollziehbar beschreiben und belegen können.
Zwischen Sicherheitsniveau und wirtschaftlicher Realität
Ein zentrales Problem entsteht, wenn Sicherheitsanforderungen aus Konzernumgebungen unverändert auf kleinere Unternehmen übertragen werden. Während große Organisationen über eigene Security-Teams und umfangreiche Sicherheitsplattformen verfügen, müssen mittelständische Unternehmen ihre Ressourcen deutlich effizienter einsetzen. Fragen nach einem rund um die Uhr besetzten Security Operations Center oder nach komplexen Monitoring-Infrastrukturen sind für viele Zulieferer organisatorisch und wirtschaftlich kaum realistisch. Das bedeutet jedoch nicht automatisch ein geringeres Sicherheitsniveau. Cybersecurity muss immer im Verhältnis zur Unternehmensgröße und zum tatsächlichen Risiko betrachtet werden. Für mittelständische Unternehmen können beispielsweise externe Sicherheitsdienstleister eine praktikable Lösung darstellen. Managed Security Services ermöglichen eine kontinuierliche Überwachung von IT-Systemen, ohne dass eigene große Sicherheitsabteilungen aufgebaut werden müssen. Ein solcher Ansatz erlaubt es, ein angemessenes Sicherheitsniveau zu erreichen, ohne die organisatorischen Grenzen eines mittelständischen Unternehmens zu überschreiten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wenn Sicherheitsanforderungen Teil von Verträgen werden
Eine Entwicklung ist besonders relevant: Cybersecurity wird zunehmend Bestandteil von Lieferantenverträgen. Sicherheitsfragebögen sind daher nicht nur ein formaler Prozess, sondern können direkte Auswirkungen auf Geschäftsbeziehungen haben. In manchen Fällen werden Anforderungen oder Sicherheitszusagen vertraglich festgehalten. Werden diese später nicht eingehalten, können daraus Haftungsfragen entstehen. Gerade deshalb sollten Unternehmen Sicherheitsfragebögen sorgfältig prüfen. Die größte Gefahr besteht nicht unbedingt in fehlenden Sicherheitsmaßnahmen, sondern in unrealistischen Zusagen. Manche Unternehmen bestätigen Anforderungen vorschnell, weil sie befürchten, sonst Aufträge zu verlieren. Langfristig kann diese Strategie jedoch riskant sein. Wird eine Sicherheitsmaßnahme bestätigt, die im Unternehmen tatsächlich nicht existiert, entsteht ein potenzielles Haftungsrisiko.
Cybersecurity wird zum Faktor stabiler Lieferketten
Die zunehmende Digitalisierung industrieller Prozesse verstärkt die gegenseitigen Abhängigkeiten zwischen Unternehmen. Produktionssysteme, Logistikplattformen und digitale Schnittstellen verbinden ganze Netzwerke von Partnern. Cybersecurity entwickelt sich damit zu einem gemeinsamen Thema entlang der gesamten Wertschöpfungskette. Unternehmen müssen nicht nur ihre eigene Infrastruktur schützen, sondern auch die Sicherheitsrisiken ihrer Partner berücksichtigen. Für viele mittelständische Zulieferer bedeutet das vor allem eine stärkere Strukturierung ihrer Sicherheitsmaßnahmen. Eine klare Übersicht über bestehende Schutzmaßnahmen, dokumentierte Prozesse und eine transparente Kommunikation gegenüber Kunden werden zunehmend wichtiger.
Mit der Umsetzung von NIS2 wird Cybersecurity endgültig zu einem Thema, das über einzelne Unternehmen hinausreicht. Sicherheitsrisiken werden zunehmend entlang der gesamten Lieferkette betrachtet. Für Zulieferer bedeutet das vor allem eine realistische Bewertung der eigenen Sicherheitsstrukturen. Unternehmen, die ihre Maßnahmen systematisch erfassen, Prozesse dokumentieren und Anforderungen kritisch prüfen, schaffen Vertrauen bei ihren Kunden und vermeiden gleichzeitig unrealistische Verpflichtungen. Cybersecurity wird damit zu einem zentralen Stabilitätsfaktor moderner industrieller Lieferketten. Wer Sicherheitsanforderungen frühzeitig strukturiert angeht, stärkt nicht nur die eigene Resilienz, sondern auch die Verlässlichkeit der gesamten Wertschöpfungskette.
Über den Autor: ist Geschäftsführer von CyberKom. Nach über 25 Jahren in leitenden Rollen bei internationalen IT-Projekten gründete er sein eigenes Unternehmen, das heute unter dem Dach der Deutschen CyberKom IT-Security und Telekommunikation strategisch vereint. Als Berater betreut Thomas Kress führende Unternehmen sowie Systemhäuser in Sicherheitsfragen, Infrastruktur und digitaler Souveränität.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/82/83/8283d1d700e0582909b74705cc6c4e28/0131665494v2.jpeg "Die kritische Schwachstelle CVE-2026-20223 mit CVSS 10.0 erlaubt unauthentifizierten Angreifern Site-Admin-Rechte in Cisco Secure Workload zu erlangen. Patches sind verfügbar. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/7d/d37da587e71df94e386d637359e2dd20/0131661753v2.jpeg "Underminr leitet Verbindungen über fremde CDN-Mandanten und tarnt dabei C2-Verkehr hinter erlaubten Domains. Rund 88 Millionen Domains sind potenziell betroffen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/33/ed/33edaf32cea5c2a27807d46be06a48d9/0131662547v1.jpeg "Das FBI warnt: Kali365 missbraucht den legitimen OAuth Device Code Flow um MFA zu umgehen. Nutzer autorisieren Angreifer unwissentlich auf echter Microsoft-Seite. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e2/19/e219fa017340d60b8be01c103b884af0/0131550436v1.jpeg "Strategie, Governance und Sicherheit sind notwendige Leitplanken für die KI-Transformation eines Unternehmens. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b1/7f/b17f03bc089f2d895c95a746beb68318/0131662291v2.jpeg "Data Lineage macht sichtbar, wohin Daten wirklich fließen. Mit dem Vormarsch autonomer KI-Agenten wird Nachverfolgbarkeit zur operativen Notwendigkeit für Sicherheitsteams. (Bild: © Natalia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/52/aa/52aa56cfa8429500aed9c345cb3b5b26/0131021993v1.jpeg "Ein Blick in das Lernlabor des Konsortiums des Fraunhofer IESE und der Hochschule Worms in Kaiserslautern.
(Bild: Fraunhofer IESE)")
:quality(80)/p7i.vogel.de/wcms/ef/96/ef968c088417e27d44ff79e11ce3b74c/0131016395v1.jpeg "Proxmox Backup Server ist eine Software zur Sicherung und Wiederherstellung von virtuellen Maschinen, Containern und physischen Hosts. (Bild: Proxmox)")
:quality(80)/p7i.vogel.de/wcms/b8/e8/b8e8b6218eb7be40fe2a3a80cb992a2d/0131667121v1.jpeg "Europäische digitale Souveränität bedeutet nicht Abschottung, sondern kontrollierte Öffnung. Wer die kryptografischen Schlüssel hält, behält die Datenkontrolle unabhängig vom Standort. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b3/63/b363742bedc517d975030360caab8ef6/0131643019v2.jpeg "KI-Agenten brauchen Secrets für jeden Prozess und erweitern damit die Angriffsfläche. Dynamisches Secrets Management mit kurzlebigen Credentials minimiert dieses Risiko. (Bild: © Arnab Dey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/aa/7a/aa7a37e01df4a1fa1683a6e5db42de63/0131248459v2.jpeg "Cyberangreifer nutzen schwache Partner als Einfallstor in Unternehmen. Deswegen rückt NIS2 nun auch die Lieferkette in den Fokus. Zulieferer müssen ein angemessenes, dokumentiertes Cybersicherheitsniveau vorweisen und realistische Zusagen machen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ac/7d/ac7de267fffd98226a6feeee8275e6de/0128963385v2.jpeg "NIS 2 gilt! Alles, was Unternehmen dazu nun wissen müssen, gibt es im Fakten-Check mit Prof. Dennis-Kenji Kipker im Security-Insider-Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/de/7fde7f3479bb930bd007e1d8e7a09ffb/0128963385v1.jpeg "Wir sprechen im Security-Insider-Podcast mit Rechtsanwalt Dr. Dr. Fabian Teichmann über Haftungsfragen im Rahmen der NIS-2-Richtlinie und geben auch gleich konkrete Handlungsempfehlungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/eb/6d/eb6d7fd969a97cd8508b3f3a0af566ae/0130846598v1.jpeg "Cybersicherheit endet nicht an der Unternehmensgrenze. Die Lieferkette wird zunehmend zum trojanischen Pferd, über das Angreifer in geschützte Systeme eindringen. (Bild: © Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/f6/b3f6bbdf0f6bffac6f5a51a2579644f4/0128963385v1.jpeg "Wir sprechen im Podcast mit Jannik Christ über pragmatische Ansätze für die NIS2-Umsetzung im Mittelstand. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/be/62/be621f2323e9fc15a65708895e48cd26/0130314714v2.jpeg "Globale Lieferketten bringen Effizienz, aber auch Abhängigkeiten. Auch kleine Zulieferer können zur großen Schwachstelle werden. (Bild: © Travel mania - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/75/c5754ce1c35d5c702b48494667c66be3/0125539543v2.jpeg "Lieferketten sind ein attraktives Ziel für Cyberkriminelle, besonders wenn wirtschaftlicher Druck zu Abstrichen bei der IT-Sicherheit führt. (Bild: © Travel mania - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/fc/4cfcd4772748b18f538f0157b1cbdf8f/0127931875v2.jpeg "In 28 Prozent der Fälle gab es der Bitkom-Umfrage zumindest den Verdacht, dass ein Zulieferer das Einfallstor für Cyberkriminelle war. (Bild: Bitkom Research 2025)")
:quality(80)/p7i.vogel.de/wcms/17/8a/178adfcae6a5118114db0c080d934c44/0103429155.jpeg "Auch im Zusammenhang mit der Supply-Chain-Security gilt nach wie vor das Sprichwort: Jede Kette ist nur so stark wie ihr schwächstes Glied. (Bild: Romolo Tavani - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/6d/eb6d7fd969a97cd8508b3f3a0af566ae/0130846598v1.jpeg "Cybersicherheit endet nicht an der Unternehmensgrenze. Die Lieferkette wird zunehmend zum trojanischen Pferd, über das Angreifer in geschützte Systeme eindringen. (Bild: © Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/62/be621f2323e9fc15a65708895e48cd26/0130314714v2.jpeg "Globale Lieferketten bringen Effizienz, aber auch Abhängigkeiten. Auch kleine Zulieferer können zur großen Schwachstelle werden. (Bild: © Travel mania - stock.adobe.com)")