NIS2-Lieferketten- und Drittpartei-Risikomanagement: Vollständiger Leitfaden 2026
Alles über NIS2-Anforderungen für Lieferkettensicherheit — ICT-Drittanbieter-Register, Sicherheitsbewertungen, vertragliche Pflichten und wie Sie Ihr Lieferkettenrisiko managen.
Lieferkettenangriffe haben 2025 einen neuen Höhepunkt erreicht. NIS2 reagiert mit expliziten Anforderungen an das Drittpartei-Risikomanagement (Artikel 21 Absatz 2 Buchstabe d). Dieser Leitfaden zeigt, was zu tun ist.
Was NIS2 für die Lieferkette fordert
Artikel 21 Absatz 2 Buchstabe d) verlangt:
„Sicherheit in der Lieferkette, einschließlich sicherheitsbezogener Aspekte bei den Beziehungen zwischen der Einrichtung und ihren direkten Lieferanten oder Dienstleistern”
Konkret bedeutet das:
- Vollständiges Verzeichnis aller ICT-Drittanbieterbeziehungen
- Risikobewertung jedes kritischen Lieferanten
- Vertragliche Sicherheitsklauseln mit Lieferanten
- Regelmäßige Überprüfung der Lieferantensicherheit
- Notfallplan für den Ausfall kritischer Lieferanten
Das ICT-Drittanbieter-Register
Jede erfasste Einrichtung muss ein Register pflegen mit:
| Feld | Beschreibung |
|---|---|
| Lieferant | Name, Land, Rechtsform |
| Dienstleistung | Art der ICT-Dienstleistung |
| Kritikalität | Hoch/Mittel/Niedrig |
| Datenschutz | DSGVO-Vertrag vorhanden? |
| Sicherheitszertifikate | ISO 27001, SOC 2 etc. |
| Vertraglicher Status | Sicherheitsklauseln ja/nein |
| Letzte Überprüfung | Datum der letzten Sicherheitsbewertung |
| Ausweichoption | Alternativer Lieferant vorhanden? |
Bewerbung auf die Cyberversicherung
Lieferkettensicherheit wird zunehmend zum Underwriting-Kriterium:
- Vollständiges Lieferantenregister → Vertrauensvorschuss
- Fehlendes Register → Risikoindikator
- Kritische Lieferanten ohne Sicherheitsklauseln → Deckungseinschränkung möglich
Prüfen Sie Ihre NIS2-Lieferketten-Compliance mit dem NIS2-Checker und nutzen Sie die Compliance-Checkliste.
Michael Guiao Michael Guiao gründete Resiliently AI und schreibt Resiliently. Er hat CISM, CCSP, CISA und DPO-Zertifizierungen — aber sie verfallen lassen, denn im Zeitalter von KI ist Wissen billig. Worauf es ankommt, ist Urteilskraft — und die kommt aus acht Jahren Praxis bei Zurich, Sompo, AXA und PwC.
Get the full picture with premium access
In-depth reports, assessment tools, and weekly risk intelligence for cyber professionals.
Professional
Full platform — continuous monitoring, API access, white-label reports
Everything in Starter plus professional tools
Upgrade Now →Free NIS2 Compliance Checklist
Get the free 15-point PDF checklist + NIS2 compliance tips in your inbox.
No spam. Unsubscribe anytime. Privacy Policy
blog.featured
WordPress Plugin Flaw CVE-2023-4213 Exposes 10K+ Sites to Cyber Claims
6 min read
WordPress Plugin XSS Vulnerability Exposes Cyber Insurance Portfolios to Persistent Web Risks
5 min read
WordPress Security Plugin Flaw Exposes Organizations to Cyber Claims
6 min read
WordPress Plugin Flaw Exposes Cyber Insurance Portfolios to SQL Injection Risks
6 min read
Premium Report
2026 Cyber Risk Landscape Report
24 pages of threat analysis, claims data, and underwriting implications for European cyber insurance.
View Reports →Verwandte Artikel
DeepMind Mapped Every Way the Web Can Hijack Your AI Agent — Here Is What Underwriters Need to Ask
Google DeepMind researchers classified six categories of AI agent attacks — from invisible web content that hijacks perception to cascading multi-agent failures. Coverage gaps emerge at every layer. Here is the underwriting playbook.