NIS2 Artikel 21(2)(d) verpflichtet Organisationen ausdrücklich, sich mit der Sicherheit der Lieferkette zu befassen, einschließlich sicherheitsrelevanter Aspekte der Beziehungen zwischen jedem Unternehmen und seinen direkten Lieferanten oder Dienstleistern. Da die Umsetzungsfrist im Oktober 2027 näher rückt, mangelt es den meisten Organisationen immer noch an systematischer Transparenz über ihre Risikoexposition gegenüber Dritten. KENSAI bietet jetzt automatisierte Sicherheitsscans für die Lieferkette – überwacht kontinuierlich die externen Angriffsflächen Ihrer Lieferanten und ordnet die Ergebnisse den NIS2-Compliance-Anforderungen zu.
⚡ 73 % der Verstöße im Jahr 2025 betrafen einen Drittanbieter. NIS2 macht die Sicherheit der Lieferkette zu einer gesetzlichen Verpflichtung – KENSAI automatisiert sie.
Die NIS2-Richtlinie (EU 2022/2555) führt verbindliche Sicherheitsmaßnahmen in der Lieferkette für alle wesentlichen und wichtigen Einheiten ein. Artikel 21 Absatz 2 Buchstabe d verlangt von Organisationen, „Sicherheit in der Lieferkette, einschließlich sicherheitsbezogener Aspekte in Bezug auf die Beziehungen zwischen jedem Unternehmen und seinen direkten Lieferanten oder Dienstleistern“, umzusetzen. Dabei handelt es sich nicht um eine Empfehlung, sondern um eine gesetzliche Verpflichtung mit Durchsetzungskraft.
Wesentliche Unternehmen müssen mit Geldstrafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes rechnen, je nachdem, welcher Betrag höher ist. Auf wichtige Unternehmen drohen bis zu 7 Mio. Euro bzw. 1,4 % des Umsatzes. Die tatsächlichen Kosten sind jedoch operativer Natur: Artikel 32 von NIS2 ermöglicht es den Aufsichtsbehörden, Zertifizierungen auszusetzen, Einzelpersonen von Führungspositionen auszuschließen und verbindliche Anweisungen mit Fristen aufzuerlegen.
NIS2 gilt für über 160.000 Unternehmen in der gesamten EU und deckt 18 Sektoren ab, von Energie und Verkehr bis hin zu digitaler Infrastruktur und IKT-Dienstmanagement. Jedes dieser Unternehmen verfügt über Dutzende bis Hunderte von Lieferanten – wodurch eine Kaskade von Sicherheitsverpflichtungen entsteht, die manuell nicht verwaltet werden kann.
Das Forschungsteam von KENSAI analysierte die externen Angriffsflächen von jeweils 2.400 europäischen Organisationen und ihren zehn größten Lieferanten und deckte alarmierende Lücken in der Sicherheitslage der Lieferkette auf:
Zwei Drittel der Drittanbieter in unserem Datensatz hatten mindestens eine kritische Schwachstelle (CVSS 9.0+) in ihrer externen Infrastruktur, darunter ungepatchte VPNs, offengelegte Admin-Panels und falsch konfigurierter Cloud-Speicher.
Nur 18 % der befragten Unternehmen verfügten über ein strukturiertes Sicherheitsbewertungsprogramm durch Dritte. Die meisten verlassen sich auf jährliche Fragebögen – eine Momentaufnahme zu einem bestimmten Zeitpunkt, die innerhalb weniger Wochen veraltet ist.
Es dauert fast zehn Monate, bis Unternehmen Verstöße erkennen, die von Vektoren Dritter ausgehen – das ist 2,3-mal länger als bei direkten Angriffen. Eine kontinuierliche Überwachung reduziert diese Zeit auf unter 48 Stunden.
Die durchschnittlichen Kosten eines Lieferkettenverstoßes betragen 4,2 Millionen Euro – fast das Dreifache der Kosten eines direkten Verstoßes – aufgrund der Reaktion mehrerer Parteien auf Vorfälle, der rechtlichen Komplexität und der kaskadierenden nachgelagerten Auswirkungen.
Mit dem neuen Modul für Lieferkettensicherheit von KENSAI können Sie Ihre Lieferanten und Dienstleister zu einem Überwachungs-Dashboard hinzufügen. Wir scannen kontinuierlich ihre externe Angriffsfläche – Webanwendungen, APIs, E-Mail-Infrastruktur, DNS-Konfiguration, TLS-Zertifikate und offengelegte Dienste – und machen Sie auf Änderungen in ihrer Sicherheitslage aufmerksam.
Jeder Anbieter erhält eine dynamische Sicherheitsbewertung (A–F), die auf seiner externen Haltung basiert. Die Bewertung berücksichtigt den Schweregrad der Schwachstelle, die Patch-Kadenz, die Konfigurationshygiene, die Zertifikatsverwaltung und historische Trends. Die Ergebnisse werden kontinuierlich aktualisiert – nicht nur während der jährlichen Überprüfungen.
Jede Feststellung wird automatisch den Anforderungen von NIS2 Artikel 21 zugeordnet und zeigt genau, welche Compliance-Verpflichtungen von den Sicherheitslücken jedes Anbieters betroffen sind. Erstellen Sie revisionssichere Berichte, die Ihre Sorgfaltspflicht beim Management von Lieferkettenrisiken belegen.
Vergleichen Sie Anbieter untereinander und mit Branchen-Benchmarks. Identifizieren Sie, welche Lieferanten das höchste Risiko darstellen, verfolgen Sie Verbesserungen im Laufe der Zeit und treffen Sie datengesteuerte Beschaffungsentscheidungen. Nutzen Sie die Sicherheitslage als Kriterium für die Anbieterauswahl – wie es NIS2 vorsieht.
Über die Bereitstellung von Werkzeugen hinaus erfordert die NIS2-Konformität einen strukturierten Ansatz für das Risikomanagement in der Lieferkette. Hier ist ein Rahmen, der den Anforderungen von Artikel 21 entspricht:
Führen Sie eine vollständige Bestandsaufnahme aller Lieferanten und Dienstleister. Klassifizieren Sie sie nach der Kritikalitätsstufe – welche Auswirkungen hätte eine Kompromittierung dieses Anbieters auf Ihren Betrieb? NIS2 betont die Verhältnismäßigkeit: Kritische Lieferanten verdienen eine genauere Prüfung.
Aktualisieren Sie Lieferantenverträge, um Sicherheitsverpflichtungen, Anforderungen zur Meldung von Vorfällen und Auditrechte aufzunehmen. Artikel 21 Absatz 3 von NIS2 erwähnt ausdrücklich die Notwendigkeit, „die Ergebnisse koordinierter Sicherheitsrisikobewertungen kritischer Lieferketten“ zu berücksichtigen.
Ersetzen Sie jährliche Fragebögen durch kontinuierliche Überwachung. Die Sicherheitslage ändert sich täglich – Ihre Einschätzungen sollten das auch tun. Der Supply-Chain-Scanner von KENSAI sorgt automatisch für diese kontinuierliche Transparenz.
Entwickeln Sie Playbooks für Vorfälle in der Lieferkette. An wen wenden Sie sich beim Anbieter? Was ist das Kommunikationsprotokoll? Wie dämmen Sie kaskadierende Auswirkungen ein? Gemäß NIS2 Artikel 23 ist die Meldung von Vorfällen innerhalb von 24 Stunden erforderlich – Vorfälle in der Lieferkette sind keine Ausnahme.
Erhalten Sie in 60 Sekunden einen kostenlosen Sicherheitsscan Ihrer Website
Kostenloser Sicherheitsscan →