Auf den Punkt: NIS2 verpflichtet Unternehmen, die Cybersecurity ihrer Zulieferer und Dienstleister zu kontrollieren und vertraglich zu verankern.
Die NIS2-Direktive erweitert ihre Cybersecurity-Anforderungen auf die gesamte Lieferkette: Unternehmen müssen künftig auch ihre Zulieferer und externe Dienstleister regulatorisch kontrollieren und deren Sicherheit überwachen.
Die Netzwerk- und Informationssicherheitsrichtlinie NIS2 schließt eine Sicherheitslücke, die lange Zeit bestand: Große Organisationen waren zwar verpflichtet, ihre eigene IT-Infrastruktur zu schützen, mussten sich aber nicht systematisch mit den Cybersecurity-Standards ihrer Lieferanten auseinandersetzen. NIS2 ändert dies grundlegend.
Für Compliance-Verantwortliche bedeutet dies konkret: Sie müssen ihre Lieferkette dokumentieren, identifizieren welche Zulieferer und Dienstleister Zugriff auf kritische Systeme oder Daten haben, und deren Sicherheitsmechanismen überprüfen. Dies gilt insbesondere für Cloud-Anbieter, Software-Lieferanten und Managed-Service-Provider. Die Anforderungen folgen dabei einem Risikoansatz: Je kritischer die Funktion oder je sensitiver die verarbeiteten Daten, desto strenger müssen die Kontrollen sein.
Praktisch umzusetzen ist dies über Sicherheitsklauseln in Verträgen, regelmäßige Audits und Security-Assessments von Lieferanten, sowie die Definition von Mindeststandards (etwa zum Patch-Management oder zur Verschlüsselung). Unternehmen sollten zudem Eskalationsprozesse etablieren, falls ein Zulieferer gegen vereinbarte Sicherheitsstandards verstößt oder selbst Opfer einer Cyberattacke wird.
Quelle: news.google.com · Erschienen 8. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.