NIS2 und die Lieferkette: Warum Ihre Dienstleister zum Risiko werden
Die NIS2-Richtlinie der EU weitet die Cybersicherheitspflichten massiv aus. Was viele übersehen: Auch Unternehmen, die nicht direkt betroffen sind, geraten durch die Lieferkettenanforderungen in den Fokus. Ihre Dienstleister werden zum Compliance-Faktor.
Artikel 21 der NIS2-Richtlinie verpflichtet betroffene Organisationen, die Cybersicherheit ihrer gesamten Lieferkette zu bewerten und zu überwachen.
Was ist NIS2?
Die Network and Information Security Directive 2 (NIS2, EU 2022/2555) ist die Nachfolgerin der ursprünglichen NIS-Richtlinie von 2016. Sie trat Ende 2024 in Kraft und wird derzeit in nationales Recht umgesetzt:
| Land | Umsetzung |
|---|---|
| 🇦🇹 Österreich | NISG 2026 |
| 🇩🇪 Deutschland | BSIG-Novelle |
Der Anwendungsbereich wurde deutlich erweitert: Neben kritischer Infrastruktur (Energie, Verkehr, Gesundheit) fallen nun auch digitale Dienste, öffentliche Verwaltung und deren Zulieferer unter die Regelung.
Der Artikel-21-Effekt: Die Lieferkette im Visier
- Sicherheitsprüfungen: Kunden müssen Ihre Sicherheitsmaßnahmen prüfen
- Vertragskündigung: Unzureichende Sicherheit kann zur Kündigung führen
- Gemeinsame Haftung: Bei Sicherheitsvorfällen haften beide Seiten
Für kleine und mittlere Unternehmen, die bisher unter dem Radar flogen, ändert sich damit alles.
Das neue Auswahlkriterium: "Safe Supplier"
In der Praxis etabliert sich ein neues Konzept: der "Safe Supplier" – ein Dienstleister, der nachweislich hohe Sicherheitsstandards erfüllt.
Merkmale eines Safe Suppliers
| Kriterium | Warum es zählt |
|---|---|
| ISO 27001 | De-facto-Standard für systematisches Informationssicherheits-Management |
| EU-Datenverarbeitung | Reduziert regulatorisches Risiko erheblich |
| Transparente Subdienstleister | Vollständige Sicht auf die Lieferkette |
| Incident-Response-Fähigkeit | Klare Eskalationswege bei Vorfällen |
Fragen an Ihren Medienplattform-Anbieter
Stellen Sie diese Fragen bei jeder Plattform-Evaluierung:
| Frage | Worauf Sie achten sollten |
|---|---|
| Wo werden meine Daten gespeichert? | EU-only vs. global, Jurisdiktion des Anbieters |
| Welche KI-Dienste werden genutzt? | US-Dienste wie OpenAI = Risiko |
| Wie ist die Zertifizierungslage? | ISO 27001, SOC 2 oder nur Selbstauskunft? |
| Was passiert bei einem Vorfall? | Definierte SLAs, proaktive Information |
| Wer sind die Subdienstleister? | Cloud-Provider, CDN, Analytics – volle Transparenz |
Warum europäische Anbieter im Vorteil sind
Die NIS2-Anforderungen sind eine implizite Bevorzugung europäischer Infrastruktur:
| Vorteil | Erläuterung |
|---|---|
| ✅ Kein US Cloud Act | Keine amerikanische Herausgabepflicht |
| ✅ DSGVO-Alignment | Überlappende Compliance-Anforderungen |
| ✅ Kürzere Audit-Wege | Vor-Ort-Prüfungen einfacher zu organisieren |
| ✅ Gleiche Rechtsordnung | Verträge und Haftung nach europäischem Recht |
Ein europäischer Anbieter mit ISO 27001 ist oft die risikoärmste Wahl.
Von der Pflicht zur Chance
NIS2 wird oft als Bürde dargestellt. Aber für Dienstleister, die ihre Hausaufgaben machen, ist es eine Chance: Wer frühzeitig in Sicherheit investiert, wird zum bevorzugten Partner für regulierte Branchen.
Die Frage ist nicht mehr "Brauchen wir ISO 27001?", sondern "Können wir es uns leisten, es nicht zu haben?"
Streamdiver ist konsequent auf europäische Infrastruktur ausgerichtet: ISO-zertifizierte Rechenzentren in Österreich und Deutschland, keine Abhängigkeiten von US-Hyperscalern, vollständige Transparenz über alle Subdienstleister. Mehr über unsere Sicherheitsarchitektur →