NIS2-betroffene Unternehmen müssen kritische Lieferanten nachvollziehbar bewerten. Dieses Assessment ordnet ein, welche Lieferanten nach §30 BSIG bewertungsrelevant sind, welche Prüftiefe naheliegt und welche Nachweise angefordert werden sollten.
| Lieferanten-Typ | Kritikalität | Notwendige Maßnahme / Nachweis |
|---|---|---|
| Cloud- / ERP-HosterProduktivsysteme, zentrale Betriebsabhängigkeit, möglicher Systemzugriff. | Stufe A · Kritisch | Vertiefte PrüfungISO 27001, SOC 2 und vertragliche 24h-Mitwirkungspflicht einfordern. |
| SaaS-Tool, z. B. CRMDatenbezug, Integrationen und Einfluss auf Vertriebs- oder Serviceprozesse. | Stufe B · Relevant | Basisprüfung mit NachweisenVerschlüsselungs-Nachweis sowie IAM- und MFA-Unterstützung dokumentieren. |
| Lokale WerbeagenturBegrenzter IT-Bezug, keine Betriebsabhängigkeit und kein privilegierter Zugriff. | Stufe C · Unkritisch | Vereinfachte DokumentationKeine NIS2-Kernrelevanz; Basis-Datenschutz ist in der Regel ausreichend. |
Für NIS2-betroffene Unternehmen, die Lieferanten nach §30 BSIG bewerten und Nachweise anfordern müssen.
Für Lieferanten, Dienstleister, MSPs und SaaS-Anbieter — einschätzen, welche Sicherheitsmaßnahmen Kunden fordern werden, wenn diese NIS2-pflichtig werden.
Arbeitshilfe: Operative Vorpriorisierung nach NIS2-/BSIG-Logik und Third-Party-Risk-Kriterien. Methodik: Bewertet werden Systemzugriff, Datenbezug, Verfügbarkeitswirkung, Abhängigkeit, Nachweisstand und Incident-Fähigkeit. Abgrenzung: Das Assessment ist kein Rechtsgutachten und ersetzt keine vollständige Lieferantenbewertung nach §30 BSIG.
Wenn Lieferantenzugriffe, offene Ausnahmen oder verzögerte Maßnahmen der Geschäftsführung vorgelegt werden müssen, wird § 38 BSIG relevant.
Haftungsrisiken nach § 38 BSIG minimierenDieses Assessment ist ein Praxis-Screening ohne Rechtscharakter. Es ersetzt keine rechtliche Prüfung und keine vollständige Lieferantenbewertung nach §30 BSIG.
Für dieses Assessment werden aggregierte Nutzungsereignisse erfasst, etwa Start, gewählte Perspektive, beantwortete Fragen, Ergebnisstufe und geklickte nächste Schritte. Es werden keine Cookies gesetzt, keine Nutzerprofile gebildet und keine IP-Adressen gespeichert.