Cyber-Security im Einkauf
Cyber-Security im Einkauf
Cyber-Security im Einkauf umfasst alle technischen, organisatorischen und vertraglichen Maßnahmen, mit denen Beschaffungsprozesse, Lieferanten-Schnittstellen und der Informationsfluss in der Lieferkette gegen Cyber-Angriffe geschützt werden. Treiber im DACH-Raum ist die NIS2-Richtlinie (EU) 2022/2555, die seit dem 18. Oktober 2024 die alte NIS-Richtlinie ablöst, sowie die deutsche Umsetzung im NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das das BSI-Gesetz novelliert. Methodische Grundlage in Deutschland ist der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Bonn mit über 100 Bausteinen und einem dreistufigen Schutzbedarfskonzept. Im Einkauf manifestiert sich das Thema in Lieferanten-Cyber-Klauseln, Schutzbedarfsanalysen für Beschaffungs-IT und Vorfallmeldepflichten gegenüber Bestellern aus regulierten Branchen.
Detaillierte Erklärung
NIS2 erweitert den Geltungsbereich der EU-Cybersicherheitsregulierung erheblich: Schätzungen des Fraunhofer IESE in Kaiserslautern und der Plattform OpenKRITIS gehen für Deutschland von rund 30.000 betroffenen Unternehmen aus, gegenüber etwa 4.500 unter der alten Regelung. Die Richtlinie unterscheidet 18 Wirtschaftssektoren, davon 11 als "Sektoren mit hoher Kritikalität" (Energie, Verkehr, Bankwesen, Finanzmarkt, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Service-Management, öffentliche Verwaltung, Weltraum) und 7 als "sonstige kritische Sektoren". Schwellenwerte sind 50 Mitarbeiter und 10 Millionen Euro Jahresumsatz für "wichtige Einrichtungen" sowie 250 Mitarbeiter und 50 Millionen Euro für "besonders wichtige Einrichtungen". Artikel 21 NIS2 verlangt zehn konkrete Maßnahmen, darunter Risikoanalyse, Vorfallbehandlung, Business Continuity, Lieferketten-Sicherheit, Schwachstellenmanagement, Verschlüsselung, Personalschulung und Multi-Faktor-Authentifizierung. Artikel 23 schreibt eine Erstmeldung schwerer Vorfälle binnen 24 Stunden an das BSI vor, eine Detailmeldung binnen 72 Stunden und einen Abschlussbericht binnen einem Monat. Bußgelder reichen bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen, bis 7 Millionen Euro oder 1,4 Prozent für wichtige Einrichtungen. Der BSI IT-Grundschutz definiert mit Bausteinen wie OPS.1.2.5 (Fernwartung) und CON.1 (Kryptokonzept) die Standardmaßnahmen, die ISO 27001 nach IT-Grundschutz im DACH dominiert mit über 1.300 Zertifizierungen Stand 2025. Lieferanten-Cyber-Klauseln in Verträgen werden zur Pflichtkür: Sie regeln Mindeststandards (z.B. ISO 27001, TISAX im Automotive), Audit-Rechte, Subunternehmer-Genehmigung, Vorfallmeldung an den Auftraggeber binnen 24 bis 72 Stunden und Vertragsstrafen bei Verstoß.
Praxisbeispiel (konkretes Einkaufsszenario)
Ein baden-württembergischer Maschinenbauer mit 950 Mitarbeitern und 312 Millionen Euro Umsatz fällt als "wichtige Einrichtung" im Sektor verarbeitendes Gewerbe unter NIS2. Im Februar 2025 erhält der Einkauf von der IT-Sicherheit den Auftrag, alle 1.420 aktiven Lieferanten in drei Klassen zu segmentieren: Klasse A (kritische ICT-Anbieter, 38 Lieferanten), Klasse B (sonstige IT-Berührung, 184 Lieferanten), Klasse C (keine IT-Anbindung, 1.198 Lieferanten). Für Klasse A wird ein neuer Vertragsanhang "Cyber-Security-Anforderungen Tier 1" entwickelt, der ISO 27001 oder gleichwertig fordert, eine Vorfallmeldung binnen 24 Stunden, ein jährliches Penetrationstest-Reporting und eine Vertragsstrafe von 25.000 Euro pro nicht gemeldetem Vorfall. Bei einer der Top-3-CAD-Software-Anbieter scheitert die Verhandlung zunächst an der 24-Stunden-Meldefrist; nach drei Verhandlungsrunden über vier Monate einigt man sich auf 36 Stunden bei reduzierter Vertragsstrafe von 15.000 Euro. Parallel führt der Einkauf eine Schutzbedarfsanalyse für das eigene SRM-Tool nach BSI IT-Grundschutz durch, Ergebnis ist Schutzbedarf "hoch" für Lieferantenstammdaten. Das Projekt dauert 9 Monate, die Vertragsanpassungen verursachen externe Anwaltskosten von 78.000 Euro. Im November 2025 wird ein Phishing-Angriff auf einen Klasse-A-Lieferanten in Polen gemeldet; dank der vertraglichen Meldefrist erhält das Unternehmen die Information binnen 31 Stunden und kann betroffene API-Schnittstellen abschalten, bevor Daten abfließen.
Typische Fehler & Verhandlungskontext
Drei Fehler treten regelmäßig auf. Erstens unterschätzt der Einkauf den Geltungsbereich von NIS2; das Gesetz wirkt mittelbar weiter über die Lieferketten-Klausel des Artikels 21 Absatz 2 Buchstabe d, sodass auch nicht direkt regulierte KMU faktisch als Lieferanten betroffen sind und die Anforderungen ihrer Kunden erfüllen müssen. Zweitens fehlen Audit-Rechte in den Lieferantenverträgen, oder sie sind so weich formuliert, dass eine Vor-Ort-Prüfung praktisch unmöglich wird; ohne harte Audit-Klausel mit 30-Tage-Vorankündigung und Recht auf externe Prüfer ist ISO 27001 als Vertragsanforderung wertlos. Drittens werden Bestandsverträge mit kritischen Software- und Cloud-Anbietern nicht nachverhandelt; gerade bei US-Anbietern wie Microsoft, Salesforce oder Oracle scheitert die Anpassung oft an Standardverträgen, hier hilft nur die kollektive Verhandlung über Branchenverbände wie Bitkom in Berlin oder VDMA in Frankfurt. In der Anbieterauswahl für GRC-Tools wie ServiceNow IRM, OneTrust, Drata oder Verinice (BSI-Eigenentwicklung) ist zentral, dass die Plattform sowohl NIS2-Artikel-21-Maßnahmen als auch BSI-IT-Grundschutz-Bausteine als Frameworks abbildet; sonst doppelt sich der Pflegeaufwand zwischen Compliance- und IT-Sicherheit.
Verwandte Begriffe
[[bec-business-email-compromise]], [[ceo-fraud]], [[phishing-beschaffung]], [[lieferantenscam]], [[iso-37301-compliance]], [[audit-trail-einkauf]], [[datenschutzaudit]], [[internal-audit-einkauf]]