Was CPOs jetzt wissen müssen – Pflichten, Haftung, Lieferkette & konkrete Maßnahmen für die Industrie.
Stellen Sie sich vor, ein Wartungsdienstleister, dem Sie seit Jahren vertrauen, wird Opfer eines Ransomware-Angriffs. Binnen Stunden steht Ihre Produktion still. Lieferverpflichtungen platzen. Der Schaden geht in die Millionen – und die Frage, wer haftet, landet direkt auf dem Schreibtisch der Geschäftsführung.
Kein Gedankenexperiment. Laut der aktuellen Bitkom-Studie „Wirtschaftsschutz 2025″ waren zuletzt 87 Prozent aller deutschen Unternehmen von Datendiebstahl, Sabotage oder Industriespionage betroffen. Der dadurch entstandene Gesamtschaden ist auf 289,2 Milliarden Euro gestiegen – davon gehen 70 Prozent auf Cyberangriffe zurück. Besonders alarmierend: Laut Bitkom hatten bei fast jedem zweiten betroffenen Unternehmen Angriffe auf Zulieferer direkte Folgen für den eigenen Betrieb.
Mit NIS2 im Einkauf rückt genau dieser Zusammenhang erstmals ins rechtliche Rampenlicht. Seit Dezember 2025 gilt das deutsche Umsetzungsgesetz zur EU-Richtlinie – und es verändert die Rolle der Beschaffung in produzierenden Unternehmen grundlegend. Cybersicherheit ist keine reine IT-Angelegenheit mehr. Sie ist Einkaufsthema. Und sie ist Chefsache.
Was NIS2 konkret bedeutet – und wen es trifft
Die NIS2-Richtlinie (Network and Information Security Directive) ist das derzeit schärfste EU-Regelwerk zur Cybersicherheit. In Deutschland ist sie seit dem 6. Dezember 2025 verbindlich. Rund 30.000 Unternehmen fallen direkt in den Anwendungsbereich – bei NIS1 waren es noch weniger als 2.000.
Betroffen sind „wesentliche“ und „wichtige“ Einrichtungen aus Sektoren wie Energie, Verkehr, Gesundheit, Maschinenbau und Produktion. Die entscheidende Erweiterung: Wer in den Geltungsbereich fällt, ist verpflichtet, Cyberrisiken nicht nur intern zu managen, sondern entlang der gesamten Lieferkette. IT-Dienstleister, Wartungspartner, Softwarelieferanten – sie alle werden in die Haftungskette einbezogen.
Konkret schreibt Artikel 21 der Richtlinie vor, dass betroffene Unternehmen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ umsetzen müssen. Darunter fällt explizit: die Sicherheit in der Lieferkette, einschließlich der sicherheitsrelevanten Aspekte in den Beziehungen zu unmittelbaren Lieferanten und Dienstleistern.
Die Sanktionen sind empfindlich: Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – und erstmals eine persönliche Haftung der Geschäftsleitung.
Die unterschätzte Rolle des Einkaufs
Hier liegt das eigentliche strategische Problem vieler Industrieunternehmen: Cybersicherheit in der Lieferkette wird als IT-Thema behandelt. Dabei trifft die Verantwortung strukturell zuerst den Einkauf.
Wer entscheidet, welche Dienstleister Fernzugriff auf Produktionssysteme erhalten? Der Einkauf. Wer schließt Wartungsverträge mit eingebetteten Zugangsrechten? Der Einkauf. Wer wählt Softwareanbieter und Cloud-Dienstleister aus? Der Einkauf. Und wer vereinbart die Bedingungen, unter denen diese Partner agieren? Wieder: der Einkauf.
NIS2 macht diese Entscheidungen rechtlich relevant. Ein Lieferant mit schwacher Cybersicherheitshaltung ist unter NIS2 kein kalkulierbares Restrisiko mehr, sondern ein Compliance-Problem mit Haftungsfolgen für die eigene Geschäftsführung.
Trotzdem zeigt die Praxis: In vielen Unternehmen existieren kaum systematische Prozesse, um Lieferanten nach Cyber-Kriterien zu bewerten. Laut Bitkom sagen 37 Prozent der befragten Unternehmen selbst, dass es intern am Bewusstsein für Risiken aus der Lieferkette fehlt. Und nur 37 Prozent der Unternehmen, die mit Zulieferern arbeiten, haben einen Notfallplan für Sicherheitsvorfälle bei Partnern.
Das ist die Lücke, die NIS2 schließen will – und in der der Einkauf jetzt aktiv werden muss.
Lieferantenbewertung neu denken: Vom Zertifikat zur Risikoanalyse
Der bisherige Standard – ein ISO-Zertifikat anfordern, eine Selbstauskunft einholen, fertig – reicht unter NIS2 nicht mehr aus. Die Richtlinie verlangt einen risikobasierten Ansatz. Das bedeutet: Differenzierung statt Pauschalanforderung.
Kritikalität systematisch erfassen
Nicht jeder Lieferant stellt dasselbe Risiko dar. Ein Materiallieferant ohne Systemzugang ist anders zu bewerten als ein Wartungsdienstleister mit dauerhaftem Remote-Zugriff auf Steuerungssysteme. Einkaufsabteilungen müssen lernen, diese Unterschiede zu erkennen und in ihre Prozesse zu integrieren.
Die relevanten Fragen lauten:
- Welche Lieferanten haben direkten oder indirekten Zugang zu IT/OT-Systemen?
- Welche sind für die Produktionsfähigkeit unverzichtbar?
- Welcher Ausfall würde zu unmittelbaren Betriebsunterbrechungen führen?
- Und: Welche Partner haben historisch gewachsene Zugriffsrechte, die heute möglicherweise nicht mehr notwendig oder angemessen sind?
Sicherheitsanforderungen in die Lieferantenqualifikation integrieren
Cybersicherheit muss zu einem festen Kriterium im Lieferantenauswahlprozess werden – gleichwertig mit Preis, Qualität und Lieferfähigkeit. Das bedeutet konkret: Mindestanforderungen definieren (etwa Verpflichtung zur Incident-Meldung, Nachweis technischer Basismaßnahmen, Regelungen zu Subunternehmern), diese in Ausschreibungen verankern und im Onboarding-Prozess abfragen.
Verträge als Schutzinstrument – was jetzt in Lieferantenvereinbarungen stehen muss
Verträge sind das schärfste Werkzeug des Einkaufs. Unter NIS2 werden sie zum zentralen Hebel für Lieferkettensicherheit. Was bisher als „nettes To-have“ galt, ist künftig Pflichtprogramm.
Verträge mit sicherheitsrelevanten Lieferanten sollten mindestens folgendes regeln:
- Zugriffsrechte und deren Grenzen: Wer darf was, wann und unter welchen Bedingungen? Welche Systeme sind zugänglich, welche nicht? Wie werden Zugänge dokumentiert und entzogen?
- Meldepflichten bei Sicherheitsvorfällen: NIS2 schreibt gestaffelte Meldepflichten vor (24-Stunden-Frühmeldung, 72-Stunden-Folgemeldung, Monatsbericht). Lieferanten müssen vertraglich verpflichtet sein, relevante Vorfälle unverzüglich zu melden – damit das eigene Unternehmen handlungsfähig bleibt.
- Sicherheitsnachweise und Auditrechte: Das Recht, Sicherheitsmaßnahmen beim Lieferanten prüfen oder nachweisen zu lassen, sollte explizit vereinbart sein.
- Notfall- und Eskalationsprozesse: Wie wird im Störfall kommuniziert? Wer ist erreichbar? Welche Alternativmaßnahmen stehen bereit?
Diese Anforderungen klingen umfangreich. Richtig implementiert – also abgestuft nach Kritikalität und nicht als Bürokratiemonster – sind sie jedoch beherrschbar. Der Schlüssel liegt in standardisierten Klauselmodulen, die je nach Lieferantentyp aktiviert werden.
Wo KI den Einkauf unterstützen kann
Angesichts von hunderten oder tausenden Lieferantenbeziehungen in einem mittelgroßen Industrieunternehmen stellt sich die Frage: Wie soll das operativ bewältigt werden?
Hier leisten KI-gestützte Tools heute bereits einen messbaren Beitrag – nicht als Ersatz für strategische Entscheidungen, aber als Werkzeug zur Skalierung. Moderne Procurement-Plattformen können Lieferantendaten automatisiert auf Sicherheitsindikatoren scannen, öffentlich verfügbare Informationen zu Sicherheitsvorfällen eines Anbieters aggregieren oder Vertragstexte auf fehlende NIS2-relevante Klauseln prüfen.
KI kann außerdem dabei helfen, den eigenen Lieferantenstamm nach Kritikalitätsprofilen zu segmentieren – eine Aufgabe, die manuell bei großen Portfolios schlicht nicht wirtschaftlich durchführbar wäre. So entsteht die Grundlage für eine risikobasierte Priorisierung: Welche 20 Prozent der Lieferanten verdienen 80 Prozent der Sicherheitsaufmerksamkeit?
Wichtig bleibt: KI liefert Entscheidungsunterstützung, keine Entscheidungen. Die strategische Verantwortung – welche Risiken toleriert werden, welche Lieferantenbeziehungen langfristig tragfähig sind – liegt beim Management.
Organisatorische Voraussetzungen: Einkauf, IT und Produktion müssen zusammenwachsen
Eine der häufigsten Ursachen für Sicherheitslücken in der Lieferkette ist nicht fehlendes Wissen, sondern fehlende Abstimmung. Einkauf, IT-Sicherheit, Produktion und Instandhaltung arbeiten in vielen Industrieunternehmen in getrennten Sphären. Sicherheitsrisiken entstehen genau an diesen Schnittstellen.
NIS2 legt implizit nahe, dass dies nicht mehr akzeptabel ist. Einkaufsentscheidungen mit Systemrelevanz brauchen den Input der IT. IT-Sicherheitsanforderungen, die beim Lieferanten durchgesetzt werden sollen, brauchen die Durchsetzungskraft des Einkaufs.
Das erfordert keine Restrukturierung – aber klare Prozesse. Wann wird die IT-Sicherheit in den Beschaffungsprozess einbezogen? Welche Sicherheitskriterien sind nicht verhandelbar? Wer gibt bei kritischen Lieferanten die finale Freigabe? Diese Fragen zu beantworten ist eine Führungsaufgabe – und damit auch eine Aufgabe für CPOs und die Geschäftsführung.
Was produzierenden Unternehmen jetzt konkret zu tun ist
Der Gesetzgeber gewährt keine allgemeine Übergangsfrist. NIS2 gilt – und die Pflichten sind direkt zu erfüllen. Für CPOs und das Management produzierender Unternehmen bedeutet das:
- Betroffenheit prüfen: Fällt das eigene Unternehmen direkt unter NIS2? Die Prüfung über das BSI-Portal (seit Januar 2026 freigeschaltet) ist der erste Schritt.
- Lieferantenstamm analysieren: Welche Lieferanten haben sicherheitsrelevante Systemzugänge? Welche sind für den Produktionsbetrieb kritisch? Diese Transparenz ist Grundvoraussetzung für alle weiteren Maßnahmen.
- Mindeststandards definieren: Was muss ein Lieferant mit Systemzugang nachweisen können? Diese Standards sollten dokumentiert, intern abgestimmt und im Lieferantenmanagement verankert sein.
- Verträge überprüfen und anpassen: Insbesondere bei bestehenden Partnerschaften: Sind Meldepflichten, Zugriffsregelungen und Notfallprozesse vertraglich geregelt? Wenn nicht, ist Nachverhandlung angezeigt.
- Interne Prozesse verknüpfen: Einkauf und IT-Sicherheit müssen strukturiert zusammenarbeiten – beginnend mit einem gemeinsamen Bewertungsrahmen für sicherheitsrelevante Lieferanten.
Fazit: NIS2 im Einkauf ist keine IT-Frage – es ist eine Führungsfrage
Die Schadensstatistiken sprechen eine klare Sprache. 289 Milliarden Euro Gesamtschaden durch Cyberangriffe und Co. in 2025, steigende Angriffszahlen, wachsende Bedrohung über die Lieferkette. Und gleichzeitig: Nur die Hälfte der deutschen Unternehmen hält sich für ausreichend vorbereitet.
NIS2 im Einkauf ist der regulatorische Moment, in dem Cybersicherheit aufhört, ein nachgelagertes IT-Thema zu sein. Wer Lieferantenbeziehungen gestaltet, Zugriffsrechte vergibt und Verträge schließt, trägt ab sofort aktiv zur Sicherheit – oder zur Gefährdung – des gesamten Unternehmens bei.
Unternehmen, die das früh verstehen, gewinnen mehr als Compliance. Sie gewinnen Resilienz. Und in einem Umfeld, in dem ein einziger kompromittierter Wartungsdienstleister die Produktion tagelang lahmlegen kann, ist Resilienz kein weicher Faktor – sondern ein harter Wettbewerbsvorteil.
Haben Sie Fragen zur NIS2-konformen Gestaltung Ihrer Beschaffungsprozesse? Machen Sie gerne einen Termin mit unseren Experten. Jetzt anworten bekommen
