Wenn der Aufsichtsrat nach Lieferantenrisiken fragt

Die Frage kommt. Nicht ob, sondern wann. Und meistens kommt sie nicht in einem ruhigen Jahresgespräch, sondern dann, wenn ein Vorfall öffentlich wurde, wenn ein Branchenbegleiter betroffen war oder wenn der Aufsichtsrat in einer anderen Sitzung gerade über Haftungsfragen informiert wurde.

„Wie steuern wir unsere Lieferantenrisiken?”

Wer auf diese Frage keine klare Antwort hat, hat ein Problem — nicht wegen der Frage selbst, sondern weil das Fehlen einer Antwort zeigt, dass das Thema auf Führungsebene nicht wirklich verankert ist.

Was der Aufsichtsrat erwartet

Ein Aufsichtsrat erwartet keine Präsentation über Firewall-Architekturen. Er erwartet auch keine vollständige Lieferantenliste mit Risikowerten. Was er erwarten darf — und was Art. 20 NIS2 ausdrücklich verlangt — ist die Nachvollziehbarkeit von Entscheidungen: Nach welcher Logik steuert das Unternehmen seine Abhängigkeiten?

Konkret bedeutet das drei Dinge. Das Unternehmen weiß, welche Risiken es bewusst eingeht — und hat das beschlossen, nicht nur toleriert. Es zieht klare Grenzen: Welche Lieferantenbeziehungen sind mit welchen Bedingungen akzeptabel, welche nicht? Und es ist klar, wer für diese Entscheidungen verantwortlich ist.

Das ist keine Frage nach Technik. Es ist eine Frage nach Entscheidungsreife.

Risikoakzeptanz braucht einen Beschluss

Viele Unternehmen können Risiken auflisten. Sie haben Reports, Risikomatrizen, manchmal sogar Dashboards. Was sie seltener haben, ist ein formeller Beschluss darüber, welche dieser Risiken das Unternehmen bewusst trägt.

Der Unterschied ist erheblich: Ein Risiko, das dokumentiert ist, aber nie als akzeptiert beschlossen wurde, ist kein gesteuertes Risiko — es ist ein ignoriertes. Risikoakzeptanz ist ein Akt der Unternehmensführung, kein automatisches Ergebnis davon, dass niemand widersprochen hat.

Wenn der Aufsichtsrat fragt, ob ein Lieferant mit bekannten Einschränkungen trotzdem eingesetzt wird, ist die erwartete Antwort nicht „ja, weil er günstig ist”. Die erwartete Antwort ist: „Ja, auf Basis eines dokumentierten Beschlusses, der folgende Risiken einpreist und folgende Maßnahmen zur Risikominimierung festschreibt.”

Die drei Fragen, die kommen werden

Aus der Praxis der Zusammenarbeit mit Geschäftsleitungen kennen wir drei Fragen, die in dieser Konstellation regelmäßig auftauchen:

Warum arbeiten wir mit diesem Lieferanten — und was passiert, wenn er ausfällt? Welche Folgen sind in die Entscheidung einkalkuliert worden? Und ist das dokumentiert und auf Leitungsebene beschlossen?

Wer diese Fragen heute beantworten kann, zeigt Entscheidungsreife. Wer sie nicht beantworten kann, hat Hausaufgaben — und sollte besser damit beginnen, bevor der Aufsichtsrat sie stellt.

NIS2 als Treiber, nicht als Bedrohung

NIS2 und das NISG verschärfen nicht die technischen Anforderungen an Lieferantensicherheit, auch wenn das in der öffentlichen Wahrnehmung manchmal so ankommt. Was sie tatsächlich tun: Sie erhöhen die Erwartung an Führung.

Art. 20 NIS2 verpflichtet die Leitungsorgane persönlich. Das schließt den Aufsichtsrat ein. Wer im Aufsichtsrat sitzt, hat ein eigenes Interesse daran, dass die Geschäftsleitung eine nachvollziehbare Steuerungslogik für Risiken hat — weil er im Haftungsfall mitverantwortlich ist.

Ein externer CISO kann dabei helfen, diese Steuerungslogik aufzubauen und so vorzubereiten, dass sie in der nächsten Aufsichtsratssitzung schlüssig vertreten werden kann — ohne Technik-Exkurs, aber mit substanzieller Antwort.

Fazit

Die Frage des Aufsichtsrats nach Lieferantenrisiken ist kein Angriff — sie ist eine legitime Führungsanforderung. Wer sie heute nicht beantworten kann, sollte das nicht als Makel sehen, sondern als Hinweis, wo Führung noch nicht wirklich angekommen ist. Und wer sie beantworten kann, hat einen belastbaren Nachweis dafür, dass Risikosteuerung keine Papierstapel produziert, sondern tatsächlich Entscheidungen trägt.