Lieferantenrisiken sind Chefsache

Wenn ein Lieferant ausfällt und Daten betroffen sind, stellt sich die Frage: Wer war eigentlich verantwortlich? In den meisten Unternehmen lautet die ehrliche Antwort: niemand Bestimmtes. Das Thema wurde delegiert — meistens an die IT, manchmal an Compliance, selten an das Management. Und genau dort liegt das Problem.

Eine technische Frage ist es nicht

Lieferantenrisiken klingen nach Technik. IT-Systeme, Schnittstellen, Datenzugänge — das ist das Vokabular, und es landet deshalb auf dem Schreibtisch derer, die Technik verstehen.

Die eigentliche Frage ist aber keine technische. Sie ist eine unternehmerische: Wer trägt Verantwortung, wenn etwas schiefläuft? Wenn ein Lieferant ausfällt, Daten betroffen sind, der Betrieb steht — war das ein IT-Problem? Oder war das eine Management-Entscheidung, die nie wirklich als solche getroffen wurde?

Die IT kann Sicherheitsanforderungen definieren und Systeme konfigurieren. Sie kann keine Risikoakzeptanz beschließen. Sie kann nicht entscheiden, mit welchem Dienstleister trotz bekannter Lücken weitergearbeitet wird, weil er günstiger ist oder weil der Wechsel zu aufwendig erscheint. Das sind Entscheidungen der Unternehmensführung — ob sie so bewusst getroffen werden oder nicht.

Drei Rollen, eine Verantwortung

Wenn man in einem Unternehmen fragt, wer Lieferantenrisiken verantwortet, bekommt man meist drei unterschiedliche Antworten aus drei Bereichen:

Der Einkauf sagt, er wählt Partner nach Preis und Leistung aus. Compliance sagt, sie prüft Vertragsklauseln. Die IT sagt, sie ist zuständig für technische Anforderungen. Alle haben recht — und trotzdem fällt die Gesamtverantwortung durch das Raster.

Was fehlt, ist eine klare Entscheidungslogik: Welche Risiken entstehen durch diese Lieferantenbeziehung? Wer hat das bewertet? Wer hat entschieden, sie einzugehen? Und auf welcher Grundlage? Ohne diese Logik entsteht Verantwortung durch Zufall — nicht durch Führung.

Was NIS2 dazu sagt

Art. 20 der NIS2-Richtlinie verpflichtet die Leitungsorgane von wesentlichen und wichtigen Einrichtungen ausdrücklich, Risikomanagementmaßnahmen zu genehmigen und deren Umsetzung zu überwachen. Das NISG, Österreichs nationale Umsetzung, übernimmt diesen Ansatz.

Das bedeutet: Die Geschäftsleitung kann nicht darauf verweisen, dass „die IT das handhabt”. Sie muss nachweisen, dass Risiken — darunter Risiken aus Lieferantenbeziehungen — auf Leitungsebene bekannt sind, bewertet wurden und bewusste Entscheidungen darüber vorliegen.

Wer das nicht dokumentieren kann, hat ein Haftungsproblem. Nicht theoretisch, sondern konkret: bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen.

Governance als Steuerungsfrage

Die Lösung ist keine neue Software. Ein weiteres Tool macht Lieferantenrisiken nicht steuerbar — es schafft allenfalls mehr Daten ohne Entscheidungslogik dahinter.

Steuerbar werden Lieferantenrisiken, wenn Governance funktioniert: wenn klar ist, wer welche Risiken bewertet, wer Risikoakzeptanz formell beschließt und wer eskaliert, wenn sich das Risikobild verändert. Das ist die Arbeit, die ein Cyber Governance Setup leistet — nicht durch Checklisten, sondern durch Strukturen, die im Alltag tragen.

Ein Lieferant, der Zugang zu kritischen Systemen hat, ist kein IT-Thema. Er ist ein Unternehmensrisiko. Und wer das Unternehmensrisiko trägt, sitzt in der Geschäftsführung.

Fazit

Lieferantenrisiken an die IT zu delegieren ist keine Arbeitsteilung — es ist eine Lücke in der Verantwortungsstruktur. NIS2 und das NISG schließen diese Lücke regulatorisch. Wer weiter delegiert, ohne eine Entscheidungslogik auf Managementebene zu verankern, riskiert Haftung. Die Frage ist nicht, wer die Arbeit macht — sondern wer die Entscheidung trifft.