Lieferantenrisiken enden nicht am Vertragsende

Ein kleiner IT-Dienstleister wird angegriffen. Daten laufen ab. Ihr Betrieb steht. Sie rufen den Dienstleister an — und hören: „Das war ein Angriff bei uns, nicht bei Ihnen.” Was klingt wie eine Entlastung, ist keiner. Nach dem NISG, Österreichs Umsetzung der NIS2-Richtlinie, endet Verantwortung nicht dort, wo ein Vertrag unterzeichnet wurde.

Die Fehlkalkulation mit dem Outsourcing

Viele Geschäftsleitungen gehen davon aus, dass eine Dienstleistungsbeziehung auch die Haftung für Cyber-Risiken verschiebt. Der Gedanke ist nachvollziehbar: Wer extern kauft, kauft auch die Verantwortung mit. In der Praxis hält das nicht stand.

Art. 21 der NIS2-Richtlinie — und damit das NISG — verlangt von betroffenen Einrichtungen konkrete Maßnahmen zur Sicherheit in der Lieferkette. Das bedeutet nicht, jeden Lieferanten wie eine eigene Abteilung zu kontrollieren. Es bedeutet, bewusst zu steuern: Welche Dienstleister haben Zugang zu kritischen Systemen? Welche Risiken entstehen dadurch? Und wer hat das entschieden?

Diese Fragen richten sich an die Geschäftsleitung — nicht an die IT.

Was NIS2 und NISG konkret verlangen

Die Richtlinie listet in Art. 21 zehn Risikomanagementbereiche, darunter explizit die Sicherheit in der Lieferkette und bei Drittanbietern. Das ist kein Kann, sondern ein Muss für wesentliche und wichtige Einrichtungen — ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz.

Konkret heißt das: Wenn Ihr Unternehmen in den Geltungsbereich fällt, reicht es nicht, Lieferantenverträge mit einer Datenschutzklausel zu bestücken und abzuhaken. Erwartet wird, dass Risiken in der Lieferkette bewertet, priorisiert und — wo nötig — aktiv gesteuert werden. Wer das nicht nachweisen kann, haftet.

Die persönliche Haftung der Geschäftsleitung ist in Art. 20 NIS2 verankert; das NISG übernimmt diesen Ansatz. Eine sauber formulierte Vertragsklausel entlastet die Geschäftsführung im Ernstfall nicht.

Steuerung statt Kontrolle

Der häufige Einwand — „Wir können nicht jeden Dienstleister prüfen wie einen Konzern” — ist berechtigt, geht aber am Kern vorbei.

Niemand verlangt Konzernstrukturen. Was verlangt wird, ist eine erkennbare Steuerungslogik: Welche Lieferanten haben Zugang zu kritischen Systemen oder Daten? Wie werden diese Risiken bewertet und, falls nötig, reduziert? Wer hat diese Entscheidungen getroffen und dokumentiert?

Ein strukturierter Cyber Reality Check schafft hier in ein bis zwei Tagen Klarheit: Welche Lieferanten sind wirklich kritisch? Wo gibt es Konzentrationsrisiken? Was fehlt in der Steuerung? Das ist kein Bürokratieprojekt — es ist die Grundlage, auf der im Ernstfall gezeigt werden kann, dass verantwortlich gehandelt wurde.

Der blinde Fleck bei Selbstauskünften

Viele Unternehmen setzen auf Lieferanten-Fragebögen als Instrument zur Risikobewertung. Der Lieferant füllt aus, das Ergebnis landet in einem Ordner. Was dabei entsteht, ist keine Risikobeurteilung — es ist eine Sammlung von Selbstauskünften.

Ob ein Lieferant „Ja, wir haben Backups” ankreuzt, sagt nichts darüber aus, ob diese Backups funktionieren, getestet werden oder im Ernstfall nutzbar sind. Selbstauskunft ist kein Risikomanagement. Das Argument, man habe den Fragebogen versendet, schützt nicht vor Haftung.

Der Unterschied zwischen einem ausgefüllten Fragebogen und einer tatsächlichen Risikobewertung ist in einem ISO-27001-Audit sofort sichtbar. Lieferantenmanagement nach A.5.19 bis A.5.23 (ISO/IEC 27001:2022) wird nicht formal abgehakt, sondern auf Substanz geprüft: Gibt es nachweisbare Bewertungen, dokumentierte Entscheidungen, Evidenz für tatsächlich gelebte Kontrollen?

Fazit

NIS2 und das NISG verankern Lieferantenrisiken klar im Verantwortungsbereich der Geschäftsleitung. Das Argument „das war der Dienstleister” gilt vor Behörden nicht. Wer heute nicht weiß, welche Lieferanten kritisch sind und wie diese Risiken gesteuert werden, trägt ein konkretes Haftungsrisiko. Das lässt sich beheben — aber nicht durch mehr Vertragsklauseln.