Third-Party Risk Management unter NIS2: Was 5X Consulting jetzt Unternehmen empfiehlt

Einleitung: Die NIS2-Richtlinie verschärft die Cybersecurity-Anforderungen in Europa spürbar – und sie stellt klar: Sicherheit endet nicht an der eigenen Firewall. In der Praxis entstehen viele der gravierendsten Risiken dort, wo externe Dienstleister, Cloud-Anbieter, Software-Lieferanten oder Managed Services tief in Systeme und Prozesse eingebunden sind. Genau deshalb wird Third-Party Risk Management (TPRM) unter NIS2 vom „Compliance-Projekt“ zu einer operativen Disziplin, die Ausfälle verhindert, Melde- und Reaktionsfähigkeit stärkt und die Lieferkette resilient macht. Wer NIS2 ernst nimmt, muss Risiken aus Drittbeziehungen nicht nur dokumentieren, sondern aktiv identifizieren, bewerten, vertraglich steuern und kontinuierlich überwachen.

Transparenz und Priorisierung: Ohne Inventar kein Risikomanagement Der wirksamste erste Schritt zu NIS2-tauglichem TPRM ist ein vollständiges und gepflegtes Third-Party-Inventar. Unternehmen müssen wissen, welche externen Parteien überhaupt relevant sind, welche Services sie erbringen, wer intern verantwortlich ist und – besonders wichtig – worauf diese Dritten Zugriff haben: Systeme, Daten, Schnittstellen, Remote-Zugänge, Admin-Rechte oder kritische Betriebsprozesse. In der Realität liegen diese Informationen oft verteilt in Einkauf, IT, Fachbereichen und in einzelnen Verträgen, wodurch sich blinde Flecken ergeben. Deshalb empfiehlt 5X Consulting, zunächst die „Kronjuwelen“ zu priorisieren: Identitäts- und Zugriffsmanagement, E-Mail, Endpoint-Management, Hosting/Cloud, Backup, ERP, Security Operations sowie – sofern vorhanden – OT/ICS-nahe Umgebungen. Darauf aufbauend sollte eine risikobasierte Tiering-Logik eingeführt werden, damit nicht jede Third Party den gleichen Prüfaufwand auslöst. Kriterien wie Zugriffstiefe, Art der Daten (z. B. personenbezogen, vertraulich, IP), Business Impact bei Ausfall sowie die Abhängigkeit von Subdienstleistern helfen, Anbieter in sinnvolle Risikoklassen einzuordnen. So entsteht ein belastbarer Fokus: wenige wirklich kritische Partner werden tief geprüft, viele weniger kritische Anbieter schlank und effizient bewertet.

Anforderungen und Nachweise: Von „Fragebogen“ zu evidenzbasierter Kontrolle NIS2 verlangt nicht nur, dass Risiken betrachtet werden, sondern dass angemessene Maßnahmen umgesetzt und im Zweifel nachweisbar sind. Daher braucht es pro Risikoklasse einen klaren Mindestanforderungskatalog, der sich an etablierten Standards orientiert und zugleich pragmatisch bleibt. Für kritische Dienstleister sind Themen wie MFA und Least Privilege, Logging und Monitoring, Patch- und Vulnerability-Management, Incident-Response-Fähigkeit, Backup- und Recovery-Prozesse, sichere Softwareentwicklung (bei Softwarelieferanten) sowie Subdienstleistersteuerung typischerweise nicht verhandelbar. Entscheidend ist der Perspektivwechsel: Ein reiner Fragebogen ist höchstens ein Startpunkt. Für Tier-1-Anbieter müssen Nachweise im Zentrum stehen – etwa ISO- oder SOC-Reports, Penetrationstest-Zusammenfassungen, Architektur- und Sicherheitskonzepte oder definierte Prozessbeschreibungen. Die Bewertung sollte dabei nicht in „grün/gelb/rot“ ohne Konsequenzen enden, sondern in konkreten Risikofeststellungen mit Maßnahmen, Verantwortlichkeiten, Terminen und klaren Entscheidungspfaden: akzeptieren, mitigieren, alternative Lösung prüfen oder den Einsatz stoppen. Das reduziert Risiko real, statt nur Papier zu produzieren.

Vertragliche Steuerung: NIS2-Sicherheit muss verbindlich werden Selbst die besten Anforderungen helfen wenig, wenn sie nicht vertraglich fixiert sind. Unter NIS2 ist die Lieferkettensicherheit ein Management-Thema – und Verträge sind das Instrument, mit dem Erwartungen verbindlich und überprüfbar werden. In Security-Anhänge und SLAs gehören daher eine definierte Security Baseline, Nachweispflichten, Regelungen für Audits und Assessments, klare Incident-Notification-Prozesse (inkl. Fristen, Mindestinhalten und Kommunikationswegen) sowie Vorgaben zur Steuerung von Subdienstleistern durch Flow-Down-Klauseln. Zusätzlich sollten Verfügbarkeits- und Wiederherstellungsanforderungen, Supportzeiten, Eskalationswege und vor allem Exit-Regelungen enthalten sein: Datenrückgabe, Löschkonzepte und Transition-Support, damit ein Anbieterwechsel im Krisenfall möglich ist. Viele Organisationen entdecken erst nach einem Sicherheitsvorfall, dass ihnen genau diese Hebel fehlen. Wer NIS2 nachhaltig erfüllen will, sollte Vertragswerke daher nicht als Formalie behandeln, sondern als Teil der Sicherheitsarchitektur.

Kontinuierliche Überwachung und Incident Readiness: Risiken ändern sich, Steuerung auch Third-Party-Risiken sind dynamisch: Lieferanten wechseln Subdienstleister, werden übernommen, ändern ihre Architektur, integrieren neue Tools oder sind von neuen Schwachstellen betroffen. Ein jährlicher Check „auf dem Papier“ reicht deshalb oft nicht aus. NIS2-taugliches TPRM braucht eine kontinuierliche Komponente, die Re-Assessments und Monitoring risikobasiert steuert. Kritische Anbieter sollten mindestens jährlich und zusätzlich ereignisbasiert überprüft werden – etwa nach Major Changes, Sicherheitsvorfällen oder signifikanten Scope-Erweiterungen. Dazu kommen regelmäßige Access Reviews, insbesondere bei privilegierten Zugängen. Sinnvoll ist außerdem ein Set an Vendor-Risk-KPIs, etwa offene Findings, Zeit bis zur Behebung, Status von MFA/Logging oder Ergebnisse aus Nachweisprüfungen. Mindestens genauso wichtig ist Incident Readiness: Meldewege, Ansprechpartner, Eskalationen, gemeinsame Übungen und die Fähigkeit zur koordinierten Forensik müssen vorab geklärt sein. So wird aus „Third-Party Risiko“ kein Überraschungsmoment, sondern ein steuerbares Szenario.

Fazit: NIS2 macht Third-Party Risk Management zur Pflicht – aber vor allem zur Chance, echte Resilienz aufzubauen. Unternehmen, die Transparenz schaffen, ihre Lieferanten risikobasiert priorisieren, Anforderungen evidenzbasiert prüfen, vertraglich verbindlich regeln und kontinuierlich überwachen, reduzieren nicht nur Compliance-Risiken, sondern ganz konkret das Risiko von Ausfällen und Sicherheitsvorfällen. 5X Consulting empfiehlt, mit den kritischen Abhängigkeiten zu starten, ein Tiering einzuführen und Tier-1-Anbieter konsequent über Nachweise, Maßnahmen und Verträge zu steuern. Damit wird TPRM unter NIS2 nicht zur Bürokratie, sondern zu einem praktischen Schutzschild für den Geschäftsbetrieb.

Möchten Sie wissen, wo Ihre größten Third-Party-Risiken im Kontext von NIS2 liegen – und welche Maßnahmen kurzfristig den größten Effekt bringen? 5X Consulting unterstützt Sie mit einem pragmatischen NIS2-TPRM-Readiness-Check, einem tierbasierten Kontrollkatalog sowie sofort einsetzbaren Vertrags- und Assessment-Templates. Kontaktieren Sie uns für ein unverbindliches Erstgespräch und starten Sie in wenigen Wochen mit einem belastbaren, auditierbaren TPRM-Programm.