--- title: "Lieferkettensicherheit nach NIS2: Wie Sie Ihre Hardware-Hersteller bewerten" date: 2026-01-27T11:25:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/lieferkettensicherheit-nis2-hardware" section: "Entries: Articles" --- ### 1. Was NIS2 zur Lie­fer­ket­ten­si­cher­heit for­dert [\#](#1-was-nis2-zur-lieferkettensicherheit-fordert "1. Was NIS2 zur Lieferkettensicherheit fordert") Seit dem 6. Dezem­ber 2025 ist die NIS2-Richt­li­nie in Deutsch­land durch das NIS2UmsuCG und das neu gefass­te BSIG umge­setzt. §30 BSIG lis­tet Lie­fer­ket­ten­si­cher­heit expli­zit als eine der Maß­nah­men auf, die betrof­fe­ne Ein­rich­tun­gen umset­zen müssen. Die Rechts­grund­la­ge auf EU-Ebe­ne ist Art. 21 Abs. 2 lit. d der NIS2-Richt­li­nie (EU) 2022⁄2555: Betrof­fe­ne Ein­rich­tun­gen müs­sen die ​„Sicher­heit der Lie­fer­ket­te ein­schließ­lich sicher­heits­be­zo­ge­ner Aspek­te der Bezie­hun­gen zwi­schen den ein­zel­nen Ein­rich­tun­gen und ihren unmit­tel­ba­ren Anbie­tern oder Diens­te­an­bie­tern” adressieren. Das bedeu­tet in der Praxis: - Sie müs­sen Lie­fe­ran­ten iden­ti­fi­zie­ren, die kri­ti­sche Funk­tio­nen Ihrer IT-Infra­struk­tur berühren - Für die­se Lie­fe­ran­ten müs­sen Sie eine Risi­ko­be­wer­tung durchführen - Die Bewer­tung muss doku­men­tiert sein, nicht als ein­ma­li­ges Pro­jekt, son­dern als kon­ti­nu­ier­li­cher Prozess - Bei wesent­li­chen Ände­run­gen (neu­er Her­stel­ler, Über­nah­me eines Lie­fe­ran­ten, Sicher­heits­vor­fall beim Anbie­ter) ist die Bewer­tung zu aktualisieren **Wich­tig:** NIS2 macht kei­ne Vor­ga­ben zu einer bestimm­ten Bewer­tungs­me­tho­de. Sie haben metho­di­sche Frei­heit, aber die Ergeb­nis­se müs­sen bei der Prü­fung vor­ge­legt wer­den können. --- ### 2. War­um Hard­ware-Her­stel­ler oft über­se­hen wer­den [\#](#2-warum-hardware-hersteller-oft-%C3%BCbersehen-werden "2. Warum Hardware-Hersteller oft übersehen werden") In den meis­ten Unter­neh­men kon­zen­triert sich das Lie­fe­ran­ten­ma­nage­ment auf Soft­ware-Anbie­ter: Cloud-Pro­vi­der, SaaS-Platt­for­men, Mana­ged-Ser­vice-Dienst­leis­ter. Das ist nach­voll­zieh­bar: Soft­ware-Lie­fe­ran­ten haben direk­ten Zugang zu Daten und Sys­te­men, Sicher­heits­vor­fäl­le wer­den schnell sichtbar. Hard­ware-Her­stel­ler ste­hen sel­te­ner auf dem Radar. Dabei bestehen hier erheb­li­che Risiken: **Firm­ware als Angriffs­flä­che.** Spei­cher­ge­rä­te, NAS-Sys­te­me, Back­up-Appli­ances lau­fen mit Firm­ware, die der Her­stel­ler ent­wi­ckelt und ver­teilt. Unsi­che­re Update-Pro­zes­se oder kom­pro­mit­tier­te Firm­ware-Images sind ein rea­ler Angriffs­vek­tor, bekannt aus APT-Kam­pa­gnen gegen Sto­rage-Hard­ware in kri­ti­scher Infrastruktur. **Rechts­rah­men des Her­stel­lers.** Ein Sto­rage-Her­stel­ler mit Haupt­sitz in einem Dritt­land unter­liegt des­sen Rechts­ord­nung. Das schließt poten­zi­ell Aus­kunfts­pflich­ten gegen­über Behör­den die­ses Lan­des ein, unab­hän­gig davon, wo das Gerät steht. **Fer­ti­gungs­stand­ort und Kom­po­nen­ten­be­schaf­fung.** Der Mar­ken­na­me auf dem Gerät sagt nichts dar­über aus, wel­che Kom­po­nen­ten aus wel­chen Län­dern stam­men und wel­chen Qua­li­täts­si­che­rungs­pro­zes­sen sie unterlagen. **Lang­le­big­keit und Sup­port-Kon­ti­nui­tät.** Back­up-Hard­ware hat typi­scher­wei­se Betriebs­zei­ten von 7 bis 12 Jah­ren. Wenn ein Her­stel­ler nach drei Jah­ren den EU-Sup­port ein­stellt, endet damit auch die Patch-Ver­sor­gung, mit direk­ten Aus­wir­kun­gen auf Ihre NIS2-Compliance. --- ### 3. Bewer­tungs­ma­trix für Hard­ware-Her­stel­ler [\#](#3-bewertungsmatrix-f%C3%BCr-hardware-hersteller "3. Bewertungsmatrix für Hardware-Hersteller") Die fol­gen­de Matrix ori­en­tiert sich an den Anfor­de­run­gen aus NIS2 Art. 21 und §30 BSIG sowie an bran­chen­üb­li­chen Beschaf­fungs­stan­dards (ISO/IEC 27036 ​„Sup­pli­er Relationships”). #### 3.1 Her­kunft und Rechts­rah­men [\#](#3-1-herkunft-und-rechtsrahmen "3.1 Herkunft und Rechtsrahmen") - **Haupt­sitz des Unter­neh­mens:** EU, EWR, ver­trau­ens­wür­di­ge Part­ner­staa­ten oder Dritt­land mit pro­ble­ma­ti­schen Auskunftspflichten? - **Anwend­ba­res Recht:** Wel­che Gerichts­bar­keit gilt für Daten­zu­grif­fe und Behördenanfragen? - **Eigen­tums­struk­tur:** Trans­pa­ren­te Eigen­tü­mer oder ver­schach­tel­te Hol­ding­struk­tu­ren? Staat­li­che Beteiligungen? - **Export­kon­trol­le:** Unter­liegt das Unter­neh­men oder sei­ne Pro­duk­te Export­be­schrän­kun­gen der EU oder USA? **Rote Flag:** Undurch­sich­ti­ge Eigen­tü­mer­struk­tur oder Haupt­sitz in einem Land mit bekann­ten staat­li­chen Zugriffs­mög­lich­kei­ten auf Unternehmensdaten. #### 3.2 Fer­ti­gungs­stand­ort [\#](#3-2-fertigungsstandort "3.2 Fertigungsstandort") - **Pro­duk­ti­ons­stand­or­te:** EU, OECD oder Dritt­län­der mit ein­ge­schränk­ten Qualitätsnachweisen? - **Kom­po­nen­ten­her­kunft:** Kön­nen kri­ti­sche Kom­po­nen­ten (Con­trol­ler, Spei­cher­chips, Netz­tei­le) nach­ver­folgt werden? - **Qua­li­täts­si­che­rung:** Ist der Fer­ti­gungs­stand­ort nach ISO 9001 zertifiziert? - **Hard­ware-Inte­gri­täts­nach­wei­se:** Stellt der Her­stel­ler Nach­wei­se zur Tam­per-Evi­denz oder Secu­re-Boot-Unter­stüt­zung bereit? #### 3.3 Zer­ti­fi­zie­run­gen [\#](#3-3-zertifizierungen "3.3 Zertifizierungen") - **ISO 9001:** Qua­li­täts­ma­nage­ment der Fertigung - **ISO 27001:** Infor­ma­ti­ons­si­cher­heits­ma­nage­ment beim Hersteller - **Com­mon Cri­te­ria:** Sicher­heits­be­wer­tung für Pro­dukt­li­ni­en (rele­vant für Behör­den und KRITIS) - **BSI-Grund­schutz-Kon­for­mi­tät:** für öffent­li­che Auf­trag­ge­ber und KRI­TIS relevant - **CE-Kenn­zeich­nung und Cyber Resi­li­ence Act:** Die wesent­li­chen Pflich­ten des Cyber Resi­li­ence Act gel­ten ab Dezem­ber 2027 für ver­netz­te Hard­ware in der EU **Hin­weis:** Zer­ti­fi­ka­te nur mit aktu­el­lem Gül­tig­keits­da­tum und über­prüf­ba­rem Zer­ti­fi­kats-Link akzep­tie­ren. Screen­shots ohne Veri­fi­ka­ti­ons­mög­lich­keit sind kein Nachweis. #### 3.4 Trans­pa­renz der Lie­fer­ket­te [\#](#3-4-transparenz-der-lieferkette "3.4 Transparenz der Lieferkette") - **Lis­te kri­ti­scher Tier-1-Lie­fe­ran­ten:** Erwar­tung: ja, mit Anga­be von Land und Funktion - **Soft­ware Bill of Mate­ri­als (SBOM) für die Firm­ware:** Erwar­tung: ja, für neue Pro­dukt­ge­ne­ra­tio­nen Standard - **Eige­ne Sup­pli­er-Secu­ri­ty-Poli­cy:** Erwar­tung: ja, öffent­lich zugäng­lich oder auf Anfrage - **Kom­mu­ni­ka­ti­on von Lie­fer­ket­ten­vor­fäl­len der letz­ten drei Jah­re:** Erwar­tung: trans­pa­ren­te Kom­mu­ni­ka­ti­on inklu­si­ve Maßnahmen #### 3.5 Update- und Patch-Fähig­keit der Firm­ware [\#](#3-5-update-und-patch-f%C3%A4higkeit-der-firmware "3.5 Update- und Patch-Fähigkeit der Firmware") - **Patch-Fre­quenz:** regel­mä­ßi­ge Sicher­heits­patches für akti­ve Produktlinien - **Secu­ri­ty Advi­so­ry:** ver­öf­fent­lich­te CVE-Infor­ma­tio­nen mit Schweregrad-Einstufung - **Patch-Authen­ti­zi­tät:** signier­te Firm­ware-Images mit nach­voll­zieh­ba­rem Signierungsprozess - **End-of-Sup­port-Datum:** ver­bind­lich kom­mu­ni­ziert, min­des­tens 5 Jah­re nach Kauf - **Off­line-Update-Fähig­keit:** Firm­ware-Updates ohne Inter­net­zu­gang mög­lich (rele­vant für Air-Gap-Umgebungen) **Rote Flag:** Kein öffent­li­ches Secu­ri­ty-Advi­so­ry-Sys­tem, kei­ne kom­mu­ni­zier­ten CVEs, kei­ne Signie­rung von Firmware-Images. #### 3.6 Sup­port-Ver­füg­bar­keit in der EU [\#](#3-6-support-verf%C3%BCgbarkeit-in-der-eu "3.6 Support-Verfügbarkeit in der EU") - **Phy­si­scher Sup­port in Deutsch­land und DACH:** direk­ter Her­stel­ler-Sup­port oder zer­ti­fi­zier­ter Part­ner mit SLA - **Reak­ti­ons­zeit bei Secu­ri­ty Inci­dents:** ver­trag­li­che Fest­le­gung, maxi­mal 48 Stun­den für kri­ti­sche Sicherheitslücken - **Eska­la­ti­ons­pfad:** nament­lich bekann­te Ansprech­part­ner, nicht nur Ticketsystem - **Ersatz­teil­ver­füg­bar­keit:** min­des­tens 5 Jah­re nach Pro­duk­ti­ons­en­de garantiert --- ### 4. Kri­ti­sche Fra­gen für Aus­schrei­bun­gen und Ven­dor-Assess­ments [\#](#4-kritische-fragen-f%C3%BCr-ausschreibungen-und-vendor-assessments "4. Kritische Fragen für Ausschreibungen und Vendor-Assessments") Neh­men Sie die fol­gen­den Fra­gen in Ihre Aus­schrei­bungs­un­ter­la­gen (RFI/RFP) auf. Anbie­ter, die meh­re­re die­ser Fra­gen nicht beant­wor­ten, müs­sen Sie als Risi­ko einstufen. **Zur Unter­neh­mens­si­tua­ti­on:** 1. Nen­nen Sie alle Gesell­schaf­ter mit einem Anteil über 10 Pro­zent. Gibt es staat­li­che Beteiligungen? 2. Unter wel­cher Rechts­ord­nung ope­riert Ihre Entwicklungsabteilung? 3. Haben Sie in den letz­ten drei Jah­ren behörd­li­che Daten­an­fra­gen aus Dritt­län­dern erhalten? **Zur Pro­dukt­si­cher­heit:** 1. Stel­len Sie ein Soft­ware Bill of Mate­ri­als (SBOM) für Ihre Firm­ware bereit? 2. Wie signie­ren Sie Firm­ware-Images, und wie kann der Kun­de die Signa­tur verifizieren? 3. Nen­nen Sie Ihren CVE-Mel­de­pro­zess und zei­gen Sie die letz­ten drei Secu­ri­ty Advisories. **Zum Life­cy­cle:** 1. Nen­nen Sie das ver­bind­li­che End-of-Sup­port-Datum für die ange­bo­te­ne Produktlinie. 2. Beschrei­ben Sie Ihren Pro­zess für sicher­heits­kri­ti­sche Patches außer­halb regu­lä­rer Release-Zyklen. **Zum Sup­port:** 1. Wo befin­det sich das Sup­port-Team, das unse­re Tickets bearbeitet? 2. Wel­che ver­trag­li­che Reak­ti­ons­zeit gilt für einen CVE mit CVSS-Score von 9.0 oder höher? --- ### 5. Rote Flags: Wann ein Hard­ware-Her­stel­ler ein Sicher­heits­ri­si­ko dar­stellt [\#](#5-rote-flags-wann-ein-hardware-hersteller-ein-sicherheitsrisiko-darstellt "5. Rote Flags: Wann ein Hardware-Hersteller ein Sicherheitsrisiko darstellt") Die fol­gen­den Merk­ma­le sind ein­zeln bereits Warn­si­gna­le. In Kom­bi­na­ti­on recht­fer­ti­gen sie den Aus­schluss aus dem Beschaffungsverfahren: - **Kein EU-Haupt­sitz, kein EU-Toch­ter­un­ter­neh­men:** aus­schließ­lich außer­eu­ro­päi­scher Rechts­rah­men ohne ver­trag­li­che Ver­an­ke­rung deut­schen Rechts - **Kei­ne ISO-27001-Zer­ti­fi­zie­rung:** für Her­stel­ler, die an NIS2-betrof­fe­ne Unter­neh­men lie­fern, in abseh­ba­rer Zeit nicht mehr akzeptabel - **Firm­ware ohne kryp­to­gra­fi­sche Signa­tur:** grund­le­gen­de Sicher­heits­an­for­de­rung, die seit Jah­ren Stan­dard ist - **Kei­ne öffent­li­chen CVE-Mel­dun­gen:** ent­we­der kei­ne Sicher­heits­lü­cken gefun­den (unwahr­schein­lich) oder kei­ne Trans­pa­renz (pro­ble­ma­tisch) - **End-of-Sup­port-Datum in der Ver­gan­gen­heit oder unbe­kannt:** direk­te NIS2-Com­pli­ance-Lücke durch feh­len­de Patch-Versorgung - **Sup­port aus­schließ­lich über Off­shore-Call­cen­ter ohne Eska­la­ti­on zu Tech­ni­kern in der EU:** Reak­ti­ons­fä­hig­keit bei kri­ti­schen Inci­dents nicht gewährleistet - **Wei­ge­rung, den Fra­gen­ka­ta­log zu beant­wor­ten:** Trans­pa­renz ist eine Mini­mal­an­for­de­rung. Wer nicht ant­wor­tet, ver­birgt etwas. --- ### 6. Doku­men­ta­ti­ons­pflich­ten nach NIS2 für Lie­fe­ran­ten­be­wer­tun­gen [\#](#6-dokumentationspflichten-nach-nis2-f%C3%BCr-lieferantenbewertungen "6. Dokumentationspflichten nach NIS2 für Lieferantenbewertungen") NIS2 for­dert kei­ne bestimm­te Form der Doku­men­ta­ti­on, wohl aber, dass Ihre Lie­fer­ket­ten­si­cher­heit bei der Prü­fung nach­weis­bar ist. Pla­nen Sie min­des­tens fol­gen­de Doku­men­te ein: **Lie­fe­ran­ten­re­gis­ter (Pflicht):** - Lis­te aller Hard­ware-Her­stel­ler, die kri­ti­sche Sys­te­me beliefern - Risi­koklas­si­fi­zie­rung pro Her­stel­ler (hoch, mit­tel, niedrig) - Datum der letz­ten Bewertung **Bewer­tungs­pro­to­koll pro Her­stel­ler (Pflicht bei wesent­li­chen Lieferanten):** - Aus­ge­füll­ter Bewer­tungs­bo­gen (sie­he Abschnitt 7) - Bele­ge für Zer­ti­fi­zie­run­gen (mit Ablaufdatum) - Ant­wor­ten auf den Fra­gen­ka­ta­log aus der Ausschreibung - Beschluss: Frei­ga­be, Frei­ga­be mit Auf­la­gen oder Ablehnung **Revi­si­ons­his­to­rie (Pflicht):** - Wann wur­de der Her­stel­ler zuletzt neu bewertet? - Aus­lö­ser für Neu­be­wer­tung (zum Bei­spiel Sicher­heits­vor­fall, Eigen­tü­mer­wech­sel, Ablauf einer Zertifizierung) **Emp­feh­lung:** Füh­ren Sie das Lie­fe­ran­ten­re­gis­ter in Ihrer ISMS-Platt­form (zum Bei­spiel inte­griert in die ISO-27001-Doku­men­ta­ti­on) und nicht in einer iso­lier­ten Tabel­le. Das erleich­tert den Prü­fungs­nach­weis erheblich. --- ### 7. Bewer­tungs­bo­gen: Vor­la­ge für Hard­ware-Her­stel­ler-Assess­ment [\#](#7-bewertungsbogen-vorlage-f%C3%BCr-hardware-hersteller-assessment "7. Bewertungsbogen: Vorlage für Hardware-Hersteller-Assessment") Der fol­gen­de Bogen eig­net sich als Vor­la­ge für inter­ne Assess­ments. Jedes Kri­te­ri­um wird mit 0 bis 3 Punk­ten bewer­tet und gewich­tet; pas­sen Sie die Gewich­tung an Ihre Risi­koklas­si­fi­zie­rung an. **Her­kunft und Rechtsrahmen** - EU-Haupt­sitz oder EU-Toch­ter mit loka­lem Recht (Gewicht 15 Pro­zent; Beleg: Handelsregisterauszug) - Trans­pa­ren­te Eigen­tums­struk­tur ohne pro­ble­ma­ti­sche Staats­an­tei­le (Gewicht 10 Pro­zent; Beleg: Eigentümernachweis) **Fer­ti­gung und Qualität** - ISO 9001 mit aktu­el­lem Zer­ti­fi­kat (Gewicht 5 Pro­zent; Beleg: Zer­ti­fi­kat mit Verifikationslink) - Fer­ti­gungs­stand­ort in EU oder OECD (Gewicht 10 Pro­zent; Beleg: Her­stel­ler-Anga­be mit Nachweis) **Pro­dukt­si­cher­heit** - ISO 27001 mit aktu­el­lem Zer­ti­fi­kat (Gewicht 10 Pro­zent; Beleg: Zer­ti­fi­kat mit Verifikationslink) - Signier­te Firm­ware-Images (Gewicht 10 Pro­zent; Beleg: tech­ni­sche Dokumentation) - Öffent­li­ches CVE- und Advi­so­ry-Sys­tem (Gewicht 10 Pro­zent; Beleg: URL zum Advisory-Portal) - SBOM auf Anfra­ge ver­füg­bar (Gewicht 5 Pro­zent; Beleg: SBOM-Dokument) **Life­cy­cle und Support** - End-of-Sup­port-Datum min­des­tens 5 Jah­re ab Kauf (Gewicht 10 Pro­zent; Beleg: schrift­li­che Zusage) - Patch-Reak­ti­ons­zeit bei kri­ti­schen CVEs maxi­mal 48 Stun­den, ver­trag­lich fixiert (Gewicht 10 Pro­zent; Beleg: Vertragsklausel) - EU-basier­ter 1st- und 2nd-Level-Sup­port (Gewicht 10 Pro­zent; Beleg: Support-SLA-Dokument) - Ersatz­teil­ver­füg­bar­keit min­des­tens 5 Jah­re nach Pro­duk­ti­ons­en­de (Gewicht 5 Pro­zent; Beleg: schrift­li­che Zusage) **Bewer­tungs­schlüs­sel:** - 0 Punk­te: Kri­te­ri­um nicht erfüllt, kein Nachweis - 1 Punkt: Kri­te­ri­um teil­wei­se erfüllt oder Nach­weis unvollständig - 2 Punk­te: Kri­te­ri­um erfüllt, Nach­weis vorhanden - 3 Punk­te: Kri­te­ri­um voll­stän­dig erfüllt, Nach­weis verifiziert **Schwel­len­wer­te (Emp­feh­lung):** - Ab 80 Pro­zent der gewich­te­ten Maxi­mal­punkt­zahl: Freigabe - 60 bis 79 Pro­zent: Frei­ga­be mit defi­nier­ten Auf­la­gen und Frist zur Nachbesserung - Unter 60 Pro­zent: Ableh­nung oder Eska­la­ti­on an CISO oder Geschäftsführung --- ### Pra­xis­hin­weis: Wo On-Pre­mi­ses-Hard­ware einen Vor­teil hat [\#](#praxishinweis-wo-on-premises-hardware-einen-vorteil-hat "Praxishinweis: Wo On-Premises-Hardware einen Vorteil hat") Hard­ware, die voll­stän­dig unter Ihrer phy­si­schen Kon­trol­le steht, redu­ziert einen Teil der Lie­fer­ket­ten-Risi­ken, näm­lich den lau­fen­den Daten­zu­gang durch Drit­te. Ein Sto­rage-Sys­tem, das On-Pre­mi­ses betrie­ben wird und kei­ne Cloud-Anbin­dung für den Betrieb benö­tigt, über­trägt kei­ne Daten an den Her­stel­ler. Das schränkt die mög­li­che Expo­si­ti­on durch frem­de Rechts­ord­nun­gen auf die Beschaf­fungs- und War­tungs­pha­se ein. Das ändert nichts an der Pflicht, den Her­stel­ler nach dem oben beschrie­be­nen Sche­ma zu bewer­ten. Es redu­ziert aber das Rest­ri­si­ko im lau­fen­den Betrieb im Ver­gleich zu Cloud-basier­ten Lösun­gen, bei denen Daten dau­er­haft bei einem exter­nen Anbie­ter ver­ar­bei­tet werden. FAST LTA pro­du­ziert Silent Brick Sys­te­me und Silent Cubes in Deutsch­land. Firm­ware-Updates wer­den signiert aus­ge­lie­fert und sind off­line ein­spiel­bar, ein Kri­te­ri­um, das in Air-Gap-Umge­bun­gen und bei stren­gen NIS2-Anfor­de­run­gen direkt rele­vant ist. --- ### Wei­ter­füh­ren­de Res­sour­cen [\#](#weiterf%C3%BChrende-ressourcen "Weiterführende Ressourcen") → NIS2 und IT-Resi­li­enz: Was §30 BSIG kon­kret for­dert (/de/­b­log/­nis2-it-resi­li­enz-anfor­de­run­gen/) → Was ist Daten­sou­ve­rä­ni­tät? (/de/­b­log/­was-ist-daten­sou­ve­rae­ni­tae­t/) → Hard­ware Air-Gap: Wie phy­si­sche Tren­nung Back­ups schützt (/de/­b­log/hard­ware-air-gap-ver­gleich/) → ISO 27001 und Back­up: Was die Norm kon­kret ver­langt (/de/­b­log/i­so-27001-back­up-anfor­de­run­gen/) → NIS2 ein­fach erklärt: Wen trifft das Gesetz, was sind die Pflich­ten? (/de/­b­log/­nis2-ein­fach-erklaer­t/) ### KRITIS KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/kritis)