NIS2 und die Lieferkette: kommunikationsbezogene Risiken richtig absichern

NIS2 weitet die Verantwortung für Cybersicherheit auf Lieferanten und Dienstleister aus. Wir zeigen, warum kritische Alarmierung nicht an einem einzelnen Cloud-Dienst hängen darf und wie ein lokales SMS-Gateway zum resilienten Zweitkanal wird.

10. Juli 2026 9 Min. Lesezeit smsreach.io Redaktion
NIS2 Schutzschild vor EU-Sternenkranz, Thema Lieferkette und kritische Kommunikation

Lieferketten-Risikoreduktion bedeutet, kritische Abhängigkeiten von Dritten so weit zu begrenzen, dass ein Ausfall beim Dienstleister die eigenen Notfallprozesse nicht lahmlegt. Mit der NIS2-Richtlinie ist genau das keine Kür mehr, sondern Teil des gesetzlich geforderten Risikomanagements. Besonders unterschätzt wird dabei ein Baustein, der im Ernstfall über alles entscheidet: die Fähigkeit, die richtigen Menschen zu erreichen, wenn die üblichen Kanäle gerade ausfallen.

Ein typisches Szenario: Ein cloudbasierter Alarmierungsdienst wird durch einen DDoS-Angriff überlastet, oder im Zuge einer Ransomware-Reaktion wird das Netz isoliert und das Single Sign-on gesperrt. In beiden Fällen ist die Notfallkommunikation weg, genau dann, wenn sie gebraucht wird. Das Problem ist nicht, externe Dienste zu nutzen. Das Problem ist, keinen unabhängigen Alternativweg zu haben.

Was NIS2 verlangt und wen es betrifft

NIS2 (Richtlinie (EU) 2022/2555) löst die erste NIS-Richtlinie ab und weitet ihren Anwendungsbereich deutlich aus. Betroffen sind wesentliche und wichtige Einrichtungen in rund 18 Sektoren. In Deutschland wird die Richtlinie über das NIS2-Umsetzungsgesetz in nationales Recht überführt, die Aufsicht liegt beim BSI. Für viele Unternehmen bedeutet das: mehr Organisationen fallen unter die Pflicht, die Anforderungen werden härter, und die Leitungsebene haftet persönlich für die Umsetzung.

  • Sektoren u. a.: Energie, Gesundheit, Verkehr, Wasser, digitale Infrastruktur, IT-Dienste, öffentliche Verwaltung, verarbeitendes Gewerbe, Post und Logistik
  • Größenkriterium in der Regel ab mittleren Unternehmen (ab 50 Beschäftigten oder mehr als 10 Mio. Euro Umsatz), mit sektorspezifischen Ausnahmen
  • Pflicht zu Risikomanagement, Meldeprozessen für Sicherheitsvorfälle und Nachweisen gegenüber der Aufsicht
  • Verantwortung und Haftung ausdrücklich bei der Unternehmensleitung

Artikel 21: Lieferkettensicherheit wird zur Pflicht

Artikel 21 listet die Mindestmaßnahmen für das Risikomanagement auf. Absatz 2 lit. d adressiert ausdrücklich die Sicherheit der Lieferkette, einschließlich der sicherheitsbezogenen Aspekte der Beziehungen zwischen einer Einrichtung und ihren direkten Anbietern oder Dienstleistern. Konkret heißt das: Man muss die Schwachstellen der eigenen Lieferanten bewerten und deren Sicherheitspraxis in die eigene Risikobetrachtung einbeziehen.

Gerade bei Kommunikationsdiensten ist das anspruchsvoll. Häufig steht am Ende keine einfache Zwei-Parteien-Beziehung, sondern eine lange Kette: Plattform, Aggregator, Subunternehmer, Carrier. Jede Zwischenstufe erhöht die Zahl der Beteiligten, die Nachrichten und Daten sehen, und senkt die Transparenz darüber, wo im Ernstfall die Kontrolle liegt.

Kommunikationsrisiken, die im Audit auffallen

Wer eine NIS2-Prüfung durchläuft, stößt bei der Alarmierung immer wieder auf dieselben drei Schwachstellen:

  • Fehlende Transparenz: Es ist unklar, wer eine Nachricht routet, über welche Länder sie läuft und wo personenbezogene Daten verarbeitet werden.
  • Kaskadenrisiko: Fällt ein einzelner Dienstleister aus, trifft es viele Kunden gleichzeitig. Die eigene Notfallkommunikation teilt sich denselben Single Point of Failure mit hunderten anderen Organisationen.
  • Abhängigkeit vom IP-Netz: SaaS-Werkzeuge werden nutzlos, sobald das Netz isoliert wird, etwa während einer Ransomware-Reaktion. Ein per SSO gesperrtes Alarmierungssystem ist im entscheidenden Moment nicht erreichbar.

Hinzu kommt oft ein vierter Punkt, der selten dokumentiert ist: Es existiert kein getesteter Zweitkanal und kein Runbook, das beschreibt, wie kommuniziert wird, wenn das primäre System steht.

Abhängigkeiten beherrschen, ohne die Cloud zu verteufeln

NIS2 verlangt keine Rückkehr ins Prä-Cloud-Zeitalter. Der Maßstab ist Verhältnismäßigkeit: Maßnahmen müssen zum identifizierten Risiko passen. Für Routineaufgaben bleiben Cloud-Dienste sinnvoll. Kritische Alarmierung dagegen sollte so ausgelegt sein, dass sie auch ohne diese Dienste funktioniert.

  • Zwischenketten verkürzen, damit weniger Dritte zwischen Sender und Empfänger stehen
  • Einen unabhängigen Alternativkanal aufbauen, der technisch nichts mit dem primären Weg teilt
  • Die Kontrolle über Daten, Zustellprotokolle und Zeitstempel im eigenen Haus behalten
  • Den Zweitkanal regelmäßig testen und die Tests für das Audit dokumentieren

Flankierend adressiert Artikel 22 koordinierte Risikobewertungen kritischer Lieferketten auf EU-Ebene, und Artikel 25 legt nahe, anerkannte technische Standards wie ISO/IEC 27001 zu nutzen. Im Audit läuft es am Ende auf eine einfache Frage hinaus: Ist die gewählte Lösung klar beschrieben, dokumentiert und dem Risiko angemessen?

On-Premise als resilienter Zweitkanal: das SMSEagle-Prinzip

Ein Hardware-SMS-Gateway steht im eigenen Rack, trägt eine oder mehrere SIM-Karten und versendet SMS direkt über das Mobilfunknetz. Damit schrumpft die Lieferkette auf das Nötigste: von der eigenen Organisation über das Mobilfunknetz zum Empfänger, ohne Plattform, Aggregator oder Internetstrecke dazwischen. Genau diese kurze, nachvollziehbare Kette ist es, die im Audit überzeugt.

KriteriumCloud-AlarmierungsdienstOn-Premise-Gateway
Länge der LieferketteMehrstufig (Plattform, Aggregator, Carrier)Kurz (Organisation, Mobilfunknetz)
Funktion bei Internet-/DNS-AusfallNeinJa
Funktion bei SSO-/NetzisolationMeist neinJa
Kaskadenrisiko über viele KundenHochGering
Datenhaltung & Zustell-LogsBeim AnbieterLokal im eigenen Netz
Nachweisbarkeit im AuditAbhängig vom AnbieterDirekt aus dem Gerät
Kommunikationskanal im Licht typischer NIS2-Anforderungen

Für die NIS2-Argumentation zählen vor allem vier Eigenschaften: eine kurze und dokumentierte Lieferkette, der Betrieb unabhängig von Internet, DNS und SSO, lokal geführte Zustellprotokolle mit Zeitstempeln sowie die vollständige Datenhaltung im eigenen Netzwerk. SMSEagle ist zusätzlich nach ISO/IEC 27001 zertifiziert, was den Nachweis anerkannter Standards nach Artikel 25 erleichtert.

In fünf Schritten zum NIS2-tauglichen Notfallkanal

  • Kritische Alarmierungspfade identifizieren: Wer muss im Ernstfall wie schnell erreicht werden?
  • Abhängigkeiten der bestehenden Kette dokumentieren: Welche Dienstleister und welche Ausfallpunkte hängen dazwischen?
  • Unabhängigen Zweitkanal einrichten: Hardware-Gateway mit eigener SIM, technisch getrennt vom primären Weg
  • Failover und Eskalation etablieren und den Kanal regelmäßig testen, inklusive Quittierung
  • Nachweise sammeln: Zustell-Logs, Runbook und Testprotokolle als Beleg für das Audit

Fazit

Mit NIS2 ist Lieferkettensicherheit fester Bestandteil des Risikomanagements, und die Notfallkommunikation gehört ausdrücklich dazu. Ein unabhängiger, lokaler Kanal ist damit kein technisches Nice-to-have, sondern eine belastbare Antwort auf sehr konkrete Auditfragen. Ein On-Premise-Gateway wie SMSEagle liefert genau diese Unabhängigkeit, kombiniert mit voller Datenhoheit und prüfbaren Logs. Dieser Beitrag gibt eine praxisnahe Orientierung und ersetzt keine individuelle Rechtsberatung.

Du willst wissen, welches Gerät zu deinem Alarmierungs- und Volumenbedarf passt? Unser kurzes Gerätequiz führt in zwei Minuten zur passenden Variante, oder du schreibst uns direkt für eine unverbindliche Beratung.

FAQ

Häufig gestellte Fragen

Für wen gilt NIS2?

NIS2 (Richtlinie (EU) 2022/2555) betrifft wesentliche und wichtige Einrichtungen in rund 18 Sektoren, von Energie, Gesundheit und Verkehr bis zu digitaler Infrastruktur, öffentlicher Verwaltung und verarbeitendem Gewerbe. In der Regel greift die Pflicht ab mittlerer Unternehmensgröße (ab 50 Beschäftigten oder mehr als 10 Mio. Euro Umsatz), mit sektorspezifischen Ausnahmen. In Deutschland erfolgt die Umsetzung über das NIS2-Umsetzungsgesetz, die Aufsicht liegt beim BSI.

Was verlangt NIS2 in Bezug auf die Lieferkette?

Artikel 21 Absatz 2 lit. d nennt die Sicherheit der Lieferkette ausdrücklich als Mindestmaßnahme, einschließlich der sicherheitsbezogenen Aspekte der Beziehungen zu direkten Anbietern und Dienstleistern. Organisationen müssen Schwachstellen ihrer Lieferanten bewerten und deren Sicherheitspraxis berücksichtigen.

Warum reicht ein Cloud-Alarmierungsdienst allein nicht aus?

Cloudbasierte Alarmierung hängt an Internet, DNS und oft an einem Single Sign-on. Genau in den Szenarien, in denen ein Alert zählt (DDoS-Angriff, Ransomware-Vorfall mit Netzisolation, Providerausfall), kann der Dienst ausfallen. NIS2 verlangt einen risikoangemessenen Umgang mit solchen Abhängigkeiten, in der Praxis also Redundanz durch einen unabhängigen Kanal.

Wie hilft ein Hardware-SMS-Gateway bei der NIS2-Konformität?

Ein lokales Gateway wie SMSEagle versendet über die eigene SIM direkt im Mobilfunknetz. Das verkürzt die Lieferkette, funktioniert auch bei Ausfall von Internet oder Cloud-Provider und hält Zustell-Logs sowie Daten im eigenen Netzwerk. Das erleichtert sowohl die Resilienz als auch den Nachweis im Audit. Der Beitrag ersetzt keine Rechtsberatung.

// Nächster Schritt

Welches SMSEagle Gerät passt zu dir?

Zwei Minuten Quiz oder direkter Blick in die Geräte­übersicht.