Lieferketten-Risikoreduktion bedeutet, kritische Abhängigkeiten von Dritten so weit zu begrenzen, dass ein Ausfall beim Dienstleister die eigenen Notfallprozesse nicht lahmlegt. Mit der NIS2-Richtlinie ist genau das keine Kür mehr, sondern Teil des gesetzlich geforderten Risikomanagements. Besonders unterschätzt wird dabei ein Baustein, der im Ernstfall über alles entscheidet: die Fähigkeit, die richtigen Menschen zu erreichen, wenn die üblichen Kanäle gerade ausfallen.
Ein typisches Szenario: Ein cloudbasierter Alarmierungsdienst wird durch einen DDoS-Angriff überlastet, oder im Zuge einer Ransomware-Reaktion wird das Netz isoliert und das Single Sign-on gesperrt. In beiden Fällen ist die Notfallkommunikation weg, genau dann, wenn sie gebraucht wird. Das Problem ist nicht, externe Dienste zu nutzen. Das Problem ist, keinen unabhängigen Alternativweg zu haben.
Was NIS2 verlangt und wen es betrifft
NIS2 (Richtlinie (EU) 2022/2555) löst die erste NIS-Richtlinie ab und weitet ihren Anwendungsbereich deutlich aus. Betroffen sind wesentliche und wichtige Einrichtungen in rund 18 Sektoren. In Deutschland wird die Richtlinie über das NIS2-Umsetzungsgesetz in nationales Recht überführt, die Aufsicht liegt beim BSI. Für viele Unternehmen bedeutet das: mehr Organisationen fallen unter die Pflicht, die Anforderungen werden härter, und die Leitungsebene haftet persönlich für die Umsetzung.
- Sektoren u. a.: Energie, Gesundheit, Verkehr, Wasser, digitale Infrastruktur, IT-Dienste, öffentliche Verwaltung, verarbeitendes Gewerbe, Post und Logistik
- Größenkriterium in der Regel ab mittleren Unternehmen (ab 50 Beschäftigten oder mehr als 10 Mio. Euro Umsatz), mit sektorspezifischen Ausnahmen
- Pflicht zu Risikomanagement, Meldeprozessen für Sicherheitsvorfälle und Nachweisen gegenüber der Aufsicht
- Verantwortung und Haftung ausdrücklich bei der Unternehmensleitung
Artikel 21: Lieferkettensicherheit wird zur Pflicht
Artikel 21 listet die Mindestmaßnahmen für das Risikomanagement auf. Absatz 2 lit. d adressiert ausdrücklich die Sicherheit der Lieferkette, einschließlich der sicherheitsbezogenen Aspekte der Beziehungen zwischen einer Einrichtung und ihren direkten Anbietern oder Dienstleistern. Konkret heißt das: Man muss die Schwachstellen der eigenen Lieferanten bewerten und deren Sicherheitspraxis in die eigene Risikobetrachtung einbeziehen.
Gerade bei Kommunikationsdiensten ist das anspruchsvoll. Häufig steht am Ende keine einfache Zwei-Parteien-Beziehung, sondern eine lange Kette: Plattform, Aggregator, Subunternehmer, Carrier. Jede Zwischenstufe erhöht die Zahl der Beteiligten, die Nachrichten und Daten sehen, und senkt die Transparenz darüber, wo im Ernstfall die Kontrolle liegt.
Kommunikationsrisiken, die im Audit auffallen
Wer eine NIS2-Prüfung durchläuft, stößt bei der Alarmierung immer wieder auf dieselben drei Schwachstellen:
- Fehlende Transparenz: Es ist unklar, wer eine Nachricht routet, über welche Länder sie läuft und wo personenbezogene Daten verarbeitet werden.
- Kaskadenrisiko: Fällt ein einzelner Dienstleister aus, trifft es viele Kunden gleichzeitig. Die eigene Notfallkommunikation teilt sich denselben Single Point of Failure mit hunderten anderen Organisationen.
- Abhängigkeit vom IP-Netz: SaaS-Werkzeuge werden nutzlos, sobald das Netz isoliert wird, etwa während einer Ransomware-Reaktion. Ein per SSO gesperrtes Alarmierungssystem ist im entscheidenden Moment nicht erreichbar.
Hinzu kommt oft ein vierter Punkt, der selten dokumentiert ist: Es existiert kein getesteter Zweitkanal und kein Runbook, das beschreibt, wie kommuniziert wird, wenn das primäre System steht.
Abhängigkeiten beherrschen, ohne die Cloud zu verteufeln
NIS2 verlangt keine Rückkehr ins Prä-Cloud-Zeitalter. Der Maßstab ist Verhältnismäßigkeit: Maßnahmen müssen zum identifizierten Risiko passen. Für Routineaufgaben bleiben Cloud-Dienste sinnvoll. Kritische Alarmierung dagegen sollte so ausgelegt sein, dass sie auch ohne diese Dienste funktioniert.
- Zwischenketten verkürzen, damit weniger Dritte zwischen Sender und Empfänger stehen
- Einen unabhängigen Alternativkanal aufbauen, der technisch nichts mit dem primären Weg teilt
- Die Kontrolle über Daten, Zustellprotokolle und Zeitstempel im eigenen Haus behalten
- Den Zweitkanal regelmäßig testen und die Tests für das Audit dokumentieren
Flankierend adressiert Artikel 22 koordinierte Risikobewertungen kritischer Lieferketten auf EU-Ebene, und Artikel 25 legt nahe, anerkannte technische Standards wie ISO/IEC 27001 zu nutzen. Im Audit läuft es am Ende auf eine einfache Frage hinaus: Ist die gewählte Lösung klar beschrieben, dokumentiert und dem Risiko angemessen?
On-Premise als resilienter Zweitkanal: das SMSEagle-Prinzip
Ein Hardware-SMS-Gateway steht im eigenen Rack, trägt eine oder mehrere SIM-Karten und versendet SMS direkt über das Mobilfunknetz. Damit schrumpft die Lieferkette auf das Nötigste: von der eigenen Organisation über das Mobilfunknetz zum Empfänger, ohne Plattform, Aggregator oder Internetstrecke dazwischen. Genau diese kurze, nachvollziehbare Kette ist es, die im Audit überzeugt.
| Kriterium | Cloud-Alarmierungsdienst | On-Premise-Gateway |
|---|---|---|
| Länge der Lieferkette | Mehrstufig (Plattform, Aggregator, Carrier) | Kurz (Organisation, Mobilfunknetz) |
| Funktion bei Internet-/DNS-Ausfall | Nein | Ja |
| Funktion bei SSO-/Netzisolation | Meist nein | Ja |
| Kaskadenrisiko über viele Kunden | Hoch | Gering |
| Datenhaltung & Zustell-Logs | Beim Anbieter | Lokal im eigenen Netz |
| Nachweisbarkeit im Audit | Abhängig vom Anbieter | Direkt aus dem Gerät |
Für die NIS2-Argumentation zählen vor allem vier Eigenschaften: eine kurze und dokumentierte Lieferkette, der Betrieb unabhängig von Internet, DNS und SSO, lokal geführte Zustellprotokolle mit Zeitstempeln sowie die vollständige Datenhaltung im eigenen Netzwerk. SMSEagle ist zusätzlich nach ISO/IEC 27001 zertifiziert, was den Nachweis anerkannter Standards nach Artikel 25 erleichtert.
In fünf Schritten zum NIS2-tauglichen Notfallkanal
- Kritische Alarmierungspfade identifizieren: Wer muss im Ernstfall wie schnell erreicht werden?
- Abhängigkeiten der bestehenden Kette dokumentieren: Welche Dienstleister und welche Ausfallpunkte hängen dazwischen?
- Unabhängigen Zweitkanal einrichten: Hardware-Gateway mit eigener SIM, technisch getrennt vom primären Weg
- Failover und Eskalation etablieren und den Kanal regelmäßig testen, inklusive Quittierung
- Nachweise sammeln: Zustell-Logs, Runbook und Testprotokolle als Beleg für das Audit
Fazit
Mit NIS2 ist Lieferkettensicherheit fester Bestandteil des Risikomanagements, und die Notfallkommunikation gehört ausdrücklich dazu. Ein unabhängiger, lokaler Kanal ist damit kein technisches Nice-to-have, sondern eine belastbare Antwort auf sehr konkrete Auditfragen. Ein On-Premise-Gateway wie SMSEagle liefert genau diese Unabhängigkeit, kombiniert mit voller Datenhoheit und prüfbaren Logs. Dieser Beitrag gibt eine praxisnahe Orientierung und ersetzt keine individuelle Rechtsberatung.
Du willst wissen, welches Gerät zu deinem Alarmierungs- und Volumenbedarf passt? Unser kurzes Gerätequiz führt in zwei Minuten zur passenden Variante, oder du schreibst uns direkt für eine unverbindliche Beratung.
Häufig gestellte Fragen
Für wen gilt NIS2?
NIS2 (Richtlinie (EU) 2022/2555) betrifft wesentliche und wichtige Einrichtungen in rund 18 Sektoren, von Energie, Gesundheit und Verkehr bis zu digitaler Infrastruktur, öffentlicher Verwaltung und verarbeitendem Gewerbe. In der Regel greift die Pflicht ab mittlerer Unternehmensgröße (ab 50 Beschäftigten oder mehr als 10 Mio. Euro Umsatz), mit sektorspezifischen Ausnahmen. In Deutschland erfolgt die Umsetzung über das NIS2-Umsetzungsgesetz, die Aufsicht liegt beim BSI.
Was verlangt NIS2 in Bezug auf die Lieferkette?
Artikel 21 Absatz 2 lit. d nennt die Sicherheit der Lieferkette ausdrücklich als Mindestmaßnahme, einschließlich der sicherheitsbezogenen Aspekte der Beziehungen zu direkten Anbietern und Dienstleistern. Organisationen müssen Schwachstellen ihrer Lieferanten bewerten und deren Sicherheitspraxis berücksichtigen.
Warum reicht ein Cloud-Alarmierungsdienst allein nicht aus?
Cloudbasierte Alarmierung hängt an Internet, DNS und oft an einem Single Sign-on. Genau in den Szenarien, in denen ein Alert zählt (DDoS-Angriff, Ransomware-Vorfall mit Netzisolation, Providerausfall), kann der Dienst ausfallen. NIS2 verlangt einen risikoangemessenen Umgang mit solchen Abhängigkeiten, in der Praxis also Redundanz durch einen unabhängigen Kanal.
Wie hilft ein Hardware-SMS-Gateway bei der NIS2-Konformität?
Ein lokales Gateway wie SMSEagle versendet über die eigene SIM direkt im Mobilfunknetz. Das verkürzt die Lieferkette, funktioniert auch bei Ausfall von Internet oder Cloud-Provider und hält Zustell-Logs sowie Daten im eigenen Netzwerk. Das erleichtert sowohl die Resilienz als auch den Nachweis im Audit. Der Beitrag ersetzt keine Rechtsberatung.
