NIS2 Lieferkettensicherheit: Warum E-Mail-Verschlüsselung auch Ihre Zulieferer betrifft
NIS2 fordert sichere Kommunikation in der Lieferkette. Erfahren Sie, warum E-Mail-Verschlüsselung auch Zulieferer betrifft und wie das Nachrichtenportal die Lücke schließt.
3 minNIS2 & Compliance
NIS2 Lieferkettensicherheit: Warum E-Mail-Verschlüsselung auch Ihre Zulieferer betrifft
Die Lieferkette ist die offene Flanke der Cybersicherheit. NIS2 adressiert das direkt: §30 Abs. 2 Nr. 5 BSIG fordert Sicherheit in der Lieferkette – einschließlich der Kommunikation. Das hat weitreichende Konsequenzen für die E-Mail-Kommunikation mit Partnern, Zulieferern und Dienstleistern.
§30 Nr. 5 BSIG: Was steht im Gesetz?
Sicherheit in der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.
Konkret bedeutet das:
- Die Sicherheit der Kommunikationswege zu Partnern muss gewährleistet sein
- Zulieferer müssen sicherheitstechnisch bewertet werden
- Die E-Mail-Kommunikation in der Lieferkette muss verschlüsselt und nachvollziehbar sein
Warum E-Mail das schwächste Glied in der Supply Chain ist
In der typischen Lieferkette fließen sensible Daten per E-Mail:
- Angebote und Verträge mit vertraulichen Konditionen
- Technische Spezifikationen und Konstruktionszeichnungen
- Rechnungen und Zahlungsdaten (Ziel von BEC-Angriffen)
- Zugangsdaten für Systeme und Portale
- Personenbezogene Daten (DSGVO-relevant)
Das Problem: Viele Zulieferer – besonders KMU – haben keine eigene Verschlüsselungsinfrastruktur. E-Mails werden unverschlüsselt gesendet und können auf dem Transportweg abgefangen werden.
Auch nicht-NIS2-betroffene Unternehmen sind indirekt betroffen
Ein häufiges Missverständnis: "Wir haben weniger als 50 Mitarbeitende, NIS2 betrifft uns nicht."
Falsch. NIS2-betroffene Unternehmen sind verpflichtet, die Sicherheit ihrer Lieferkette zu bewerten. Das bedeutet:
- Sie können von Kunden Sicherheitsnachweise für die E-Mail-Kommunikation gefordert werden
- Verträge können Verschlüsselungspflichten enthalten
- Bei einem Vorfall beim Zulieferer haftet das NIS2-betroffene Unternehmen trotzdem
Fazit: Wenn Ihre Kunden unter NIS2 fallen, werden Sie als Zulieferer de facto mitreguliert.
Das Kernproblem: Verschlüsselung erfordert Infrastruktur auf beiden Seiten
Klassische E-Mail-Verschlüsselung mit S/MIME oder PGP funktioniert nur, wenn beide Seiten die Infrastruktur haben:
Weitere Artikel
Die neuesten Beiträge aus unserem Blog.
8 minProdukt-Updates / News
Conbool Disclaimer Add‑in für Outlook – Jetzt im Microsoft Store
E‑Mail‑Signaturen zentral steuern, rechtssichere Disclaimer einbinden und den Unternehmensauftritt in Outlook vereinheitlichen – ohne manuelle Frickelei. Das Conbool Disclaimer Add‑in ist ab sofort…
3 minIT-Sicherheit / E-Mail Verschlüsselung
SecureMail: E-Mail-Verschlüsselung ohne Plugin-Chaos und Portal-Frust
Vergessen Sie komplizierte Portale und HTML-Anhänge. Erfahren Sie, wie Sie mit Conbool SecureMail E-Mails in M365 adaptiv und BSI-konform verschlüsseln.
