NIS2 Lieferkettensicherheit: Warum E-Mail-Verschlüsselung auch Ihre Zulieferer betrifft
NIS2 fordert sichere Kommunikation in der Lieferkette. Erfahren Sie, warum E-Mail-Verschlüsselung auch Zulieferer betrifft und wie das Nachrichtenportal die Lücke schließt.
3 minNIS2 & Compliance
NIS2 Lieferkettensicherheit: Warum E-Mail-Verschlüsselung auch Ihre Zulieferer betrifft
Die Lieferkette ist die offene Flanke der Cybersicherheit. NIS2 adressiert das direkt: §30 Abs. 2 Nr. 5 BSIG fordert Sicherheit in der Lieferkette – einschließlich der Kommunikation. Das hat weitreichende Konsequenzen für die E-Mail-Kommunikation mit Partnern, Zulieferern und Dienstleistern.
§30 Nr. 5 BSIG: Was steht im Gesetz?
Sicherheit in der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.
Konkret bedeutet das:
- Die Sicherheit der Kommunikationswege zu Partnern muss gewährleistet sein
- Zulieferer müssen sicherheitstechnisch bewertet werden
- Die E-Mail-Kommunikation in der Lieferkette muss verschlüsselt und nachvollziehbar sein
Warum E-Mail das schwächste Glied in der Supply Chain ist
In der typischen Lieferkette fließen sensible Daten per E-Mail:
- Angebote und Verträge mit vertraulichen Konditionen
- Technische Spezifikationen und Konstruktionszeichnungen
- Rechnungen und Zahlungsdaten (Ziel von BEC-Angriffen)
- Zugangsdaten für Systeme und Portale
- Personenbezogene Daten (DSGVO-relevant)
Das Problem: Viele Zulieferer – besonders KMU – haben keine eigene Verschlüsselungsinfrastruktur. E-Mails werden unverschlüsselt gesendet und können auf dem Transportweg abgefangen werden.
Auch nicht-NIS2-betroffene Unternehmen sind indirekt betroffen
Ein häufiges Missverständnis: "Wir haben weniger als 50 Mitarbeitende, NIS2 betrifft uns nicht."
Falsch. NIS2-betroffene Unternehmen sind verpflichtet, die Sicherheit ihrer Lieferkette zu bewerten. Das bedeutet:
- Sie können von Kunden Sicherheitsnachweise für die E-Mail-Kommunikation gefordert werden
- Verträge können Verschlüsselungspflichten enthalten
- Bei einem Vorfall beim Zulieferer haftet das NIS2-betroffene Unternehmen trotzdem
Fazit: Wenn Ihre Kunden unter NIS2 fallen, werden Sie als Zulieferer de facto mitreguliert.
Das Kernproblem: Verschlüsselung erfordert Infrastruktur auf beiden Seiten
Klassische E-Mail-Verschlüsselung mit S/MIME oder PGP funktioniert nur, wenn beide Seiten die Infrastruktur haben:
More articles
The latest posts from our blog.
5 minIT Security / Email
Email Security Gateway: The Complete Guide for Businesses 2026
An Email Security Gateway is the central line of defense for business email communication. This guide explains how it works, what threats it blocks, and why it is essential for NIS2 and GDPR…
3 minIT Security / Comparison
Email Security Gateway Comparison 2026: What Really Matters
Choosing the right Email Security Gateway is critical for business communication security. This comparison shows the most important criteria and typical pitfalls.
