NIS2 Lieferkettensicherheit: Warum E-Mail-Verschlüsselung auch Ihre Zulieferer betrifft
NIS2 fordert sichere Kommunikation in der Lieferkette. Erfahren Sie, warum E-Mail-Verschlüsselung auch Zulieferer betrifft und wie das Nachrichtenportal die Lücke schließt.
3 minNIS2 & Compliance
NIS2 Lieferkettensicherheit: Warum E-Mail-Verschlüsselung auch Ihre Zulieferer betrifft
Die Lieferkette ist die offene Flanke der Cybersicherheit. NIS2 adressiert das direkt: §30 Abs. 2 Nr. 5 BSIG fordert Sicherheit in der Lieferkette – einschließlich der Kommunikation. Das hat weitreichende Konsequenzen für die E-Mail-Kommunikation mit Partnern, Zulieferern und Dienstleistern.
§30 Nr. 5 BSIG: Was steht im Gesetz?
Sicherheit in der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.
Konkret bedeutet das:
- Die Sicherheit der Kommunikationswege zu Partnern muss gewährleistet sein
- Zulieferer müssen sicherheitstechnisch bewertet werden
- Die E-Mail-Kommunikation in der Lieferkette muss verschlüsselt und nachvollziehbar sein
Warum E-Mail das schwächste Glied in der Supply Chain ist
In der typischen Lieferkette fließen sensible Daten per E-Mail:
- Angebote und Verträge mit vertraulichen Konditionen
- Technische Spezifikationen und Konstruktionszeichnungen
- Rechnungen und Zahlungsdaten (Ziel von BEC-Angriffen)
- Zugangsdaten für Systeme und Portale
- Personenbezogene Daten (DSGVO-relevant)
Das Problem: Viele Zulieferer – besonders KMU – haben keine eigene Verschlüsselungsinfrastruktur. E-Mails werden unverschlüsselt gesendet und können auf dem Transportweg abgefangen werden.
Auch nicht-NIS2-betroffene Unternehmen sind indirekt betroffen
Ein häufiges Missverständnis: "Wir haben weniger als 50 Mitarbeitende, NIS2 betrifft uns nicht."
Falsch. NIS2-betroffene Unternehmen sind verpflichtet, die Sicherheit ihrer Lieferkette zu bewerten. Das bedeutet:
- Sie können von Kunden Sicherheitsnachweise für die E-Mail-Kommunikation gefordert werden
- Verträge können Verschlüsselungspflichten enthalten
- Bei einem Vorfall beim Zulieferer haftet das NIS2-betroffene Unternehmen trotzdem
Fazit: Wenn Ihre Kunden unter NIS2 fallen, werden Sie als Zulieferer de facto mitreguliert.
Das Kernproblem: Verschlüsselung erfordert Infrastruktur auf beiden Seiten
Klassische E-Mail-Verschlüsselung mit S/MIME oder PGP funktioniert nur, wenn beide Seiten die Infrastruktur haben:
Weitere Artikel
Die neuesten Beiträge aus unserem Blog.
3 minLinux
Postfix absichern: Best Practices für die main.cf und der nächste logische Schritt
So sicherst du deinen Postfix-Mailserver ab: Konfigurations-Snippets für die main.cf, Postscreen, RBLs und der Architektur-Shift zum E-Mail Secure Gateway.
10 minTipps & Troubleshooting / IT-Administration
Outlook Signatur verschwindet? 6 typische Probleme + einfache Lösungen
Sie erstellen Ihre Outlook Signatur – und am nächsten Tag ist sie wieder weg. Die Signatur wird nicht angezeigt, nach einem Update sind alle Einstellungen verloren, oder die native Outlook-Funktion…
