Lieferkette & Verfügbarkeit

NIS2: Der blinde Fleck im Netz

Cybersicherheit, NIS2 Compliance Anforderungen für Unternehmen, NIS2 Lieferkettensicherheit Netzbetreiber, NIS2 Risikomanagement nach § 30 BSIG, Netzanbindung als Sicherheitsrisiko, Netzwerksicherheit, NIS2, Supply chain security

Seit Dezember 2025 gilt NIS2 ohne Übergangsfrist. Doch NIS2-Compliance scheitert selten an der Firewall, sondern an der einen Leitung, die niemand redundant ausgelegt hat. Warum die Netzanbindung der übersehene Risikovektor im Maßnahmenkatalog des § 30 BSIG ist.

Was NIS2 mit der Leitung zu tun hat

Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz (NIS2UmsuCG) unmittelbar und ohne Übergangsfrist. Verkündet wurde es einen Tag zuvor im Bundesgesetzblatt, nachdem Bundestag und Bundesrat im November 2025 zugestimmt hatten. Es reformiert das BSI-Gesetz und verpflichtet rund 29.500 Einrichtungen in 18 Sektoren zu einem verbindlichen Katalog an Risikomanagementmaßnahmen. Die Aufsicht liegt beim BSI, die Registrierungsfrist ist bereits im März 2026 abgelaufen.

Anzeige

Der Maßnahmenkatalog in § 30 BSIG liest sich für viele wie das Inhaltsverzeichnis eines Informationssicherheits-Managementsystems: Risikoanalyse, Zugriffskontrolle, Kryptografie, Vorfallbewältigung. Zwei Punkte richten den Blick allerdings ausdrücklich nach außen: die Aufrechterhaltung des Betriebs samt Backup und Krisenmanagement (§ 30 Abs. 2 Nr. 3) und die Sicherheit der Lieferkette (§ 30 Abs. 2 Nr. 4).

Genau hier entsteht eine Lücke, die selten adressiert wird. Cybersicherheitsprogramme konzentrieren sich fast reflexartig auf Endpunkte, Server, Identitäten und Applikationen. Die Anbindung an die Außenwelt, also Leitungen, Übergabepunkte, Routing und die dahinterliegenden Provider, gilt als gesetzt. Sie funktioniert, also denkt niemand darüber nach. Diese Selbstverständlichkeit ist der blinde Fleck.

Ist der Netzbetreiber ein Lieferant im Sinne von NIS2?

Ja. Sobald ein Anbieter Einfluss auf die Verfügbarkeit hat, ist er ein kritischer Bestandteil der Lieferkette im Sinne des § 30 Abs. 2 Nr. 4 BSIG. Die Norm erfasst dem Wortlaut nach die „sicherheitsbezogenen Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern“. Maßgeblich ist nicht die formale Kategorie eines Zulieferers, sondern seine funktionale Rolle. In der Praxis haben sich drei Kriterien etabliert: Zugang zu den eigenen IT-Systemen, Zugang zu vertraulichen Daten und Einfluss auf die Verfügbarkeit.

Anzeige

Der Anbieter der Netzanbindung erfüllt mindestens das dritte Kriterium in Reinform. Fällt die Leitung aus, steht der Betrieb. Damit ist der Netzbetreiber kein beliebiger Dienstleister, sondern kritisch wie ein Rechenzentrumsbetreiber. Die entscheidende Prüffrage lautet schlicht: Was passiert, wenn dieser Anbieter ausfällt? Wer seine Lieferkette bewertet, ohne die Netzanbindung einzubeziehen, hat die Bewertung unvollständig durchgeführt. Dass der Gesetzgeber die Leitungsebene ernst nimmt, zeigt eine Änderung im Verfahren: Der frühere Schwellenwert, der nur Telekommunikationsanbieter ab 100.000 Kunden erfasste, wurde gestrichen. Das BSI kann seine Befugnisse nun auch gegenüber kleineren, regionalen Anbietern ausüben.

Zu einer belastbaren Bewertung gehört schließlich die geografische und rechtliche Exposition. Bei Netzdiensten heißt das konkret: In welcher Jurisdiktion sitzt der Betreiber? Über welche Trassen und Länder läuft der Verkehr physisch? Bestehen Abhängigkeiten von einzelnen Übergabepunkten, deren Ausfall nicht kompensiert werden kann?

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Drei Szenarien, die selten auf der Risikokarte stehen

1. Physische Trassen. Die Beschädigung der Ostsee-Datenkabel im November 2024 hat vor Augen geführt, wie verletzlich die physische Ebene ist. Zwei Kabel wurden nahezu zeitgleich unterbrochen; die Ursache wurde nie abschließend geklärt, der Verdacht richtete sich auf ein schleppendes Schiffsanker. Es blieb kein Einzelfall: In den folgenden gut zwölf Monaten kam es in der Ostsee zu einer Serie weiterer Kabelschäden, sodass die NATO Anfang 2025 eine eigene Überwachungsmission startete. Für Unternehmen mit nur einer physischen Anbindung, oder mit zwei Leitungen, die unbemerkt über dieselbe Trasse laufen, ist ein solches Ereignis kein abstraktes Risiko, sondern ein Totalausfall. Redundanz auf dem Papier, die physisch auf demselben Weg endet, ist keine Redundanz.

2. Routing. Das Border Gateway Protocol, das den Datenverkehr zwischen den Netzen lenkt, kennt keine eingebaute Vertrauensprüfung. Fehlerhafte oder manipulierte Routing-Ankündigungen leiten Verkehr um, führen zu Ausfällen oder ermöglichen im schlimmeren Fall das Mitlesen. Das ist kein Randphänomen: Allein im ersten Quartal 2026 registrierten Beobachtungsdienste sieben überregionale Route Leaks und einen Hijack, und täglich sind Tausende ungültiger Präfixe im Umlauf. Wie weit ein einzelner Fehler trägt, zeigte ein Vorfall im Januar 2026: Eine fehlerhafte Konfiguration bei einem einzigen großen Anbieter genügte, um über rund 25 Minuten Überlast und Latenz in eigentlich unbeteiligte Netze zu tragen. Es brauchte dafür keinen Angreifer, nur einen Konfigurationsfehler an der richtigen Stelle.

3. Provider-Abhängigkeit. Viele Organisationen beziehen Anbindung, Backup-Leitung und Cloud-Übergang faktisch aus einer Hand. Das ist bequem, konzentriert aber das Risiko: Fällt der Anbieter aus, betrifft das alle Pfade gleichzeitig. Die europäische Statistik stützt die Sorge: Die EU-Agentur ENISA zählte für 2024 insgesamt 188 schwere Telekommunikationsvorfälle, ein Fünftel mehr als im Vorjahr, und führt einen erheblichen Teil der großen Ausfälle auf Drittanbieter zurück. Eine Betriebskontinuität, die auf einer einzigen Bezugsquelle ruht, lässt sich unter diesen Bedingungen kaum belegen.

Von der Pflicht zur Prüffrage

Für Verantwortliche übersetzt sich das in konkrete, überprüfbare Fragen, die in jede NIS2-Gap-Analyse gehören. Sind die Leitungen physisch getrennt geführt, oder teilen sie sich eine Trasse? Ist der Netzanbieter in der Lieferantenbewertung erfasst und nach seiner Verfügbarkeitswirkung eingestuft? Existiert ein dokumentierter Notfallpfad, wenn der primäre Anbieter ausfällt? Und lässt sich die geografische und rechtliche Exposition der genutzten Netzdienste benennen?

Diese Fragen sind keine Kür. Sie folgen unmittelbar aus dem Maßnahmenkatalog, den das Gesetz seit Dezember 2025 verlangt. Betreiber kritischer Anlagen müssen die Wirksamkeit ihrer Maßnahmen turnusmäßig, erstmals binnen drei Jahren, gegenüber dem BSI nachweisen; bei anderen Einrichtungen kann das BSI Nachweise anlassbezogen verlangen. In beiden Fällen gilt: Eine Lieferkettenbewertung, welche die Netzebene ausspart, hält einer Prüfung nicht stand. Die Konkretisierung der Maßnahmen durch eine Rechtsverordnung des Innenministeriums ist noch in Arbeit; bis dahin gelten § 30 sowie etablierte Standards wie ISO 27001 und der BSI IT-Grundschutz als Orientierung.

Redundanz ist eine Architekturfrage, keine Vertragsklausel

„Zwei Leitungen über dieselbe Trasse sind keine Redundanz, sondern ein Ausfallpunkt mit Vertrag.“

Nikolaus von Johnston, Geschäftsführer der SAVECALL GmbH, savecall.de

Echte Ausfallsicherheit auf der Netzebene entsteht aus mehreren Ebenen: physisch getrennte Wegeführung, voneinander unabhängige Anbieter, sauber konfigurierte Übergänge mit automatischem Failover und ein Routing, das im Fehlerfall trägt. Der Grundgedanke ist behördlich verankert. Das BSI empfiehlt für georedundante Rechenzentren inzwischen einen Mindestabstand von mehr als 200 Kilometern, und eine EU-Expertengruppe benennt für Seekabel ausdrücklich die Vielfalt der Routen und Landepunkte als erste strategische Schutzmaßnahme. Das Prinzip dahinter, echte Diversität statt Redundanz auf dem Papier, lässt sich auf jede Unternehmensanbindung übertragen.

Der Schritt, der am meisten bewirkt, ist zugleich der unspektakulärste: die Netzanbindung überhaupt als eigenständigen Baustein der NIS2-Bewertung zu behandeln, statt sie als gegebene Infrastruktur auszublenden. Wer die Leitung in die Risikobetrachtung holt, macht Betriebskontinuität von einer Annahme zu einer belegbaren Eigenschaft. Und weil die Geschäftsleitung nach dem neuen BSIG persönlich für die Risikomanagementmaßnahmen einsteht, ist das kein rein technisches, sondern ein Führungsthema.

Cybersicherheit endet nicht an der Firewall. Sie beginnt bei der Frage, worüber die Daten das Haus überhaupt verlassen.

Nikolaus von Johnston ist Geschäftsführer der SAVECALL GmbH

Nikolaus

von Johnston

Geschäftsführer

SAVECALL GmbH

Nikolaus von Johnston ist Geschäftsführer der SAVECALL GmbH, einer carrier-unabhängigen Beratung für Unternehmenskommunikation und Netzanbindung mit über 1.400 Kunden im DACH-Raum. Er begleitet Unternehmen seit über 20 Jahren bei Netzwerk, Kommunikation und IT-Beschaffung.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.