Muss ich meine IT-Lieferanten nach Sicherheitskriterien führen, auch wenn ich nicht NIS2-pflichtig bin?

Ja. Die Auswahl und Steuerung von IT-Lieferanten, die personenbezogene Daten in Ihrem Auftrag verarbeiten, ist bereits nach Artikel 28 und 32 der Verordnung (EU) 2016/679 (DSGVO) eine Pflicht des Verantwortlichen, unabhängig von NIS2. ISO/IEC 27001:2022 verlangt dies durch die Controls A.5.19, A.5.20, A.5.21 und A.5.22. NIS2 (Art. 21 Abs. 2 Buchst. d) und die ACN-Bestimmungen ergänzen dokumentierte Rechenschaftspflicht und Bußgelder, aber das Prinzip wird seit Jahren von DSGVO und ISO 27001 gefordert.

Ich bin Steuerberater. Was ändert sich, wenn einer meiner Mandanten NIS2-pflichtig ist?

Ihr NIS2-Mandant muss Sie als relevanten Lieferanten erfassen (Sie verwalten Steuerdaten, Lohnabrechnungen, HR und Verträge), das Risiko Ihrer Kompromittierung bewerten und verhältnismäßige Maßnahmen anwenden. Sie erhalten Sicherheitsfragebögen, vertragliche Klauseln zu MFA und Vorfallmeldung, Anforderungen an dokumentarische Nachweise, Audits. Wenn Sie nicht antworten können, ist der Mandant verpflichtet, neu zu verhandeln oder Sie zu ersetzen. Ein einziger NIS2-Mandant zieht Sie in den Mechanismus, und ein einziges wichtiges produzierendes KMU unter Ihren Mandanten genügt, um ihn zu aktivieren.

Ein IT-Lieferant verlangt von mir eine permanente VPN-Verbindung in mein Netz. Soll ich akzeptieren?

Nicht automatisch. Die richtige Frage ist nicht, welches VPN-Protokoll zu verwenden ist, sondern ob die vom Lieferanten vorgeschlagene Zugriffsart verhältnismäßig zum Risiko Ihres Kerngeschäfts und der von Ihnen verarbeiteten Daten ist. Wenn der Lieferant einen nicht-vitalen Dienst erbringt (zum Beispiel eine On-Premise-Unterstützungsfunktion), ist eine permanente VPN oft unverhältnismäßig: Sie führt einen Lieferketten-Angriffskanal ein im Tausch gegen operative Kosteneinsparungen für den Lieferanten. Es gibt sicherere Alternativen: On-Demand-Fernsteuerungssitzungen unter Benutzerkontrolle, Reverse-Call-Home-Tunnel vom Lieferantensystem, vom Lieferanten selbst betriebener Cloud-Dienst.

Was bedeutet konkret, vom Dienst statt vom Asset auszugehen?

Es bedeutet, dass man sich vor der Entscheidung über die Anschaffung einer Firewall oder die Konfiguration einer VPN fragt: Welche Dienste erbringe ich für Mandanten, Patienten, Mitarbeiter? Wie relevant sind sie? Was passiert, wenn ein Lieferant, der sie unterstützt, kompromittiert wird? Aus diesen Antworten ergeben sich die Maßnahmen (organisatorisch, vertraglich, architektonisch). Erst am Ende kommt man zu den technischen Assets, die die Werkzeuge zur Anwendung der gewählten Maßnahmen sind. Es ist das von der italienischen ACN-Bestimmung 155238/2026 und Art. 30 des Gesetzesdekrets 138/2024 vorgegebene Schema, deckt sich aber mit dem Ansatz von ISO/IEC 27001:2022 (Annex A) und dem Rechenschaftsgrundsatz der DSGVO.

Ich führe eine kleine Kanzlei. Brauche ich wirklich einen strukturierten Vendor-Management-Prozess?

Sie brauchen keinen Enterprise-Prozess. Sie brauchen Nachweise, die zur Größe verhältnismäßig sind: eine schriftliche Liste der IT-Lieferanten, die auf Ihre Daten oder Systeme zugreifen, eine einfache Risikobewertung für jeden (hoch, mittel, niedrig), Mindestklauseln in Verträgen zu Sicherheitsmaßnahmen und Vorfallmeldung, eine dokumentierte Entscheidung zu den gewährten Zugriffsmodalitäten (und zu den abgelehnten, mit Begründung). Fünf gut gemachte Seiten sind mehr wert als fünfzig Seiten nicht angewandter Richtlinien.

Was ist der Rechenschaftsgrundsatz der DSGVO und warum ist er hier wichtig?

Artikel 5 Abs. 2 der DSGVO verpflichtet den Verantwortlichen, die Einhaltung der Grundsätze der Verordnung nachweisen zu können, nicht nur sie einzuhalten. Übersetzt: Im Falle einer Datenpanne oder einer Prüfung reicht es nicht zu sagen "wir haben das Richtige getan", man muss die getroffenen Entscheidungen und das Warum belegen. Die Lieferantenauswahl, die gewährten oder verweigerten Zugriffsbedingungen und die ergriffenen technischen Maßnahmen müssen nachvollziehbar sein. Dieselbe Logik findet sich in ISO 27001 (Statement of Applicability) und in NIS2 (begründete Abweichung, dokumentierter Nachweis).

IT-Lieferkette: Was NIS2, DSGVO und ISO 27001 wirklich von Freiberuflern und KMU verlangen

Alle News

3. Mai 2026·NIS2DSGVOISO 27001LieferketteFreiberuflerIT-LieferantenKMU

DSGVOArt. 28, 32, 5(2)

ISO/IEC 27001:2022A.5.19 – A.5.22

NIS2Art. 21(2)(d)

Realer FallApril 2026

Ein realer Fall von Ende April 2026

Der nachfolgende Fall ist anonymisiert, einige operative Details wurden abstrahiert, um die beteiligten Parteien nicht zu identifizieren. Die beschriebene Dynamik ist repräsentativ für Situationen, denen wir regelmäßig im italienischen Markt begegnen.

Eine italienische Freiberufler-Kanzlei. Cloud-First-Architektur: Buchhaltungsplattform in der Cloud, E-Mail in der Cloud, Dokumente in der Cloud, marginaler interner Server. Netz und Perimeter mit Business-Grade Managed Equipment betrieben, IDS und IPS aktiv, keine Ports nach außen veröffentlicht. Kurz: eine vernünftige Sicherheitslage für 2026.

Ein externer IT-Lieferant kommt vor Ort, um neue On-Premise-Geräte zu installieren. Er fragt nicht nach dem IP-Adressschema, fragt nicht, ob ein dediziertes Netz existiert, schlägt keine eigene Netzinfrastruktur vor: Die Geräte werden im selben Netz angeschlossen, in dem Buchhaltungs- und Dokumentdaten fließen, ohne Segmentierung. Bei der Diskussion über die zukünftige Fernwartung schließt der Techniker das Thema mit einem knappen «machen wir eine VPN» ab und verweist per E-Mail auf einen Kollegen.

Es folgen fünf Tage Schriftverkehr. Der Vorschlag ändert dreimal die Form: zuerst eine Site-to-Site VPN über TLS im Client-Modus auf Kundenseite, um die Kontrolle über die Restriktionen zu behalten; dann fordert der Lieferant eine Client SSL- oder IKEv2-VPN auf der Kunden-Firewall; schließlich, nach Rücksprache mit dem Kanzleiinhaber, die endgültige Entscheidung: keine permanente VPN, On-Demand Fernsteuerungssitzungen, gestartet vom Benutzer bei Bedarf, und funktionsbasierte VLAN-Segmentierung auf der Roadmap, um das Risiko strukturell zu reduzieren.

Der Lieferant akzeptiert, aber nicht ohne Einwände. In seiner abschließenden E-Mail listet er vier operative Bedenken zum On-Demand-Zugriff (Verzögerungen, keine Planung, Kosten, «die vorgeschlagene Lösung erhöht die Sicherheit in keiner Weise gegenüber einer korrekt konfigurierten Client-VPN») und schließt mit «wenn sich der Kunde dieser Probleme bewusst ist, kein Problem». Der Kunde ist sich bewusst. Die Diskussion scheint beendet. Tatsächlich beginnt hier der interessante Teil.

Der Punkt, den der Lieferant übersieht: Wessen Risiko ist es?

Der Lieferant denkt als Lieferant: Sein Problem ist der bequeme Zugang zu seinen beim Kunden installierten Geräten für Wartung, Troubleshooting und Updates. Eine permanente VPN ist der Workflow, der ihn am wenigsten kostet. Aus dieser Sicht ist seine technische Argumentation nicht falsch: Eine Client-VPN auf einer Enterprise-Firewall mit Quell-IP-Restriktion, ACLs auf Ports und Protokollen, Multi-Faktor-Authentifizierung ist tatsächlich eine robuste Lösung.

Eine technische Anmerkung für fortgeschrittene Leser: In realen Enterprise-Bereitstellungen bietet eine Client-VPN mit Identity Provider und benutzerbezogener MFA personenbezogenes Logging und Rechenschaft, die eine Site-to-Site VPN auf Basis von Pre-Shared Key oder Peer-Zertifikat nicht bieten kann. Dennoch wird in vielen IT-Lieferketten-Implementierungen für KMU die Client-VPN zu einer geteilten Anmeldeinformation, die auf den Arbeits-PCs des Lieferanten installiert ist, und dieser Vorteil verdampft.

Aber die Sicherheitsfrage war nicht «welche VPN wählen wir». Sie war eine andere: «Wer trägt das Risiko, das diese Zugriffsart einführt?». Und hier kehrt die Perspektive alles um. Um die Anfrage des Lieferanten zu akzeptieren, hätte der Kunde Folgendes tun müssen:

Lizenz und Konfiguration eines VPN-Servers auf der eigenen Firewall erwerben und pflegen;
einen Identity Provider mit MFA integrieren, um den Lieferanten zu authentifizieren;
ein dediziertes Lieferantenkonto erstellen und verwalten, mit Provisioning, Deprovisioning, Credential Rotation, Zugriffsaudit;
ACLs, zeitbasierte Richtlinien, Log-Review auf der Lieferanten-VPN definieren und pflegen;
das Lieferketten-Risiko absorbieren: Wenn der Lieferant kompromittiert wird, erbt der Angreifer einen stabilen Kanal in das Kundennetz.

All das für ein On-Premise-Gerät von 2026, in einer Kanzlei, in der alles andere in der Cloud ist. Die richtige Frage, die sich der Lieferant nie gestellt hat, lautet: «Wie kann ich meinen Wartungsdienst erbringen, ohne den Kunden zu bitten, seine Sicherheitslage zu verschlechtern?». Antworten gab es: Cloud-erbrachter Dienst, Reverse-Call-Home-Tunnel vom Lieferantensystem, vom Kunden aktivierbare Unattended-Fernsteuerungssitzungen, Bastion Host auf Lieferantenseite. Alle legen die operative Last auf die Seite des Dienstleisters, was das richtige Prinzip ist.

Das richtige Schema: Dienst → Auswirkung → Maßnahme → Asset

Wie der Fall gelöst wurde, ist keine Improvisation. Es folgt dem Schema, das die italienische ACN-Bestimmung 155238/2026 zur Kategorisierung von NIS-Aktivitäten und -Diensten ausdrücklich verlangt, und entspricht dem Ansatz, der bereits in ISO/IEC 27001:2022 (Annex A) und im Rechenschaftsgrundsatz der DSGVO vorhanden ist. Man beginnt nicht beim Asset, man beginnt beim Dienst und kommt am Ende als abgeleiteter Schritt zum Asset.

1Dienst. Der Kerndienst der Kanzlei ist die Beratung der Mandanten, nicht die vom Lieferanten erbrachte Unterstützungsfunktion. Diese Funktion ist wichtig, aber nicht vital. Intrinsische Relevanzkategorie: niedrig oder mittel, niemals hoch.
2Auswirkung. Was passiert, wenn der Lieferant kompromittiert wird und jemand die VPN als Pivot nutzt? Geräte des Lieferanten kompromittiert: niedrige Auswirkung. Lateraler Pivot ins Datennetz mit Mandantenakten, personenbezogenen und finanziellen Daten: hohe Auswirkung. Exfiltration und Ransomware: katastrophal. Das reale Risiko liegt nicht bei der Unterstützungsfunktion, sondern bei der Aggregation von Geräten und Daten im selben Netz.
3Maßnahme. Drei komplementäre Schichten. Organisatorisch: On-Demand-Zugriff unter Benutzerkontrolle (reduziert das Angriffsfenster drastisch). Architektonisch: funktionsbasierte VLAN-Segmentierung (begrenzt den Blast-Radius auf das Lieferanten-VLAN, was auch immer passiert). Vertraglich: Klauseln mit dem Lieferanten zu MFA, Zugriffsprotokollen, Schwachstellenmeldung, Sub-Lieferanten. Die drei verstärken sich gegenseitig; keine reicht allein.
4Asset. Erst jetzt sprechen wir von spezifischen Geräten, Managed-Switches mit 802.1Q-Unterstützung, Firewall-Regeln, Inter-VLAN-ACLs. Werkzeuge zur Anwendung der gewählten Maßnahmen, nicht der Ausgangspunkt.

Der Unterschied ist nicht theoretisch. Ein Lieferant oder Berater, der bei den Assets beginnt, rechtfertigt am Ende jede technische Anfrage des Lieferanten mit «eine gut konfigurierte Client-VPN ist sicher». Ein Berater, der beim Dienst beginnt, fragt sich, ob die Anfrage verhältnismäßig ist, und entdeckt in den meisten Fällen, dass sie es nicht ist.

Dasselbe Prinzip in drei Rahmenwerken: DSGVO, ISO 27001, NIS2

Was dieser Fall in die Praxis umgesetzt hat, ist keine NIS2-Neuheit. Es ist ein Prinzip, das bereits klar in drei regulatorischen Säulen geschrieben steht, die seit 2018 koexistieren, jede in ihrer eigenen Sprache:

Rahmenwerk	Verweise	Was es im Wesentlichen sagt
DSGVO	VO (EU) 2016/679, Art. 5(2), 28, 32	Der Verantwortliche muss Auftragsverarbeiter wählen, die hinreichende Garantien bieten, das Verhältnis durch einen Rechtsakt regeln (AVV), das Risiko jeder Stelle bewerten, die Daten in seinem Auftrag verarbeitet, dem Risiko angemessene technische und organisatorische Maßnahmen ergreifen und seine Entscheidungen nachweisen können (Rechenschaftspflicht).
ISO/IEC 27001:2022	Annex A: A.5.19, A.5.20, A.5.21, A.5.22	Informationssicherheit in Lieferantenbeziehungen, Sicherheitsmaßnahmen in Vereinbarungen, ICT-Lieferketten-Management, Überwachung und Überprüfung von Lieferantendiensten. Der Lieferant wird als Erweiterung des Risikoperimeters behandelt, mit dokumentarischem Nachweis (Statement of Applicability).
NIS2	Richtlinie (EU) 2022/2555, Art. 21(2)(d); ital. GD 138/2024, Art. 24; ACN-Best. 155238/2026	Lieferketten-Sicherheit unter den verpflichtenden Maßnahmen, Erfassung relevanter Lieferanten auf der ACN-Plattform, Kategorisierung von Aktivitäten und Diensten vor Assets, schwere Verwaltungsstrafen, dokumentierte Rechenschaftspflicht gegenüber der Behörde.

Drei Versionen desselben Prinzips: Das Risiko Ihres Lieferanten ist Ihr Risiko. Was sich mit NIS2 ändert, ist nicht das Prinzip selbst: Es ist die Tatsache, dass es öffentlich, durchsetzbar und sanktioniert wird. Alles andere ist seit mindestens acht Jahren Pflicht.

Warum die Freiberufler-Kanzlei der Lehrbuchfall ist

Steuerberater, Anwälte, Notare, Lohnbuchhalter, Ärzte, technische Studios. Sie sind per Definition Verantwortliche für personenbezogene Daten Dritter, oft besondere Kategorien (Art. 9 DSGVO für Gesundheitsdaten, und für Steuerberater und Lohnbuchhalter für Steuer-, Finanz- und Beschäftigtendaten ihrer Mandanten).

Übersetzt: Die Kanzlei schützt nicht ihre eigenen Daten. Sie schützt Daten, die ihr Mandanten anvertraut haben. Im Falle einer Datenpanne fallen Reputations- und Rechtsschäden in erheblichem Maße auf die Mandanten zurück, die der Kanzlei vertraut haben, neben der Kanzlei selbst. Aus diesem Grund ist die Verantwortung bei der Wahl der IT-Lieferanten schwerer, nicht leichter, als bei einem generischen KMU.

Art. 28 DSGVO. Die Kanzlei muss als Verantwortlicher Auftragsverarbeiter wählen, die hinreichende Garantien für technische und organisatorische Maßnahmen bieten. Was auch immer der Lieferant vorschlägt zu akzeptieren, «weil es schon immer so war», ist nicht konform.
Art. 32 DSGVO. Die Maßnahmen müssen dem Risiko angemessen sein. Eine permanente VPN-Öffnung gegenüber einem externen IT-Lieferanten für einen nicht-vitalen Dienst ist eine offensichtlich unverhältnismäßige Maßnahme, wenn auf der anderen Seite des Netzes hunderte Mandantenakten liegen.
Art. 5(2) DSGVO. Der Rechenschaftsgrundsatz erfordert die Fähigkeit, Entscheidungen nachweisen zu können. «Ich habe die VPN geöffnet, weil der Lieferant es verlangt hat» ist keine vor der Aufsichtsbehörde im Falle einer Datenpanne dokumentierbare Rechtfertigung.
ISO/IEC 27001 A.5.19 – A.5.22. Dieselbe Logik in technischer Sprache: Lieferantenerfassung, formale Vereinbarungen, Sicherheitskontrollen in Verträgen, Überwachung. Auch Nicht-Zertifizierte sollten dies als bewährte Praxis nutzen, um die eigene Sorgfaltspflicht zu dokumentieren.

Der Kaskadeneffekt: auch für Nicht-NIS2-Pflichtige

Es gibt eine zweite Ebene, die Freiberufler-Kanzleien und italienische KMU direkt betrifft, und sie ist die am meisten unterschätzte. NIS2 gilt nicht nur für wesentliche und wichtige Einrichtungen. Über die Lieferketten-Sicherheits-Disziplin (Art. 21(2)(d)) gilt sie de facto auch für deren Lieferanten, durch vertragliche Klauseln und Vendor-Risk-Management-Prozesse.

Übersetzt: Wenn auch nur ein einziger Mandant einer Freiberufler-Kanzlei NIS2-pflichtig (wesentlich oder wichtig) ist, wird die Kanzlei vertraglich in die Pflichten des Mandanten hineingezogen, auch wenn sie als einzelne Einrichtung nicht unter den NIS-Anwendungsbereich fällt. Der NIS2-Mandant ist verpflichtet:

1die Kanzlei als relevanten Lieferanten zu erfassen (ACN-Best. 127437/2026 zur Pflicht, Lieferanten auf der ACN-Plattform zu listen);
2das Risiko einer Kompromittierung für den eigenen Dienst zu bewerten (Steuerdaten, Lohnabrechnungen, Verträge des Mandanten liegen in den Händen der Kanzlei);
3verhältnismäßige Maßnahmen anzuwenden: vertragliche Sicherheitsklauseln, Mindestanforderungen, Auditrechte, Vorfallmeldung in engen Fristen;
4diese Bewertungen zu dokumentieren und Nachweise für die Behörde aufzubewahren.

Konkret wird die Kanzlei beginnen zu erhalten (falls nicht bereits geschehen): Sicherheitsfragebögen für Lieferanten, Vertragsklauseln mit obligatorischer MFA auf Systemen, die Mandantendaten verarbeiten, Vorfallmeldungspflichten, Anforderungen an dokumentarische Nachweise (DSGVO-Verzeichnis der Verarbeitungstätigkeiten, Sicherheitsrichtlinien, ISO 27001-Zertifizierungen wo möglich, Bescheinigungen über technische Maßnahmen). Wenn sie nicht glaubwürdig antworten kann, ist der NIS-Mandant verpflichtet, neu zu verhandeln oder sie zu ersetzen.

Zwei kurze Zahlen zeigen die Dimension. Unter den italienischen wichtigen NIS-Industrie-KMU, Versorgungsbetrieben, Gesundheitseinrichtungen, öffentlichen Verwaltungen, kritischen ICT-Lieferketten-Anbietern sind heute bereits über 21.000 Einrichtungen registriert, davon mindestens 5.000 wesentliche (von ACN bei der achten Sitzung des NIS-Roundtables im April 2026 mitgeteilte Zahl). Wie viele italienische Freiberufler-Kanzleien haben nicht mindestens eine davon unter ihren Mandanten? Sehr wenige.

Das Paradox, das den Kreis schließt

Und hier ist das Paradox, das den Fall mit dem Lieferketten-Thema verbindet: Die Freiberufler-Kanzlei, die im Namen des «es war schon immer so» von einem IT-Lieferanten einen Workflow akzeptiert, der Kosten und Risiko implizit von der Lieferantenseite auf die Kundenseite verlagert, wird genau zu der Art von nicht-konformem Lieferanten, den ihr NIS2-Mandant erfassen, bewerten und — falls sie sich nicht innerhalb der vereinbarten Frist regelkonform aufstellt — ersetzen muss.

Dieselbe Nachgiebigkeit, die die Kanzlei gegenüber ihren eigenen IT-Lieferanten zeigt, wird sie von ihren NIS-Mandanten gespiegelt zurückerhalten, die sie nach gegenteiligen Kriterien bewerten. In der Lieferkette einer NIS-Einrichtung zu bleiben bedeutet, dieselben Standards anzuwenden, die man von den eigenen Lieferanten verlangt. Und man kann nicht von seinen Mandanten Strenge verlangen, wenn man sie nicht gegenüber den eigenen Lieferanten anwendet.

Was heute zu tun ist: fünf konkrete Schritte

Sie brauchen kein Enterprise-Programm. Sie brauchen Nachweise, die zur Größe und zum Risiko angemessen sind. Für eine Freiberufler-Kanzlei oder ein KMU decken fünf Schritte 90% des Wertes ab:

1IT-Lieferanten erfassen. Ein Blatt oder eine Seite mit der Liste derjenigen, die auf Systeme und Daten zugreifen: Buchhaltungsplattform, E-Mail, Speicher, Telefonie, Hardware-Wartung, Berater, externe Entwickler. Für jeden: Was sie verarbeiten, wie sie zugreifen, von wo.
2Nach Kritikalität klassifizieren. Drei Stufen reichen: kritisch (gefährdet Dienstkontinuität oder verarbeitet sensible Daten), relevant, Standard. Die Klassifizierung bestimmt die Intensität der Maßnahmen.
3Verträge anpassen. Für kritische Lieferanten: AVV nach Art. 28 DSGVO, Mindestklauseln zu MFA wo technisch möglich, Vorfallmeldungspflicht in angemessenen Fristen (24-72 Stunden), kein Sub-Lieferantenwechsel ohne Vorankündigung, dokumentarische Auditrechte.
4Entscheidungen nachvollziehbar machen. Wenn ein Lieferant eine Zugriffsart anfragt und Sie sich entscheiden, sie mit Auflagen zu akzeptieren oder zugunsten einer Alternative abzulehnen, schreiben Sie auf, warum. Drei Zeilen Text, die Gold wert sind vor einer Aufsichtsbehörde oder einem Mandanten-Audit. Entscheidungsnachvollziehbarkeit, keine Bürokratie.
5Segmentierung und Least Privilege anwenden. Auch mit bescheidenen Mitteln: getrennte Netze nach Funktion (Produktion, Verwaltung, Gast), keine veröffentlichten Ports nach außen, wenn vermeidbar, Fernzugriffe nur On-Demand, MFA überall, aufbewahrte Logs. Standard-Technik-Maßnahmen, keine Forschung an der Front.

Die abschließende Botschaft für eine Freiberufler-Kanzlei in 2026

Für eine Freiberufler-Kanzlei — Steuerberater, Anwalt, Notar, Arzt, Lohnbuchhalter — lautet die Frage in 2026 nicht mehr «bin ich NIS2-pflichtig?». Es sind vier Fragen:

Wie viele meiner Mandanten sind NIS2-pflichtig (wesentlich oder wichtig)?
Wie viele meiner Mandanten sind Subunternehmer von NIS2-Pflichtigen, auch unwissentlich?
Bin ich in der Lage, den Sicherheitsfragebogen zu beantworten, der mich in den nächsten Monaten erreicht?
Versetzen mich meine IT-Lieferanten in die Lage, gut zu antworten, oder schaffen sie mir Risiken, die ich später dem mich auditierenden NIS-Mandanten erklären muss?

Wenn die Antwort auf die vierte Frage negativ ist, hat die Kanzlei ein reales Problem, und dieses Problem wird sich als Verlust von Mandanten und Glaubwürdigkeit lange vor jeder Verwaltungssanktion zeigen. Und in beiden Fällen wird es keine «NIS2»-Last sein: Es wird darum gehen, endlich gut zu machen, was DSGVO und ISO 27001 seit Jahren verlangen.

Ein zertifizierter Partner für die IT-Lieferkette

AtWorkStudio ist seit 2000 in Piacenza tätig. Zertifiziert nach ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019 und UNI EN ISO 9001:2015, mit ACN QC1-Qualifizierung für Cloud-Dienste (Email Security Gateway und Microsoft 365 Backup). Mitglied von Clusit (Italienischer Verband für Informationssicherheit) und assoziiert mit Confindustria Piacenza im RICT-Cluster.

Wir können Freiberufler-Kanzleien und KMU bei der Steuerung der IT-Lieferkette mit einem angemessenen Pfad begleiten: Lieferanten-Mapping, Risikobewertung, Vertragsanpassung, Definition akzeptabler Zugriffsmodalitäten, Netzwerksegmentierung, MFA, Entscheidungsnachvollziehbarkeit. Wir tun dies von der Kundenseite aus, niemals von der Lieferantenseite.

Eine Anmerkung intellektueller Ehrlichkeit: AtWorkStudio ist selbst ein IT-Lieferant, und wir wenden auf uns dieselben Prinzipien an, die wir von anderen verlangen. Wir veröffentlichen die Liste unserer Sub-Lieferanten, halten Zertifizierungen nach ISO/IEC 27001:2022, ISO/IEC 27017:2015 und ISO/IEC 27018:2019 aufrecht (Behandlung personenbezogener Identifikationsinformationen in der Cloud) und haben die ACN-QC1- Qualifizierung für Cloud-Dienste mit Sicherheitsmaßnahmen oberhalb des Baseline erlangt. Man kann gut predigen, wenn man kohärent handelt, und wir sind die Ersten, die nach denselben Kriterien beurteilt werden, die wir unseren Kunden vorschlagen.

Quellen

Verordnung (EU) 2016/679 (DSGVO) — Art. 5, 28, 32
Italienische Datenschutzbehörde (Garante) — Leitlinien zu Auftragsverarbeitern
ISO/IEC 27001:2022 — Annex A, Controls A.5.19, A.5.20, A.5.21, A.5.22
Richtlinie (EU) 2022/2555 (NIS2) — Art. 21(2)(d) Lieferketten-Sicherheit
Italienisches Gesetzesdekret 138/2024 — Nationale Umsetzung von NIS2, Art. 24 und 30
ACN-Bestimmung 155238/2026 — Kategorisierung von NIS-Aktivitäten und -Diensten
ACN-Bestimmung 379907/2025 — Grundlegende Sicherheitsmaßnahmen für NIS-Pflichtige
ACN-Bestimmung 127437/2026 — ACN-Plattform-Verfahren und Erfassung relevanter Lieferanten
ENISA (Agentur der Europäischen Union für Cybersicherheit) — Good Practices for Supply Chain Cybersecurity

Weiterführend

NIS2-Richtlinie CSIRT-Outsourcing Cybersecurity-Dienstleistungen ISO- und ACN-Zertifizierungen ACN-Klarstellungen Clusit-Event NIS2-Kategorisierung ATWS Lieferketten-Transparenz Kontaktieren Sie uns

Häufig gestellte Fragen

Was Freiberufler-Kanzleien und KMU fragen, wenn sie sich mit IT-Lieferantensicherheit zwischen DSGVO, ISO 27001 und NIS2 auseinandersetzen.

Steuert Ihr Unternehmen seine IT-Lieferanten wirklich?

Beginnen Sie mit einer kostenlosen Bewertung Ihrer Sicherheitslage auf Basis von NIST CSF 2.0. Wenn Sie strukturierte Unterstützung bei der Erfassung und Steuerung von IT-Lieferanten gemäß DSGVO, ISO 27001 und NIS2 wünschen, kontaktieren Sie uns.

Kostenloses NIST-Assessment Kontaktieren Sie uns

Wenn der IT-Lieferantdas Risiko auf den Kunden abwälzt