Mit der NIS2 Richtlinie verschiebt sich die Verantwortung für Cybersicherheit spürbar in den industriellen Einkauf. Produktionssysteme sind heute eng vernetzt, externe Dienstleister greifen per Fernwartung zu, Software Updates kommen von Dritten. Damit werden Lieferketten nicht nur logistisch relevant, sondern sicherheitskritisch. Die neuen Vorgaben der Europäische Union machen sichtbar, was in der Praxis längst Realität ist. Wer Lieferanten auswählt, entscheidet mit über die Stabilität von Produktion, Qualität und Lieferfähigkeit.

Industrielle Lieferketten als Einfallstor
Heterogene Sicherheitsniveaus bei Maschinenherstellern, Systemintegratoren und Wartungsdiensten treffen auf hochkritische Produktionsprozesse. Angriffe über kompromittierte Dienstleister oder manipulierte Updates können ganze Linien lahmlegen. NIS2 verlangt deshalb eine risikobasierte Bewertung entlang der gesamten Lieferkette. Für den Einkauf heißt das, Sicherheitsrelevanz wird zum festen Entscheidungskriterium neben Preis, Qualität und Lieferzeit.

Einkauf als Steuerungsinstanz für Resilienz
Der Einkauf bestimmt, wer Zugang zu Systemen erhält, welche Technologien eingesetzt werden und wie Abhängigkeiten gestaltet sind. NIS2 macht diese Entscheidungen regulatorisch relevant. Künftig braucht es Transparenz darüber, welche Partner produktionskritisch sind, welche Services tief in Steuerungsprozesse eingreifen und wo Abhängigkeiten im Störfall gefährlich werden. Zertifikate allein reichen nicht mehr, gefragt ist eine differenzierte, risikobasierte Betrachtung.

Verträge als Schutzmechanismus
Sicherheitsanforderungen müssen vertraglich verbindlich geregelt sein. Dazu gehören Zugriffsrechte, Meldepflichten bei Vorfällen und abgestimmte Abläufe im Krisenfall. Verantwortung lässt sich nicht auslagern. Der Einkauf sorgt dafür, dass Sicherheitsstandards nicht nur empfohlen, sondern wirksam vereinbart werden, ohne den Betrieb durch Bürokratie zu bremsen.

Operative Realität und Zielkonflikte
Langfristige Lieferantenbeziehungen, gewachsene Systemzugänge und automatisierte Updates erschweren die Neubewertung von Risiken. Gleichzeitig ist der Produktionsdruck hoch und Sicherheitsanforderungen wirken im Alltag oft hinderlich. NIS2 dreht diese Perspektive. Sicherheit wird zur Voraussetzung wirtschaftlicher Stabilität. Der Einkauf balanciert Effizienz und Resilienz und macht Risiken früh sichtbar.

Wie ein 1-Kreditor-Modell hilft, NIS2 pragmatisch umzusetzen
Hier setzt das 1-Kreditor-Modell von Pedlar an. Gerade im Long-Tail und bei unstrukturierten Bedarfen entstehen viele externe Zugriffe, Sonderprozesse und neue Lieferantenbeziehungen. Ein zentraler Abwicklungsweg mit einem Kreditor reduziert die operative Komplexität, schafft Transparenz über Zugriffe und Leistungen und erleichtert die risikobasierte Bewertung externer Partner. So bleibt die Steuerung im Einkauf, während Prozesse standardisiert und auditfähig werden. Das entlastet Teams und unterstützt die NIS2 Anforderungen ohne zusätzlichen Tool Overhead.

Zusammenarbeit über Abteilungsgrenzen hinweg

NIS2 verlangt integrierte Entscheidungen von Einkauf, IT, Produktion und Instandhaltung. Der Einkauf muss keine IT Expertenrolle übernehmen, aber die richtigen Fragen stellen und Risiken in Entscheidungen übersetzen. So werden Lieferketten zum strategischen Wettbewerbsfaktor und Beschaffung zur Säule industrieller Resilienz.

Den Originalartikel lesen Sie hier.

‍