Herr Dr. Dornheim, die NIS-2-Richtlinie verpflichtet Unternehmen dazu, Cybersicherheitsrisiken in der Lieferkette systematisch zu identifizieren, zu bewerten und zu steuern. Wo sehen Sie die größten Herausforderungen beim Aufbau eines effektiven Third Party Risk Managements (TPRM)? Es ist sehr gut und wichtig, dass TPRM Teil von NIS-2 ist und es ergibt für jedes Unternehmen Sinn, sich damit zu beschäftigen. Nicht nur als weitere regulatorische Pflicht, sondern als Chance, die eigene Sicherheit grundlegend und nachhaltig zu verbessern. Komplexe Lieferketten und unterschiedliche Produktionsstandorte sind heute selbstverständlich für viele Unternehmen. Und je mehr Zulieferer dazukommen, umso unterschiedlicher sind die IT-Sicherheitsniveaus. In diesen Netzwerken ist es entscheidend, Schwachstellen frühzeitig zu erkennen und gemeinsam zu beheben. Zudem ist TPRM nicht nur im Kontext von NIS-2 relevant: Auch der Cyber Resilience Act fordert sichere Lieferketten.

Das würde bedeuten, bei jedem Lieferanten ein Audit durchzuführen? Es braucht einen risikobasierten Ansatz, der sich auf relevante Partner fokussiert. Eine enge Abstimmung mit dem Einkauf ist dabei zentral. Einkaufsbereiche machen bereits seit Jahren professionelle Supplier-Evaluierungen, wobei hier in der Vergangenheit oftmals der Fokus ausschließlich auf einkaufsrelevanten Aspekten wie Qualität, Lieferfähigkeit oder Preis lag.

Aus Cybersicht sind hingegen andere Aspekte kritisch: etwa ob ein Lieferant wesentliche IT-Sicherheitsmaßnahmen wie Access Management oder Patch-Management umsetzt. Deshalb ist eine bereichsübergreifende Zusammenarbeit innerhalb des Unternehmens essenziell. Nur wenn alle Beteiligten verstehen, dass Risiken neben einkaufsrelevanten auch securityrelevante Aspekte haben, kann TPRM effektiv sein. Wichtig ist die kontinuierliche und idealerweise automatisierte Überprüfung der Securitystandards. Das schafft Transparenz und Sicherheit – auch für die Zulieferer.

Je mehr Zulieferer dazukommen, umso unterschiedlicher sind die IT-Sicherheitsniveaus.

Diese Empfehlungen kann eigentlich jedes Unternehmen anwenden, das sich auf die NIS2-Compliance vorbereitet? Absolut. Skalierung und risikobasiertes Management der Lieferanten, kontinuierliches Monitoring und Auditing, gepaart mit umfassender Sensibilisierung aller Mitarbeitenden, sind entscheidend für eine wirksame, gelebte Cybersicherheitskultur. Ob ich Trucks verkaufe oder ein anderes Produkt – jeder sollte verstehen, dass NIS-2 kein reines IT-Projekt ist und warum Cybersecurity wichtig ist. Sicherheitsanforderungen müssen im Alltag gelebt werden – mit dem Ziel, Cybersecurity fest in Unternehmenskultur und täglichem Handeln zu verankern. Diese Relevanz zu verstehen und die bereichsübergreifende Zusammenarbeit zu fördern, liegt in der Verantwortung der Geschäftsführung und des CISOs. Zu einer guten CISO-Organisation gehören im Wesentlichen drei Komponenten: die Verantwortung für Cybersecurity in der IT, in der OT und im Produkt. In jeder dieser Säulen gibt es wiederum drei Ebenen: Die technologische, also die richtige und aktuelle Security-Architektur aufzubauen, die prozessuale – wie bekomme ich Sicherheit in alle operativen Prozesse – und die menschliche: wie helfe ich den Mitarbeitenden, das Thema Cybersecurity wirklich zu verstehen.

Wie wird dies bei Daimler Truck umgesetzt? Bei uns geht Cybersecurity durch alle Abteilungen. Durch Vernetzung und Interoperabilität der Systeme wachsen die IT-, OT- und Produkt Security zunehmend zusammen. Während die IT-Security traditionell primär den Corporate-Bereich abdeckte, wie die Absicherung von Endgeräten und IT-Infrastruktur, umfasst unsere Cybersecurity heute auch die Operational Technology im Produktionsumfeld sowie die Produktsicherheit unserer Trucks und Busse, die ebenso IT-gestützte Komponenten enthalten. Damit brechen wir bewusst die klassischen Grenzen auf: IT-Security darf niemals eine Silolösung sein. Wir wollen als IT-Security-Team jeden Fachbereich aktiv unterstützen und folgen einem klaren Businessfokus: effiziente und gleichzeitig sichere Arbeitsumgebungen zu schaffen. Damit dies gelingt, benötigen wir die enge Zusammenarbeit und insbesondere den Support von IT- und Fachbereichen. Denn die technologische Weiterentwicklung erfolgt nicht mehr linear, sondern exponentiell. Gerade deshalb sind Sensibilisierung und Kollaboration extrem wichtig, um schnell und fokussiert handeln zu können.

Sensibilisierung und Kollaboration sind extrem wichtig.

Factbox

Als Group CISO der Daimler Truck AG gestaltet Dr. Peter Dornheim seit Juni 2025 gemeinsam mit einem cross-funktionalen Team die globale Cybersecurity-Strategie eines der größten Nutzfahrzeughersteller. In seiner Freizeit sucht er die Nähe zur Natur z. B. beim Wandern oder auf dem Gravelbike.