NIS2-Compliance für Zulieferer
Ihr Unternehmen fällt nicht direkt unter NIS2 — aber Ihre Kunden schon. Und die werden von Ihnen Nachweise über Cybersicherheit verlangen.
Warum auch kleine Zulieferer von NIS2 betroffen sind
NIS2 (§ 30 BSIG, Maßnahme 4) verpflichtet regulierte Unternehmen ausdrücklich, ihre gesamte Lieferkette abzusichern. Das bedeutet: Alle rund 29.500 betroffenen Unternehmen in Deutschland müssen Cybersicherheitsstandards vertraglich von ihren Zulieferern einfordern.
Wenn Ihr Unternehmen weniger als 50 Mitarbeiter hat oder unter den Umsatzschwellen liegt, sind Sie nicht direkt von NIS2 reguliert. Aber wenn Sie IT-Dienstleistungen, Software, Komponenten, Logistik oder andere Services an ein reguliertes Unternehmen liefern, werden NIS2-Anforderungen über Ihre Verträge auf Sie zukommen.
Das ist keine Theorie. Große Unternehmen aktualisieren bereits ihre Einkaufsbedingungen, fügen Cybersicherheitsklauseln hinzu und fordern Compliance-Nachweise von Zulieferern. Unternehmen, die keine angemessenen Sicherheitsmaßnahmen nachweisen können, riskieren den Verlust von Aufträgen an Wettbewerber.
§ 30 Abs. 2 Nr. 4 BSIG — Sicherheit in der Lieferkette
Regulierte Einrichtungen müssen „Sicherheitsmaßnahmen in der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern“ umsetzen. Diese Pflicht fließt auf jeden Zulieferer in der Kette herunter.
Vertragliche Anforderungen
NIS2-regulierte Unternehmen müssen Cybersicherheitsanforderungen in Lieferantenverträge aufnehmen. Erwarten Sie neue Klauseln zu Risikomanagement, Vorfallmeldung und Zugangskontrolle. Bestehende Verträge werden nachverhandelt.
Lieferanten-Audits und Fragebögen
Ihre Kunden werden Sicherheitsfragebögen senden und möglicherweise Audits durchführen. Unternehmen mit nis2.eu können Compliance-Nachweise sofort generieren — ohne System dauert die Beantwortung Wochen.
Meldepflichten bei Vorfällen
Wenn ein Sicherheitsvorfall bei Ihnen einen NIS2-regulierten Kunden betrifft, muss dieser innerhalb von 24 Stunden an das BSI melden. Dafür braucht er von Ihnen funktionierende Erkennungs- und Meldeprozesse.
Wettbewerbsvorteil
Wenn ein reguliertes Unternehmen zwischen zwei Zulieferern wählt und einer kann NIS2-konforme Sicherheit nachweisen, der andere nicht — ist die Wahl offensichtlich. Compliance wird zum Verkaufsargument.
Anforderungen der Cyberversicherung
Cyberversicherer verlangen zunehmend Nachweise über Lieferkettensicherheit. Die Versicherungspolicen Ihrer Kunden können vorschreiben, dass deren Zulieferer Mindeststandards bei der Cybersicherheit erfüllen.
Risikobewertung
Identifizieren und dokumentieren Sie Risiken für Systeme, die Sie für Kundenarbeit nutzen. Muss nicht komplex sein — eine strukturierte Liste mit Behandlungsplänen genügt.
Zugangskontrolle
Wer hat Zugang zu Kundendaten und -systemen? Rollenbasierte Zugriffe, MFA für Fernzugriff und dokumentierte Benutzerverwaltung.
Vorfallbehandlung
Ein dokumentierter Prozess zur Erkennung, Reaktion und Meldung von Sicherheitsvorfällen. Ihr Kunde muss innerhalb von Stunden informiert werden, nicht Wochen.
Geschäftskontinuität
Was passiert, wenn Ihre Systeme ausfallen? Backup-Strategie, Wiederherstellungsverfahren und getestete Pläne zur weiteren Lieferfähigkeit.
Richtlinien und Nachweise
Schriftliche Sicherheitsrichtlinien, Schulungsnachweise und ein Audit-Trail als Beweis, dass Sie Ihre eigenen Regeln befolgen. Das ist es, was Auditoren tatsächlich prüfen.
Betroffenheit prüfen
Nutzen Sie unsere kostenlose Betroffenheitsprüfung, um Ihren NIS2-Status zu klären. Auch wenn Sie nicht direkt betroffen sind: Identifizieren Sie, welche Ihrer Kunden NIS2-reguliert sind — diese Verträge werden neue Anforderungen enthalten.
Gap-Analyse durchführen
Vergleichen Sie Ihre aktuellen Sicherheitspraktiken mit den 10 Maßnahmen aus § 30 BSIG. Die meisten kleinen Unternehmen tun einiges davon bereits informell — die Lücke ist meist die Dokumentation, nicht die Praxis.
Grundlagen umsetzen
Beginnen Sie mit den wirkungsvollsten Maßnahmen: Zugangskontrolle, Backup-Strategie, Incident-Response-Prozess. Die nis2.eu-Plattform führt Sie mit vorgefertigten Vorlagen durch jede Anforderung.
Nachweispaket aufbauen
Wenn Ihr Kunde einen Sicherheitsfragebogen schickt, brauchen Sie fertige Antworten. Richtlinien, Schulungsnachweise, Risikobewertungen und technische Maßnahmen — alles dokumentiert und exportierbar.
Jährlich überprüfen
NIS2-Compliance ist kein einmaliges Projekt. Planen Sie eine jährliche Überprüfung Ihrer Risiken, aktualisieren Sie Ihre Richtlinien und frischen Sie Mitarbeiterschulungen auf. Die Plattform verfolgt Fristen automatisch.
Häufig gestellte Fragen
Bin ich als kleiner Zulieferer gesetzlich zur NIS2-Compliance verpflichtet?▾
Nicht direkt — NIS2 gilt für Unternehmen oberhalb der Schwelle für mittlere Unternehmen (50+ Mitarbeiter oder 10+ Mio. EUR Umsatz). Allerdings sind Ihre NIS2-regulierten Kunden gesetzlich verpflichtet, ihre Lieferkette abzusichern (§ 30 BSIG). Daraus entsteht eine vertragliche Pflicht, die auf Sie durchschlägt. Sie werden nicht vom BSI bestraft, aber Sie können Aufträge verlieren.
Was passiert, wenn ich nicht compliant bin?▾
Ihren NIS2-regulierten Kunden drohen Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes bei Versäumnissen in der Lieferkettensicherheit. Sie werden entweder Ihre Compliance einfordern oder Sie durch einen Zulieferer ersetzen, der compliant ist. Die praktische Konsequenz ist Geschäftsverlust, kein BSI-Bußgeld.
Was kostet Zulieferer-Compliance?▾
Die nis2.eu-Plattform ist kostenlos. Für ein kleines Unternehmen (10-50 Mitarbeiter) sind die Hauptkosten Zeit — typischerweise 2-4 Wochen Teilzeitarbeit für die Ersteinrichtung von Richtlinien, Risikobewertungen und Prozessen. Die laufende Pflege sind wenige Stunden pro Quartal.
Kann ich NIS2-Compliance als Verkaufsargument nutzen?▾
Auf jeden Fall. Wenn Sie NIS2-konforme Sicherheitspraktiken mit dokumentierten Nachweisen vorweisen können, werden Sie zum bevorzugten Zulieferer. Einige Unternehmen werben bereits mit NIS2-Lieferketten-Compliance als Wettbewerbsvorteil in Ausschreibungen und Angeboten.
Was, wenn mein Kunde noch nicht gefragt hat?▾
Das wird kommen. Die BSI-Registrierungsfrist lief im März 2026 ab und über 18.000 Unternehmen holen noch auf. Sobald sie NIS2 umsetzen, ist Lieferkettensicherheit eine der 10 Pflichtmaßnahmen. Wer sich frühzeitig vorbereitet, positioniert sich als proaktiver, vertrauenswürdiger Partner.
Starten Sie Ihre Lieferketten-Compliance — kostenlos
Die nis2.eu-Plattform führt Sie durch jede Anforderung, erstellt Ihr Nachweispaket und hält Sie audit-bereit. Ohne Kosten, ohne Kreditkarte.