NIS2: Neue Anforderungen an Lieferketten in Deutschland

Aktualisierung vom 21.11.2025: NIS2 gilt in Deutschland ab dem Tag der Veröffentlichung des Umsetzungsgesetzes im Bundesgesetzblatt, was derzeit für Ende 2025 oder Anfang 2026 erwartet wird. Dann werden die Pflichten für Unternehmen rechtlich verbindlich.

‍

Stellen Sie sich vor, Ihr Unternehmen ist eine Festung. Sie haben die Mauern verstärkt, die Tore gesichert und wachen sorgfältig über jeden Zugang. Doch eines Tages bricht ein Feuer aus – nicht weil jemand Ihr Tor durchbrochen hat, sondern weil ein externer Lieferant, der Baumaterial für den Turm lieferte, unwissentlich einen Brandbeschleuniger mitgebracht hat.

‍

Genau dieses Szenario beschreibt die neue Realität der Cybersicherheit unter der NIS2-Richtlinie. Ihre digitale Sicherheit endet nicht mehr an der eigenen Firmentür. Sie erstreckt sich auf Ihr gesamtes Ökosystem: auf jeden Cloud-Anbieter, jeden Software-Entwickler und jeden externen Dienstleister, der Zugriff auf Ihre Systeme oder Daten hat. Für die Geschäftsführung bedeutet das eine erweiterte Verantwortung – und ein persönliches Haftungsrisiko, das man nicht ignorieren kann.

‍

Dieser Leitfaden ist Ihr vertrauenswürdiger erster Ansprechpartner. Wir übersetzen das komplexe Juristendeutsch in verständliche, umsetzbare Schritte und zeigen Ihnen, wie Sie Ihre Lieferkette nicht nur absichern, sondern sie zu einem echten Wettbewerbsvorteil machen.

‍

Die Grundlagen einfach erklärt: Was bedeutet „Sicherheit der Lieferkette“ wirklich?

‍

Bisher lag der Fokus der Cybersicherheit primär auf den eigenen Systemen. NIS2 ändert das grundlegend. Die Richtlinie erkennt an, dass viele Sicherheitsvorfälle ihren Ursprung bei externen Partnern haben. Deshalb wird die Verantwortung erweitert: Betroffene Unternehmen sind nun verpflichtet, die Cybersicherheit ihrer direkten Zulieferer und Dienstleister aktiv zu managen.

‍

Doch wer ist überhaupt ein „Zulieferer“ im Sinne von NIS2? Die Definition ist bewusst weit gefasst und umfasst weit mehr als nur klassische IT-Anbieter:

‍

• Software-Anbieter und Entwickler: Von der Buchhaltungssoftware bis zum spezialisierten CRM-Tool.
  ‍
• Cloud- und Hosting-Anbieter: Jeder Dienst, der Ihre Daten speichert oder verarbeitet (z. B. AWS, Microsoft Azure, lokale Hoster).
  ‍
• Managed Service Provider (MSPs): Externe IT-Dienstleister, die Ihr Netzwerk oder Ihre Systeme verwalten.
  ‍
• Dienstleister mit physischem oder digitalem Zugang: Das kann die Reinigungsfirma mit einem Schlüsselchip für das Servergebäude oder der externe Berater mit VPN-Zugang sein.

‍

Der Schlüssel zur Umsetzung der NIS2 ist der risikobasierte Ansatz. Sie müssen nicht jeden Lieferanten mit den gleichen strengen Maßnahmen überziehen. Vielmehr geht es darum, das Risiko individuell zu bewerten und die Sicherheitsanforderungen entsprechend anzupassen. Denken Sie an den Unterschied zwischen dem Lieferanten für Büromaterial und dem Anbieter Ihrer zentralen Cloud-Plattform. Beide sind Teil Ihrer Lieferkette, aber das von ihnen ausgehende Risiko ist fundamental verschieden.

‍

‍

Die Kernanforderungen in der Praxis: Ihr Fahrplan zur NIS2-konformen Lieferkette

‍

Die Theorie ist das eine, die Praxis das andere. Wie setzt man diese Anforderungen nun konkret um? Der folgende Prozess hilft Ihnen dabei, Ihre Lieferanten systematisch zu bewerten und die Sicherheit Ihrer Lieferkette zu gewährleisten.

‍

‍

Schritt 1: Risikoanalyse – Wer sind Ihre kritischen Partner?

‍

Der erste und wichtigste Schritt ist die Bestandsaufnahme. Erstellen Sie eine vollständige Liste all Ihrer externen Dienstleister und Zulieferer. Bewerten Sie anschließend jeden Partner anhand seines potenziellen Risikos für Ihr Unternehmen. Stellen Sie sich folgende Fragen:

‍

• Welche Daten verarbeitet dieser Dienstleister? (z. B. Kundendaten, Finanzdaten, Betriebsgeheimnisse)
• Welchen Zugriff hat der Dienstleister auf unsere Systeme? (z. B. Admin-Rechte, Netzwerkzugang)
• Wie kritisch ist dieser Dienstleister für unseren Geschäftsbetrieb? (Was passiert, wenn dieser Dienstleister ausfällt?)

‍

Eine gründliche NIS2 Risikobewertung hilft Ihnen, Ihre Ressourcen auf die Partner zu konzentrieren, die das größte Risiko darstellen.

‍

Schritt 2: Vertragliche Absicherung – Mehr als nur eine Unterschrift

‍

Ihre Verträge sind Ihr wichtigstes Werkzeug. Sie müssen sicherstellen, dass Ihre Cybersicherheitsanforderungen klar und verbindlich festgehalten sind. Zukünftige und bestehende Verträge mit kritischen Lieferanten sollten mindestens folgende Punkte enthalten:

‍

• Konkrete Sicherheitsmaßnahmen: Verpflichten Sie den Lieferanten zur Einhaltung bestimmter Standards (z. B. ISO 27001) oder spezifischer technischer und organisatorischer Maßnahmen (TOMs).
  ‍
• Meldepflichten bei Vorfällen: Definieren Sie klare Fristen und Prozesse, wie und wann der Lieferant Sie über Sicherheitsvorfälle informieren muss.
  ‍
• Audit- und Kontrollrechte: Sichern Sie sich das Recht, die Einhaltung der Sicherheitsmaßnahmen zu überprüfen, sei es durch Fragebögen, Zertifikate oder Vor-Ort-Audits.

‍

Schritt 3: Überwachung und Audits – Vertrauen ist gut, Kontrolle ist besser

‍

Ein Vertrag allein reicht nicht aus. Sie müssen die Einhaltung der Vereinbarungen auch aktiv überprüfen. Dies kann auf verschiedene Weisen geschehen:

‍

• Self-Assessments: Senden Sie Ihren Lieferanten standardisierte Fragebögen zu deren Sicherheitsmaßnahmen.
  ‍
• Zertifikate anfordern: Lassen Sie sich anerkannte Zertifizierungen wie ISO 27001 oder TISAX vorlegen.
  ‍
• Lieferantenaudits: Führen Sie bei besonders kritischen Partnern eigene Prüfungen durch. Ein strukturierter Ansatz, ähnlich wie beim Lieferantenaudit nach ISO 9001, kann hier als Vorbild dienen.

‍

Schritt 4: Incident Management – Was tun, wenn es beim Lieferanten brennt?

‍

Selbst die beste Vorbereitung kann einen Sicherheitsvorfall nicht zu 100 % ausschließen. Entscheidend ist, wie Sie reagieren. Entwickeln Sie gemeinsam mit Ihren kritischen Partnern einen Plan für den Ernstfall. Klären Sie, wer wen wann und wie informiert und welche Sofortmaßnahmen ergriffen werden. Dies ist entscheidend, um die eigenen NIS2 Meldepflichten fristgerecht zu erfüllen.

‍

Die Zwei-Seiten-Perspektive: NIS2 als Chance für Zulieferer

‍

Für Zulieferer und Dienstleister klingen diese neuen Anforderungen zunächst nach zusätzlichem Aufwand. Doch hier verbirgt sich eine gewaltige Chance. Unternehmen, die proaktiv ihre NIS2-Konformität nachweisen können, schaffen sich einen entscheidenden Wettbewerbsvorteil.

‍

Wenn Sie als Dienstleister belegen können, dass Ihre Cybersicherheit auf höchstem Niveau ist und Sie die Anforderungen Ihrer Kunden verstehen, werden Sie zum bevorzugten Partner. NIS2-Compliance wird so von einer lästigen Pflicht zu einem wertvollen Qualitätsmerkmal und Verkaufsargument.

‍

Ihr konkreter Umsetzungsfahrplan

‍

Die Absicherung Ihrer Lieferkette ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Mit den folgenden fünf Schritten legen Sie ein solides Fundament:

‍

1. Bestandsaufnahme: Identifizieren Sie alle externen Lieferanten und Dienstleister und erfassen Sie, welche Dienstleistungen diese erbringen.
   ‍
2. Risikobewertung: Kategorisieren Sie Ihre Lieferanten nach Kritikalität und dem potenziellen Schaden, der von ihnen ausgehen könnte.
   ‍
3. Vertragsprüfung: Analysieren und ergänzen Sie Ihre Verträge mit kritischen Partnern um klare Cybersicherheitsklauseln.
   ‍
4. Implementierung der Überwachung: Etablieren Sie einen Prozess zur regelmäßigen Überprüfung Ihrer wichtigsten Lieferanten (z. B. jährliche Fragebögen, Zertifikatsprüfung).
   ‍
5. Dokumentation: Halten Sie alle Schritte, Bewertungen und Entscheidungen schriftlich fest. Dies ist Ihr wichtigster Nachweis gegenüber den Behörden.

‍

Zusammenfassung: Die Kernpflichten auf einen Blick

‍

‍

Der nächste Schritt auf Ihrem Weg zur Compliance

‍

Die Sicherheit Ihrer Lieferkette ist zu einem zentralen Baustein Ihrer gesamten Unternehmenssicherheit geworden. Es ist ein komplexes, aber beherrschbares Thema. Indem Sie es proaktiv angehen, schützen Sie nicht nur Ihr Unternehmen vor Angriffen, sondern erfüllen auch gesetzliche Pflichten und stärken das Vertrauen Ihrer Kunden.

‍

Dieser Leitfaden hat Ihnen den Einstieg erleichtert. Um Ihr Wissen zu vertiefen, ist es sinnvoll, sich nun mit den allgemeinen NIS2 Anforderungen vertraut zu machen und zu verstehen, wie eine Automatisierung von EU-Compliance-Anforderungen Ihnen helfen kann, diesen Prozess effizient und nachhaltig zu gestalten.

‍

Häufige Fragen (FAQ) zur NIS2-Lieferkettensicherheit

‍

Bin ich oder mein Dienstleister von NIS2 betroffen?

‍

NIS2 betrifft Unternehmen ab einer bestimmten Größe (in der Regel ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz) in vielen Sektoren, die als „wesentlich“ oder „wichtig“ eingestuft werden. Dazu gehören Energie, Verkehr, Gesundheit, digitale Infrastruktur, aber auch produzierendes Gewerbe und Lebensmittelindustrie. Wenn Ihr Unternehmen unter NIS2 fällt, sind Sie für Ihre Lieferkette verantwortlich. Fällt Ihr Kunde unter NIS2, werden Sie als NIS2 Lieferant automatisch Teil seiner Compliance-Pflichten.

‍

Was ist der Unterschied zwischen NIS2 und dem Lieferkettensorgfaltspflichtengesetz (LkSG)?

‍

Das ist eine wichtige Unterscheidung. Das LkSG konzentriert sich auf die Einhaltung von Menschenrechten und Umweltstandards in der globalen Lieferkette. NIS2 hingegen fokussiert sich ausschließlich auf die Cybersicherheit und die Resilienz der digitalen Lieferkette. Beide Gesetze können parallel für ein Unternehmen gelten, adressieren aber unterschiedliche Risikobereiche.

‍

Welche persönlichen Haftungsrisiken gibt es für die Geschäftsführung?

‍

NIS2 nimmt die Leitungsebene explizit in die Pflicht. Geschäftsführer sind persönlich dafür verantwortlich, die Cybersicherheitsmaßnahmen zu billigen und ihre Umsetzung zu überwachen. Bei grober Fahrlässigkeit oder Verstößen können Bußgelder und im schlimmsten Fall sogar eine persönliche Haftung drohen. Eine saubere Dokumentation der Prozesse zur Lieferkettensicherheit ist daher für jedes NIS2 KMU unerlässlich, um Sorgfalt nachweisen zu können.

‍

Wie unterscheidet sich NIS2 vom Cyber Resilience Act (CRA)?

‍

Während NIS2 die Cybersicherheit von Unternehmen und deren Dienstleistungen regelt, zielt der CRA auf die Produktsicherheit ab. Er legt Sicherheitsanforderungen für Hersteller von Hard- und Software fest (z. B. "Security by Design"). Es gibt eine klare Abgrenzung zwischen NIS2 vs Cyber Resilience Act: NIS2 regelt den sicheren Betrieb von IT, der CRA die sichere Beschaffenheit von IT-Produkten.

‍