NIS2 in der Lieferkette — Pflichten für Zulieferer, Koreva eG

NIS2 in der Lieferkette: Was Zulieferer jetzt tun müssen

NIS2 ist seit Dezember 2025 in Kraft. Auch wer selbst zu klein für die direkte Pflicht ist, bekommt die Anforderungen über die Verträge seiner Großkunden weitergereicht. Was jetzt konkret zu tun ist.

Inhaltsverzeichnis

NIS2 ist in Kraft — der Lieferketten-Effekt

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft. Es setzt die europäische NIS2-Richtlinie in deutsches Recht um und verpflichtet eine große Zahl mittlerer und großer Unternehmen aus regulierten Sektoren zu einem definierten Mindestniveau an Cybersicherheit.

In der öffentlichen Diskussion drehte sich fast alles um eine Frage: "Bin ich direkt betroffen?" Für viele kleine Betriebe war die Antwort ein erleichtertes "Nein" — sie liegen unter den Schwellenwerten und fallen nicht unmittelbar unter das Gesetz. Doch genau hier entsteht ein Trugschluss. Denn NIS2 wirkt nicht nur auf die direkt regulierten Unternehmen. Es wirkt über deren Lieferkette.

Ein NIS2-pflichtiges Unternehmen muss nach Artikel 21 auch die Risiken absichern, die aus seinen Zulieferern und Dienstleistern entstehen. Es kann diese Pflicht nicht an der eigenen Firmengrenze enden lassen. Also gibt es sie weiter — vertraglich, an jeden Lieferanten, jeden IT-Dienstleister, jeden Fertigungspartner. Der Effekt: Ein Metallbaubetrieb mit zwölf Mitarbeitern, ein Softwarehaus mit acht Leuten, ein Logistikdienstleister mit fünfzehn Fahrzeugen — alle können plötzlich Post von ihrem Großkunden bekommen, in der Sicherheitsnachweise verlangt werden. Nicht, weil sie selbst reguliert sind. Sondern weil ihr Kunde es ist.

In der Praxis erlebe ich das seit Anfang 2026 regelmäßig: Kleine Unternehmen melden sich nicht, weil sie das Gesetz gelesen haben, sondern weil ein Einkaufsleiter ihres größten Kunden ihnen einen mehrseitigen Sicherheitsfragebogen geschickt hat — mit der Bitte, ihn binnen zwei Wochen auszufüllen. Wer das nicht kann, riskiert im schlimmsten Fall den Auftrag. Dieser Artikel richtet sich genau an diese Situation.

Hinweis: Dieser Beitrag gibt eine allgemeine, praxisorientierte Orientierung. Er ersetzt im Einzelfall keine juristische Prüfung Ihrer konkreten Verträge und ist keine Rechtsberatung.

Warum auch kleine Zulieferer betroffen sind (Art. 21 Lieferkettensicherheit)

Der Kern liegt in Artikel 21 der NIS2-Vorgaben. Er verlangt von direkt betroffenen Unternehmen ein Bündel technischer und organisatorischer Maßnahmen — und ausdrücklich auch die "Sicherheit der Lieferkette". Ein reguliertes Unternehmen muss also bewerten, welche Risiken ihm aus seinen Lieferanten- und Dienstleisterbeziehungen entstehen, und es muss diese Risiken steuern.

Steuern kann es sie im Wesentlichen auf einem Weg: über den Vertrag. Ein Großkunde kann Ihnen keine Behördenpflicht auferlegen — er ist keine Aufsichtsbehörde. Aber er kann festlegen, unter welchen Bedingungen er mit Ihnen zusammenarbeitet. Und wenn seine eigene Compliance verlangt, dass seine Zulieferer ein Mindestmaß an Sicherheit einhalten, dann wird genau das Teil Ihrer Geschäftsbeziehung.

Für Sie als kleinen Zulieferer heißt das: Ihre rechtliche Betroffenheit durch NIS2 mag Null sein. Ihre faktische Betroffenheit über den Vertrag ist es nicht. Und anders als eine Gesetzespflicht, die man notfalls aussitzen kann, hat die vertragliche Anforderung einen sehr direkten Hebel — den Auftrag. Kein Nachweis, kein Vertrag; so einfach kann die Logik auf der Kundenseite sein.

Wichtig zur Einordnung: Ob Ihr eigenes Unternehmen selbst direkt unter NIS2 fällt, ist eine separate Frage. Wenn Sie das klären wollen, hilft unser Überblick zu NIS2 für KMU weiter. Für die hier beschriebene Situation — "mein Kunde verlangt etwas von mir" — ist Ihre eigene direkte Betroffenheit dagegen zweitrangig. Entscheidend ist, was im Vertrag steht.

Was Kunden konkret verlangen (Fragebögen, Nachweise, Mindestmaßnahmen)

Die Anforderungen, die bei kleinen Zulieferern ankommen, folgen einem erkennbaren Muster. Sie sind selten so tiefgreifend wie eine ISO-27001-Zertifizierung, aber konkret genug, dass man sie nicht mit einer freundlichen E-Mail beantworten kann. Typischerweise begegnen Ihnen drei Formate:

1. Der Sicherheitsfragebogen. Das häufigste Instrument. Ein strukturiertes Dokument mit Fragen zu Ihren technischen und organisatorischen Maßnahmen: Wie verwalten Sie Zugänge? Setzen Sie Mehr-Faktor-Authentifizierung ein? Wie sichern Sie Daten? Was passiert bei einem Sicherheitsvorfall? Haben Sie einen Ansprechpartner für IT-Sicherheit? Die Fragebögen reichen von einer halben Seite bis zu mehreren Dutzend Fragen. Verlangt wird eine wahrheitsgemäße, unterschriebene Selbstauskunft.

2. Vertragliche Zusicherungen. Ergänzend oder stattdessen finden sich Klauseln direkt im Liefer- oder Rahmenvertrag: Verpflichtung zu bestimmten Mindestmaßnahmen, Meldepflichten bei Sicherheitsvorfällen, die Ihre gemeinsame Datenverarbeitung betreffen, gelegentlich ein Auditrecht des Kunden. Diese Klauseln sollten Sie ernst nehmen — sie sind rechtlich bindend, und was Sie zusichern, müssen Sie auch halten können. Genau deshalb ist eine Prüfung durch jemanden mit juristischem Blick sinnvoll; dieser Beitrag ersetzt sie nicht.

3. Nachweise über Standards. Bei größeren oder besonders sicherheitskritischen Lieferbeziehungen kann ein förmlicher Nachweis verlangt werden — etwa ein Bericht aus einem anerkannten Prüfschema. Für kleine Zulieferer ist das eher die Ausnahme. Häufiger und pragmatischer ist der Verweis auf einen standardisierten Basis-Check, der zeigt, dass Sie Ihre Sicherheit strukturiert bewertet haben.

Was praktisch immer den Kern bildet, sind eine Handvoll konkreter technischer und organisatorischer Basismaßnahmen. Diese lohnen einen genaueren Blick, weil Sie sie ohnehin brauchen — unabhängig davon, welches Format Ihr Kunde wählt.

Die Basismaßnahmen, die fast immer gefordert werden

Über nahezu alle Fragebögen und Klauseln hinweg wiederholen sich dieselben vier Grundpfeiler. Wer sie sauber umgesetzt und dokumentiert hat, beantwortet einen typischen Kundenfragebogen zu großen Teilen aus dem Stand.

Mehr-Faktor-Authentifizierung (MFA)

Die mit Abstand häufigste Einzelanforderung. Kunden wollen wissen, ob der Zugang zu Ihren Systemen — insbesondere E-Mail und Cloud-Dienste — durch einen zweiten Faktor geschützt ist, sodass ein gestohlenes Passwort allein nicht ausreicht. Die gute Nachricht: In Microsoft 365, Google Workspace und den meisten gängigen Diensten ist MFA bereits enthalten und muss nur aktiviert und erzwungen werden. Wie Sie das für Ihr Unternehmen umsetzen, beschreibt unser Leitfaden zu MFA im Unternehmen. In der Regel ist das die Maßnahme mit dem besten Verhältnis von Aufwand zu Schutzwirkung.

Backup nach der 3-2-1-Regel

Fast ebenso verbreitet ist die Frage nach Ihrer Datensicherung — nicht nur, ob Sie überhaupt sichern, sondern ob die Sicherung einen echten Ransomware- und Ausfallschutz bietet. Der anerkannte Maßstab dafür ist die 3-2-1-Backup-Regel: drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon eine Kopie außer Haus beziehungsweise offline. Kunden fragen zunehmend nicht nur nach dem Backup an sich, sondern auch danach, ob Sie die Wiederherstellung schon einmal getestet haben.

Ein Prozess für Sicherheitsvorfälle (Incident Response)

NIS2-pflichtige Unternehmen unterliegen selbst engen Meldefristen bei Sicherheitsvorfällen. Deshalb wollen sie wissen, ob Sie im Ernstfall reagieren können — und ob Sie sie informieren würden, falls ein Vorfall bei Ihnen ihre Daten betrifft. Verlangt wird selten ein aufwendiges Konzept, sondern ein nachvollziehbarer, schriftlich festgehaltener Ablauf: Wer wird informiert? Wer entscheidet? Wie werden betroffene Kunden benachrichtigt? Für ein kleines Unternehmen genügt oft eine einseitige Handlungsanweisung, die im Ernstfall greift.

Regelmäßige Mitarbeiterschulung

Der Mensch bleibt das häufigste Einfallstor. Deshalb fragen viele Kunden, ob Ihre Mitarbeiter regelmäßig für Themen wie Phishing und den Umgang mit verdächtigen E-Mails sensibilisiert werden. Ein jährlicher, dokumentierter Schulungstermin — gern ergänzt um gelegentliche Phishing-Simulationen — reicht in den meisten Fällen als Nachweis aus.

Diese vier Basismaßnahmen decken den Großteil dessen ab, was in Fragebögen abgefragt wird. Sie sind kein Zufallsprodukt: Sie entsprechen weitgehend dem, was auch der standardisierte CyberRisikoCheck nach DIN SPEC 27076 für kleine Unternehmen als Mindestniveau vorsieht. Genau darauf baut der nächste Abschnitt auf.

In 5 Schritten "lieferkettenfähig" werden

Wenn ein Großkunde erstmals Nachweise verlangt, ist der Reflex oft Hektik. Das ist selten nötig. Mit einem geordneten Vorgehen lässt sich die Anforderung in überschaubarer Zeit erfüllen — und das Ergebnis nützt Ihnen auch beim nächsten Kunden wieder.

Schritt 1 — Standort bestimmen. Bevor Sie einzelne Maßnahmen umsetzen, verschaffen Sie sich einen strukturierten Überblick, wo Sie stehen. Der ideale Einstieg dafür ist der kostenlose CyberRisikoCheck nach DIN SPEC 27076, den das Institut für Cybersicherheit Deutschland (IFCSD) anbietet. In einem strukturierten Interview werden 27 Anforderungen in sechs Themenbereichen abgefragt; am Ende steht ein priorisierter Maßnahmenbericht. Für einen Zulieferer, der plötzlich mit NIS2-Anforderungen konfrontiert ist, ist das die effizienteste erste Handlung — Sie wissen danach genau, welche Lücken zu schließen sind und in welcher Reihenfolge.

Schritt 2 — Basismaßnahmen umsetzen. Arbeiten Sie die vier Grundpfeiler ab: MFA erzwingen, Backup auf die 3-2-1-Regel bringen und einen Wiederherstellungstest durchführen, einen einseitigen Incident-Prozess schreiben, einen Schulungstermin ansetzen. Viele dieser Punkte kosten bei kleinen Betrieben wenig oder nichts an Lizenzen, weil sie in vorhandenen Systemen bereits stecken — der Aufwand liegt in Einrichtung und Dokumentation.

Schritt 3 — dokumentieren. Was nicht dokumentiert ist, existiert für einen Kundenfragebogen nicht. Halten Sie kurz und nüchtern fest, welche Maßnahmen Sie umgesetzt haben: eine knappe Sicherheitsrichtlinie, die Backup-Konfiguration, die Incident-Handlungsanweisung, das Datum der letzten Schulung. Diese Unterlagen sind Ihr wiederverwendbares Nachweispaket.

Schritt 4 — den Fragebogen beantworten. Jetzt füllen Sie den Kundenfragebogen aus — wahrheitsgemäß. Wo eine Anforderung noch offen ist, ist ein ehrliches "in Umsetzung bis Datum X" fast immer besser als eine geschönte Angabe, die Sie im Ernstfall nicht halten können. Vertragliche Zusicherungen sollten Sie vor der Unterschrift juristisch prüfen lassen; das ist der Punkt, an dem dieser Beitrag ausdrücklich keine Rechtsberatung ersetzt.

Schritt 5 — Stand halten. Lieferkettensicherheit ist kein einmaliges Projekt. MFA muss aktiviert bleiben, Backups müssen laufen und getestet werden, Schulungen wiederholt, der Incident-Prozess aktuell gehalten werden. Wer den Zustand einmal erreicht hat, muss ihn nur pflegen — und ist beim nächsten Kundenaudit oder beim nächsten Fragebogen im Vorteil. Wenn Sie diesen Aufbau nicht allein stemmen wollen, unterstützt Sie unsere IT-Sicherheitsberatung von der Standortbestimmung bis zum fertigen Nachweispaket.

Steffen Huntscha

IT-Berater & Gründungsmitglied · Koreva eG

Cisco-zertifizierter Netzwerk- & Security-Spezialist (CCNA/CCNP, seit 2010), BSI-zertifizierter Security-Risk-Check-Berater. Arbeitet seit Jahren produktiv mit KI — auch lokal auf eigener GPU-Infrastruktur.

Häufige Fragen

Möglicherweise indirekt — auch wenn Sie die Schwellenwerte für eine direkte NIS2-Pflicht (in der Regel ab 50 Beschäftigten oder 10 Mio. Euro Jahresumsatz und Zugehörigkeit zu einem regulierten Sektor) nicht erreichen. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten. Artikel 21 verpflichtet direkt betroffene Unternehmen, die Sicherheit ihrer Lieferkette zu berücksichtigen. In der Praxis geben diese Unternehmen die Anforderungen vertraglich an ihre Zulieferer weiter.

Wenn ein Großkunde also NIS2-fällig ist, kann er von Ihnen Sicherheitsnachweise verlangen — unabhängig von Ihrer eigenen Größe. Dieser Beitrag ist eine allgemeine Orientierung und keine Rechtsberatung.

Ein NIS2-pflichtiger Kunde darf Ihnen als Teil seiner eigenen Compliance angemessene Sicherheitsanforderungen vertraglich auferlegen. Üblich sind: das Ausfüllen eines Sicherheitsfragebogens, die schriftliche Zusicherung bestimmter Mindestmaßnahmen (Mehr-Faktor-Authentifizierung, Backups, ein definierter Prozess für Sicherheitsvorfälle), Melde- und Informationspflichten bei Vorfällen, die Ihre gemeinsame Datenverarbeitung betreffen, sowie in manchen Fällen ein Auditrecht oder der Nachweis über anerkannte Standards.

Was konkret verlangt werden darf, hängt vom Vertrag und der Risikolage ab — die genaue Prüfung ist eine juristische Frage und keine Rechtsberatung.

In der Praxis reichen die Nachweise von einfach bis formell. Am häufigsten ist der ausgefüllte und unterschriebene Sicherheitsfragebogen des Kunden. Darüber hinaus verlangen manche Kunden eine dokumentierte Sicherheitsrichtlinie, den Nachweis grundlegender technischer Maßnahmen (MFA, Backup nach der 3-2-1-Regel, Patch-Management), einen Incident-Response-Prozess sowie einen Nachweis über Mitarbeiterschulungen.

Für kleine Unternehmen ist der kostenlose CyberRisikoCheck nach DIN SPEC 27076 ein guter, standardisierter Einstiegsnachweis — er zeigt strukturiert, wo Sie stehen. Zertifizierungen wie ISO 27001 sind selten Pflicht für kleine Zulieferer.

Das lässt sich nicht pauschal beziffern, weil es vom Ausgangszustand abhängt. Viele der geforderten Basismaßnahmen — Mehr-Faktor-Authentifizierung, saubere Backups nach der 3-2-1-Regel, ein schriftlicher Notfallprozess, Mitarbeiterschulung — verursachen bei kleinen Unternehmen überschaubare oder gar keine Lizenzkosten, weil sie in vorhandenen Systemen (Microsoft 365, Google Workspace, gängige Backup-Lösungen) bereits enthalten sind.

Der wesentliche Aufwand liegt in Konzeption, Einrichtung und Dokumentation. Ein realistischer Einstieg ist der kostenlose CyberRisikoCheck: Er priorisiert die Maßnahmen, sodass Sie zuerst das umsetzen, was der Kunde tatsächlich verlangt.

Ja. Das Institut für Cybersicherheit Deutschland (IFCSD) bietet einen kostenlosen CyberRisikoCheck nach DIN SPEC 27076 an. Dieser Check ist speziell für kleine und mittlere Unternehmen entwickelt: In einem strukturierten Interview werden 27 Anforderungen in sechs Themenbereichen abgefragt, am Ende steht ein priorisierter Maßnahmenbericht.

Für Zulieferer, die von einem Großkunden erstmals mit NIS2-Anforderungen konfrontiert werden, ist das ein idealer Einstieg — Sie erhalten eine belastbare Standortbestimmung und eine Reihenfolge für die Umsetzung. Mehr dazu bei IFCSD unter ifcsd.de.

NIS2-Anforderung vom Kunden erhalten?

Wir bringen Ihr Unternehmen strukturiert auf das geforderte Sicherheitsniveau — von der Standortbestimmung über die Basismaßnahmen bis zum fertigen Nachweispaket für Ihren Großkunden.