Inhaltsverzeichnis
NIS2 ist in Kraft — der Lieferketten-Effekt
Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft. Es setzt die europäische NIS2-Richtlinie in deutsches Recht um und verpflichtet eine große Zahl mittlerer und großer Unternehmen aus regulierten Sektoren zu einem definierten Mindestniveau an Cybersicherheit.
In der öffentlichen Diskussion drehte sich fast alles um eine Frage: "Bin ich direkt betroffen?" Für viele kleine Betriebe war die Antwort ein erleichtertes "Nein" — sie liegen unter den Schwellenwerten und fallen nicht unmittelbar unter das Gesetz. Doch genau hier entsteht ein Trugschluss. Denn NIS2 wirkt nicht nur auf die direkt regulierten Unternehmen. Es wirkt über deren Lieferkette.
Ein NIS2-pflichtiges Unternehmen muss nach Artikel 21 auch die Risiken absichern, die aus seinen Zulieferern und Dienstleistern entstehen. Es kann diese Pflicht nicht an der eigenen Firmengrenze enden lassen. Also gibt es sie weiter — vertraglich, an jeden Lieferanten, jeden IT-Dienstleister, jeden Fertigungspartner. Der Effekt: Ein Metallbaubetrieb mit zwölf Mitarbeitern, ein Softwarehaus mit acht Leuten, ein Logistikdienstleister mit fünfzehn Fahrzeugen — alle können plötzlich Post von ihrem Großkunden bekommen, in der Sicherheitsnachweise verlangt werden. Nicht, weil sie selbst reguliert sind. Sondern weil ihr Kunde es ist.
In der Praxis erlebe ich das seit Anfang 2026 regelmäßig: Kleine Unternehmen melden sich nicht, weil sie das Gesetz gelesen haben, sondern weil ein Einkaufsleiter ihres größten Kunden ihnen einen mehrseitigen Sicherheitsfragebogen geschickt hat — mit der Bitte, ihn binnen zwei Wochen auszufüllen. Wer das nicht kann, riskiert im schlimmsten Fall den Auftrag. Dieser Artikel richtet sich genau an diese Situation.
Warum auch kleine Zulieferer betroffen sind (Art. 21 Lieferkettensicherheit)
Der Kern liegt in Artikel 21 der NIS2-Vorgaben. Er verlangt von direkt betroffenen Unternehmen ein Bündel technischer und organisatorischer Maßnahmen — und ausdrücklich auch die "Sicherheit der Lieferkette". Ein reguliertes Unternehmen muss also bewerten, welche Risiken ihm aus seinen Lieferanten- und Dienstleisterbeziehungen entstehen, und es muss diese Risiken steuern.
Steuern kann es sie im Wesentlichen auf einem Weg: über den Vertrag. Ein Großkunde kann Ihnen keine Behördenpflicht auferlegen — er ist keine Aufsichtsbehörde. Aber er kann festlegen, unter welchen Bedingungen er mit Ihnen zusammenarbeitet. Und wenn seine eigene Compliance verlangt, dass seine Zulieferer ein Mindestmaß an Sicherheit einhalten, dann wird genau das Teil Ihrer Geschäftsbeziehung.
Für Sie als kleinen Zulieferer heißt das: Ihre rechtliche Betroffenheit durch NIS2 mag Null sein. Ihre faktische Betroffenheit über den Vertrag ist es nicht. Und anders als eine Gesetzespflicht, die man notfalls aussitzen kann, hat die vertragliche Anforderung einen sehr direkten Hebel — den Auftrag. Kein Nachweis, kein Vertrag; so einfach kann die Logik auf der Kundenseite sein.
Wichtig zur Einordnung: Ob Ihr eigenes Unternehmen selbst direkt unter NIS2 fällt, ist eine separate Frage. Wenn Sie das klären wollen, hilft unser Überblick zu NIS2 für KMU weiter. Für die hier beschriebene Situation — "mein Kunde verlangt etwas von mir" — ist Ihre eigene direkte Betroffenheit dagegen zweitrangig. Entscheidend ist, was im Vertrag steht.
Was Kunden konkret verlangen (Fragebögen, Nachweise, Mindestmaßnahmen)
Die Anforderungen, die bei kleinen Zulieferern ankommen, folgen einem erkennbaren Muster. Sie sind selten so tiefgreifend wie eine ISO-27001-Zertifizierung, aber konkret genug, dass man sie nicht mit einer freundlichen E-Mail beantworten kann. Typischerweise begegnen Ihnen drei Formate:
1. Der Sicherheitsfragebogen. Das häufigste Instrument. Ein strukturiertes Dokument mit Fragen zu Ihren technischen und organisatorischen Maßnahmen: Wie verwalten Sie Zugänge? Setzen Sie Mehr-Faktor-Authentifizierung ein? Wie sichern Sie Daten? Was passiert bei einem Sicherheitsvorfall? Haben Sie einen Ansprechpartner für IT-Sicherheit? Die Fragebögen reichen von einer halben Seite bis zu mehreren Dutzend Fragen. Verlangt wird eine wahrheitsgemäße, unterschriebene Selbstauskunft.
2. Vertragliche Zusicherungen. Ergänzend oder stattdessen finden sich Klauseln direkt im Liefer- oder Rahmenvertrag: Verpflichtung zu bestimmten Mindestmaßnahmen, Meldepflichten bei Sicherheitsvorfällen, die Ihre gemeinsame Datenverarbeitung betreffen, gelegentlich ein Auditrecht des Kunden. Diese Klauseln sollten Sie ernst nehmen — sie sind rechtlich bindend, und was Sie zusichern, müssen Sie auch halten können. Genau deshalb ist eine Prüfung durch jemanden mit juristischem Blick sinnvoll; dieser Beitrag ersetzt sie nicht.
3. Nachweise über Standards. Bei größeren oder besonders sicherheitskritischen Lieferbeziehungen kann ein förmlicher Nachweis verlangt werden — etwa ein Bericht aus einem anerkannten Prüfschema. Für kleine Zulieferer ist das eher die Ausnahme. Häufiger und pragmatischer ist der Verweis auf einen standardisierten Basis-Check, der zeigt, dass Sie Ihre Sicherheit strukturiert bewertet haben.
Was praktisch immer den Kern bildet, sind eine Handvoll konkreter technischer und organisatorischer Basismaßnahmen. Diese lohnen einen genaueren Blick, weil Sie sie ohnehin brauchen — unabhängig davon, welches Format Ihr Kunde wählt.
Die Basismaßnahmen, die fast immer gefordert werden
Über nahezu alle Fragebögen und Klauseln hinweg wiederholen sich dieselben vier Grundpfeiler. Wer sie sauber umgesetzt und dokumentiert hat, beantwortet einen typischen Kundenfragebogen zu großen Teilen aus dem Stand.
Mehr-Faktor-Authentifizierung (MFA)
Die mit Abstand häufigste Einzelanforderung. Kunden wollen wissen, ob der Zugang zu Ihren Systemen — insbesondere E-Mail und Cloud-Dienste — durch einen zweiten Faktor geschützt ist, sodass ein gestohlenes Passwort allein nicht ausreicht. Die gute Nachricht: In Microsoft 365, Google Workspace und den meisten gängigen Diensten ist MFA bereits enthalten und muss nur aktiviert und erzwungen werden. Wie Sie das für Ihr Unternehmen umsetzen, beschreibt unser Leitfaden zu MFA im Unternehmen. In der Regel ist das die Maßnahme mit dem besten Verhältnis von Aufwand zu Schutzwirkung.
Backup nach der 3-2-1-Regel
Fast ebenso verbreitet ist die Frage nach Ihrer Datensicherung — nicht nur, ob Sie überhaupt sichern, sondern ob die Sicherung einen echten Ransomware- und Ausfallschutz bietet. Der anerkannte Maßstab dafür ist die 3-2-1-Backup-Regel: drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon eine Kopie außer Haus beziehungsweise offline. Kunden fragen zunehmend nicht nur nach dem Backup an sich, sondern auch danach, ob Sie die Wiederherstellung schon einmal getestet haben.
Ein Prozess für Sicherheitsvorfälle (Incident Response)
NIS2-pflichtige Unternehmen unterliegen selbst engen Meldefristen bei Sicherheitsvorfällen. Deshalb wollen sie wissen, ob Sie im Ernstfall reagieren können — und ob Sie sie informieren würden, falls ein Vorfall bei Ihnen ihre Daten betrifft. Verlangt wird selten ein aufwendiges Konzept, sondern ein nachvollziehbarer, schriftlich festgehaltener Ablauf: Wer wird informiert? Wer entscheidet? Wie werden betroffene Kunden benachrichtigt? Für ein kleines Unternehmen genügt oft eine einseitige Handlungsanweisung, die im Ernstfall greift.
Regelmäßige Mitarbeiterschulung
Der Mensch bleibt das häufigste Einfallstor. Deshalb fragen viele Kunden, ob Ihre Mitarbeiter regelmäßig für Themen wie Phishing und den Umgang mit verdächtigen E-Mails sensibilisiert werden. Ein jährlicher, dokumentierter Schulungstermin — gern ergänzt um gelegentliche Phishing-Simulationen — reicht in den meisten Fällen als Nachweis aus.
Diese vier Basismaßnahmen decken den Großteil dessen ab, was in Fragebögen abgefragt wird. Sie sind kein Zufallsprodukt: Sie entsprechen weitgehend dem, was auch der standardisierte CyberRisikoCheck nach DIN SPEC 27076 für kleine Unternehmen als Mindestniveau vorsieht. Genau darauf baut der nächste Abschnitt auf.
In 5 Schritten "lieferkettenfähig" werden
Wenn ein Großkunde erstmals Nachweise verlangt, ist der Reflex oft Hektik. Das ist selten nötig. Mit einem geordneten Vorgehen lässt sich die Anforderung in überschaubarer Zeit erfüllen — und das Ergebnis nützt Ihnen auch beim nächsten Kunden wieder.
Schritt 1 — Standort bestimmen. Bevor Sie einzelne Maßnahmen umsetzen, verschaffen Sie sich einen strukturierten Überblick, wo Sie stehen. Der ideale Einstieg dafür ist der kostenlose CyberRisikoCheck nach DIN SPEC 27076, den das Institut für Cybersicherheit Deutschland (IFCSD) anbietet. In einem strukturierten Interview werden 27 Anforderungen in sechs Themenbereichen abgefragt; am Ende steht ein priorisierter Maßnahmenbericht. Für einen Zulieferer, der plötzlich mit NIS2-Anforderungen konfrontiert ist, ist das die effizienteste erste Handlung — Sie wissen danach genau, welche Lücken zu schließen sind und in welcher Reihenfolge.
Schritt 2 — Basismaßnahmen umsetzen. Arbeiten Sie die vier Grundpfeiler ab: MFA erzwingen, Backup auf die 3-2-1-Regel bringen und einen Wiederherstellungstest durchführen, einen einseitigen Incident-Prozess schreiben, einen Schulungstermin ansetzen. Viele dieser Punkte kosten bei kleinen Betrieben wenig oder nichts an Lizenzen, weil sie in vorhandenen Systemen bereits stecken — der Aufwand liegt in Einrichtung und Dokumentation.
Schritt 3 — dokumentieren. Was nicht dokumentiert ist, existiert für einen Kundenfragebogen nicht. Halten Sie kurz und nüchtern fest, welche Maßnahmen Sie umgesetzt haben: eine knappe Sicherheitsrichtlinie, die Backup-Konfiguration, die Incident-Handlungsanweisung, das Datum der letzten Schulung. Diese Unterlagen sind Ihr wiederverwendbares Nachweispaket.
Schritt 4 — den Fragebogen beantworten. Jetzt füllen Sie den Kundenfragebogen aus — wahrheitsgemäß. Wo eine Anforderung noch offen ist, ist ein ehrliches "in Umsetzung bis Datum X" fast immer besser als eine geschönte Angabe, die Sie im Ernstfall nicht halten können. Vertragliche Zusicherungen sollten Sie vor der Unterschrift juristisch prüfen lassen; das ist der Punkt, an dem dieser Beitrag ausdrücklich keine Rechtsberatung ersetzt.
Schritt 5 — Stand halten. Lieferkettensicherheit ist kein einmaliges Projekt. MFA muss aktiviert bleiben, Backups müssen laufen und getestet werden, Schulungen wiederholt, der Incident-Prozess aktuell gehalten werden. Wer den Zustand einmal erreicht hat, muss ihn nur pflegen — und ist beim nächsten Kundenaudit oder beim nächsten Fragebogen im Vorteil. Wenn Sie diesen Aufbau nicht allein stemmen wollen, unterstützt Sie unsere IT-Sicherheitsberatung von der Standortbestimmung bis zum fertigen Nachweispaket.

