Nicht auf der NIS2-Liste? Ihre Kunden nehmen Sie trotzdem in die Pflicht

· von IDE Solutions

Eine Nachricht landet in Ihrem Postfach, von einem Ihrer größten Kunden. Im Anhang: ein Sicherheitsfragebogen — drei Seiten mit Fragen dazu, wie Sie Daten schützen, ob Sie ein Backup-Konzept haben und wie schnell Sie einen Sicherheitsvorfall melden würden. Im vergangenen Jahr war das noch nicht dabei. Wenn Sie ein mittelständisches oder großes deutsches Unternehmen beliefern, ist genau das der Weg, auf dem ein EU-Gesetz namens NIS2 auf Ihrem Schreibtisch landet — obwohl Ihr eigenes Unternehmen darin nie genannt wird.

Den meisten Inhaberinnen und Inhabern kleinerer Betriebe wurde zu Recht gesagt, dass NIS2 nicht direkt für sie gilt. Das stimmt — und genau deshalb überrumpelt sie der Fragebogen. NIS2 reguliert nicht nur große Unternehmen; es macht diese großen Unternehmen für die Sicherheit aller verantwortlich, die sie beliefern. Dieser Beitrag erklärt in klarer Sprache, wie ein Gesetz, dem Sie nicht unterliegen, trotzdem bei Ihnen landet, was Ihre Kunden genau fragen werden und was Sie bereithalten sollten, bevor es so weit ist. Diesem Thema zuvorzukommen, ist der ganze Sinn unseres Dienstes für IT-Governance und Compliance.

Zunächst: Was NIS2 wirklich ist — ohne Fachjargon

NIS2 ist ein Gesetz der Europäischen Union zur Cybersicherheit. Der Name steht für die zweite Richtlinie zur Netz- und Informationssicherheit, und ihre Aufgabe ist es, das Grundniveau der digitalen Sicherheit in den Branchen anzuheben, von denen eine moderne Wirtschaft abhängt — Energie, Verkehr, Gesundheit, Wasser, Banken, digitale Dienste, Lebensmittel, Fertigung und weitere. Sie ersetzt eine ältere, engere Regelung und wirft ein deutlich weiteres Netz aus: Deckte die erste Fassung noch eine Handvoll Betreiber „kritischer Infrastruktur" ab, erfasst NIS2 allein in Deutschland schätzungsweise 29.000 Unternehmen.

Jedes EU-Land gießt die Richtlinie in eigenes nationales Recht. In Deutschland ist das das NIS2-Umsetzungsgesetz, das festlegt, wer betroffen ist, was zu tun ist und was es kostet, es falsch zu machen. Für ein direkt betroffenes Unternehmen sind die Pflichten erheblich: förmliches Risikomanagement, Meldung von Vorfällen innerhalb knapper Fristen und — der Punkt, der alle anderen betrifft — die Pflicht, die eigene Lieferkette abzusichern.

Sind Sie direkt betroffen? Wahrscheinlich nicht — und das ist die Falle

NIS2 teilt regulierte Unternehmen in zwei Gruppen ein, „wesentliche" und „wichtige", und nutzt die Größe als groben Filter. Als Faustregel gilt: Ein Unternehmen kann direkt in den Anwendungsbereich fallen, wenn es in einer der genannten Branchen tätig ist und mindestens 50 Mitarbeitende oder mehr als 10 Millionen Euro Jahresumsatz hat. Unterhalb dieser Grenze sind die meisten kleinen Betriebe gar nicht direkt reguliert.

So weit, so beruhigend — und genau hier setzt das Missverständnis ein. Inhaber hören „unter 50 Personen, gilt nicht" und legen das ganze Thema zu den Akten. Was sie übersehen: außerhalb des direkten Anwendungsbereichs zu stehen, bedeutet nicht, außerhalb der Reichweite des Gesetzes zu sein. Die Reichweite kommt über Ihre Kunden.

Die Klausel, vor der Sie niemand gewarnt hat: die Lieferkettensicherheit

Versteckt in den Sicherheitsmaßnahmen, die jedes betroffene Unternehmen umsetzen muss, steckt die Pflicht, die Risiken in der eigenen Lieferkette zu steuern — Verantwortung also nicht nur für die eigenen Systeme zu übernehmen, sondern für die Sicherheit der Zulieferer und Dienstleister, von denen man abhängt. Das Gesetz macht ein großes reguliertes Unternehmen für eine Schwachstelle haftbar, die in einem seiner Lieferanten steckt.

Es gibt für dieses Unternehmen nur einen praktikablen Weg, die Vorgabe zu erfüllen: Es reicht sie nach unten weiter. Es kann nicht die ganze Welt prüfen, also schickt es seinen Zulieferern einen Fragebogen, ergänzt Sicherheitsklauseln in Verträgen und macht das Bestehen dieser Prüfung zur Bedingung der Geschäftsbeziehung. Wenn Sie ein Krankenhaus, einen Hersteller, ein Energieunternehmen oder eine Bank beliefern — oder irgendjemanden, der wiederum an diese liefert —, sind Sie Teil ihrer Lieferkette, und ihre gesetzliche Pflicht wird still zu Ihrem geschäftlichen Problem. Ein Softwarehaus mit 15 Personen, ein Logistikdienstleister, ein Lohnbüro, ein IT-Dienstleister: Keiner wird in NIS2 genannt, alle bekommen den Fragebogen.

Das ist weder hypothetisch noch Jahre entfernt. Große deutsche Unternehmen arbeiten bereits ihre Lieferantenlisten durch, weil ihre eigene Compliance davon abhängt. Der Zulieferer, der klar und schnell antwortet, behält den Auftrag; wer das nicht kann, ist ein Risiko, das der Kunde nun gesetzlich motiviert ist zu ersetzen. Vor diesem Gespräch ehrlich zu wissen, wo man steht, gehört zum Kern einer ordentlichen Cloud-Security-Prüfung.

Was Ihre Kunden tatsächlich fragen werden

Die Fragebögen unterscheiden sich, prüfen aber dieselbe Handvoll Bereiche — die Sicherheitsmaßnahmen, die NIS2 von regulierten Unternehmen erwartet, auf deren Zulieferer gespiegelt. Rechnen Sie mit Fragen zu:

  • Risikomanagement. Haben Sie eine schriftliche Informationssicherheits-Richtlinie? Wissen Sie, welche Daten Sie halten und wo die echten Risiken liegen?
  • Zugriffskontrolle und Identitäten. Ist die Mehr-Faktor-Authentifizierung aktiv? Wie steuern Sie, wer sich wo anmelden darf, und wie schnell wird der Zugang eines Ausscheidenden entzogen?
  • Umgang mit Vorfällen. Würden Sie einen Angriff überhaupt bemerken? Haben Sie einen Reaktionsplan, und könnten Sie einen betroffenen Kunden binnen 24 Stunden informieren?
  • Backup und Wiederherstellung. Haben Sie getestete Backups, und wie schnell könnten Sie nach einem Angriff wiederherstellen? Details finden Sie in unserem Leitfaden zu Backup und Notfallwiederherstellung.
  • Patches und Schwachstellen. Werden Systeme aktuell gehalten, und wissen Sie wirklich, welche Software bei Ihnen läuft?
  • Sensibilisierung der Mitarbeitenden. Sind Ihre Leute geschult, Phishing zu erkennen — den Einstiegspunkt der meisten echten Angriffe?
  • Ihre eigenen Zulieferer. Wie steuern Sie die Sicherheit der Werkzeuge und Dienstleister, von denen Sie abhängen — denn deren Schwäche ist nun auch das Problem des Kunden.

Nichts davon erfordert ein Sicherheitsteam wie im Konzern. Das meiste kann ein gut geführter 20-Personen-Betrieb in Wochen umsetzen, nicht in Monaten. Doch „das regeln wir, wenn das Formular kommt" ist der falsche Moment zum Anfangen — Sie antworten dann unter Zeitdruck, vor dem Kunden, mit einem Vertrag auf dem Spiel.

Was es kostet, unvorbereitet zu sein

Für das regulierte Unternehmen sind die Strafen bei NIS2-Verstößen empfindlich — Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes bei den schwersten Versäumnissen, und, ungewöhnlich, eine persönliche Verantwortung der Geschäftsleitung. Genau diese Schärfe ist der Grund, warum die Sicherheit eines Zulieferers nicht auf Treu und Glauben hingenommen wird. Der Preis dafür, Ihre Schwachstellen zu ignorieren, bemisst sich jetzt in Millionen und in der Haftung der eigenen Geschäftsführung.

Ihr eigenes Risiko ist kein Bußgeld einer Behörde; es ist entgangener Umsatz. Ein Zulieferer, der die Sicherheitsprüfung nicht ausfüllen kann oder sie schlecht beantwortet, wird zum schwachen Glied, das der Kunde beheben muss — und der sauberste Weg, das zu beheben, ist, das Geschäft zu einem Zulieferer zu verlagern, der es kann. Verträge machen Sicherheits-Compliance zunehmend zur Bedingung, der Fragebogen ist damit kein Papierkram mehr, sondern ein Tor. Betriebe, die selbstbewusst hindurchgehen, gewinnen bereits Aufträge von Wettbewerbern, die es nicht können — und machen aus einer Pflichtübung einen echten Vertriebsvorteil.

Was Sie einrichten sollten, bevor der Fragebogen kommt

Sie müssen nicht „NIS2-zertifiziert" werden — für Zulieferer gibt es so etwas nicht. Sie müssen glaubwürdig belegen, dass Sie Sicherheit ernst nehmen und die Grundlagen abgedeckt haben. Arbeiten Sie das durch, und die meisten Fragebögen werden unkompliziert:

  • Aktivieren Sie überall Mehr-Faktor-Authentifizierung. E-Mail, Fernzugriff, zentrale Anwendungen. Es ist die wirksamste Einzelmaßnahme und das Erste, was ein ernst gemeinter Fragebogen prüft.
  • Schreiben Sie Ihre Grundlagen auf. Eine kurze Informationssicherheits-Richtlinie, eine Zugriffsliste, ein Überblick über die Daten, die Sie halten. Kein Aktenordner — ein paar Seiten, die zeigen, dass Sie darüber nachgedacht haben.
  • Bringen Sie Ihr Microsoft 365 in Ordnung. Die meiste KMU-Sicherheit steckt in einem einzigen Tenant, dessen Standardeinstellungen echte Lücken lassen. Ein unabhängiger Microsoft-365-Sicherheitscheck zeigt Ihnen genau, was der Prüfer eines Kunden finden würde.
  • Machen Sie Ihre Backups echt und getestet. Nicht nur laufend — wiederherstellbar, kürzlich erprobt, mit bekannter Wiederherstellungszeit.
  • Haben Sie einen Notfallplan. Eine Seite: wen anrufen, wie eindämmen, wie schnell einen Kunden informieren. Die Erwartung einer Meldung binnen 24 Stunden ist real.
  • Halten Sie Systeme gepatcht. Wissen Sie, was Sie betreiben, und halten Sie es aktuell. Ungepatchte Software ist das Loch, das Angreifer am häufigsten nutzen.
  • Schulen Sie Ihre Leute. Eine kurze, regelmäßige Phishing-Sensibilisierung schließt die Lücke, die Technik allein nicht schließen kann.

Im Voraus erledigt, ist das ein überschaubares Projekt mit echtem Nutzen: Sie behalten die Kunden, die Sie haben, werden zum leichten „Ja" für jene, die Zulieferer bewerten, und schlafen ruhiger im Wissen, dass ein Vorfall nicht das Ende des Betriebs wäre. Unser Team für Governance und Compliance führt genau diesen Reifegrad-Check durch und übergibt Ihnen den Nachweis, den Kunden verlangen.

Wo Deutschland gerade steht

Die deutsche Umsetzung von NIS2 hat länger gedauert, als Brüssel vorgesehen hatte, und der genaue Wortlaut ist durch mehrere Entwürfe gewandert. Das hat manche Inhaber zu dem Schluss verleitet, sie könnten warten. Das ist der falsche Schluss, aus einem einfachen Grund: Ihre Kunden warten nicht. Große Unternehmen planen ihre Compliance weit vor jeder Frist, und ihre Lieferantenprüfungen laufen bereits, unabhängig vom genauen Datum, an dem das nationale Gesetz in Kraft tritt. Der geschäftliche Druck — der Fragebogen, die Vertragsklausel — kommt vor dem rechtlichen, und er kommt, ob die Tinte trocken ist oder nicht.

Die vernünftige Haltung ist, die zugrunde liegenden Sicherheitserwartungen als gesetzt zu behandeln, denn das sind sie. Mehr-Faktor-Authentifizierung, getestete Backups, ein Notfallplan und eine grundlegende Governance werden aus keiner künftigen Fassung des Gesetzes gestrichen, und sie sind genau das, wonach Ihre Kunden heute fragen. Sie jetzt aufzubauen, ist keine Wette auf eine Frist; es ist das Fundament eines glaubwürdigen Unternehmens im Jahr 2026.

Kurze Antworten

Gilt NIS2 direkt für mein kleines Unternehmen? Meist nicht — die meisten Unternehmen unter 50 Mitarbeitenden in nicht-kritischen Branchen liegen außerhalb des direkten Anwendungsbereichs. Beliefern Sie aber ein betroffenes Unternehmen, erreichen Sie dessen Lieferkettenpflichten über Verträge und Fragebögen.

Muss ich NIS2-zertifiziert sein? Eine Zulieferer-Zertifizierung gibt es nicht. Kunden wollen den Nachweis, dass Sie die Sicherheitsgrundlagen umgesetzt haben — Richtlinien, MFA, getestete Backups, einen Notfallplan —, kein Zertifikat.

Was, wenn ich den Fragebogen einfach ignoriere? Der Kunde ist gesetzlich verpflichtet, Lieferantenrisiken zu steuern; ein unbeantworteter oder schwacher Fragebogen macht Sie zu dem Risiko, das er beseitigen muss. In der Praxis heißt das: Sie verlieren den Auftrag an einen Zulieferer, der ihn beantworten kann.

Wie lange dauert die Vorbereitung? Für ein typisches kleines Unternehmen mit vernünftiger IT eher Wochen als Monate — vorausgesetzt, Sie beginnen, bevor das Formular kommt, nicht danach.

Wir machen Sie bereit für die Sicherheitsfragen, die Ihre Kunden schon stellen

Unser Dienst für IT-Governance und Compliance führt einen klaren Reifegrad-Check gegen die Sicherheitsmaßnahmen durch, die NIS2 in die Lieferkette weiterreicht: wo Sie heute stehen, was der Prüfer eines Kunden bemängeln würde und was zuerst zu beheben ist — in verständlicher Sprache, priorisiert nach dem, was wirklich zählt.

Am Ende haben Sie die Grundlagen wirklich im Griff und einen klaren Nachweis, den Sie jedem Kundenfragebogen beilegen können — und machen aus einer Compliance-Forderung einen Grund, warum man weiter bei Ihnen kauft.

Weitere Artikel