NIS2 als Zulieferer: Was Sie wirklich tun müssen, wenn Kunden Nachweise verlangen
Als Zulieferer sind Sie von NIS2 meist nicht direkt reguliert — Ihr Kunde ist es. §30 Abs. 2 Nr. 4 BSIG verpflichtet ihn, die Sicherheit seiner Lieferkette zu gewährleisten, und diese Pflicht reicht er vertraglich an Lieferanten weiter. Ein ISO-27001-Zertifikat ist dafür gesetzlich nicht erforderlich: Ein ehrlich beantworteter Sicherheitsfragebogen, dokumentierte Basismaßnahmen und ein Meldeprozess für Vorfälle genügen in den meisten Fällen.
Von Rudolf Schwartz — Inhaber & Entwickler von QubeLogix · Zuletzt aktualisiert 15. Juli 2026
Warum Ihr Kunde jetzt Nachweise verlangt
Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft — ohne Übergangsfrist. Die dreimonatige Registrierungsfrist für betroffene Unternehmen ist am 6. März 2026 abgelaufen. Rund 29.500 Unternehmen stehen damit unter BSI-Aufsicht, vorher waren es etwa 4.500. Bei Verstößen drohen den regulierten Unternehmen Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
Der für Zulieferer entscheidende Paragraf ist §30 Abs. 2 Nr. 4 BSIG (die Umsetzung von Art. 21 Abs. 2 lit. d der EU-NIS2-Richtlinie): Betroffene Einrichtungen müssen die Sicherheit ihrer Lieferkette gewährleisten — einschließlich der Beziehungen zu ihren unmittelbaren Anbietern und Dienstleistern. Das Gesetz verpflichtet Sie als Zulieferer also nicht direkt. Aber Ihr Kunde muss dafür sorgen — und gegenüber Prüfern und Aufsicht belegen können —, dass seine Lieferanten kein unkontrolliertes Risiko darstellen. Diese Pflicht kaskadiert vertraglich auf Sie — auch wenn Sie selbst weit unter den NIS2-Schwellenwerten liegen. Der Fragebogen, der gerade in Ihrem Postfach liegt, ist keine Behördenanfrage, sondern die Weitergabe dieses Drucks.
Zuerst klären: Sind Sie selbst direkt betroffen?
Bevor Sie auf Kundenanforderungen reagieren, prüfen Sie die eigene Betroffenheit. Direkt reguliert sind in der Regel Unternehmen ab 50 Mitarbeitern oder mit mehr als 10 Mio. € Jahresumsatz und Bilanzsumme, sofern sie in einem der 18 NIS2-Sektoren tätig sind. Anlage 1 des BSIG listet 11 Sektoren hoher Kritikalität, Anlage 2 sieben weitere kritische Sektoren — darunter verarbeitendes Gewerbe, Chemie und Lebensmittel. Gerade produzierende Mittelständler rutschen hier häufiger in die direkte Pflicht, als sie annehmen.
Das BSI stellt dafür eine kostenlose Betroffenheitsprüfung bereit (betroffenheitspruefung-nis-2.bsi.de): wenige Fragen zu Sektor, Größe und Umsatz entlang der Prüflogik des Gesetzes — das Ergebnis ist rechtlich nicht bindend, aber eine belastbare erste Orientierung. Falls Sie direkt betroffen sind, gilt: Die Registrierung über das BSI-MUK-Portal (muk.bsi.bund.de) war bis zum 6. März 2026 fällig — holen Sie sie umgehend nach. Der Rest dieses Guides behandelt den häufigeren Fall: Sie sind nicht direkt reguliert, Ihr Kunde aber schon.
Was Kunden typischerweise verlangen
In der Praxis tauchen drei Standard-Vertragsbausteine auf: erstens konkrete Cybersecurity-Anforderungen an Ihr Produkt oder Ihre Leistung, zweitens ein Audit-Recht mit regelmäßigen Nachweispflichten, drittens eine Incident-Notification-Klausel — meist mit einer Meldefrist von maximal 24 Stunden an den Kunden, abgeleitet aus dessen eigener 24-Stunden-Erstmeldepflicht ans BSI.
Dazu kommt fast immer ein Sicherheitsfragebogen. Die typischen Fragen: Welche Systeme des Kunden können Sie erreichen? Welche Datenklassen verarbeiten Sie? Gibt es ein ISMS oder eine ISO-27001-Zertifizierung? Wie sind Backup und Recovery geregelt? Ist MFA für kritische Zugänge aktiv? Existiert ein dokumentierter Incident-Response-Prozess?
Wie tief geprüft wird, hängt von Ihrer Einstufung ab. Üblich ist eine Klassifizierung in drei Stufen: A-Lieferanten mit direktem System- oder Datenzugriff (Cloud, ERP-Hosting, Managed Security) werden meist jährlich geprüft; B-Lieferanten mit Einfluss auf Verfügbarkeit oder Integrität alle zwei bis drei Jahre; C-Lieferanten wie Büromateriallieferanten kaum. Als Nachweis akzeptiert werden ISO-27001-Zertifikate, SOC-2-Reports, TISAX-Label (Automotive) — aber ebenso ausgefüllte Fragebögen und dokumentierte Prozesse. Wichtig: Eine Zertifizierung ist gesetzlich nicht gefordert. Ein risikobasierter Nachweis genügt.
Wer nicht liefert, riskiert kein Bußgeld, sondern ein kommerzielles Problem: längere Freigabeprozesse, schlechteres Lieferantenrating, nachteilige Vertragszusätze — bis hin zum Ausschluss aus Ausschreibungen.
Pragmatische erste Schritte — ohne Zertifizierungsprojekt
Für die meisten kleinen Zulieferer ist die richtige Antwort kein ISO-27001-Projekt, sondern eine belastbare Basis. Konkret: Erfassen Sie, auf welche Kundensysteme und Datenklassen Sie tatsächlich Zugriff haben — das bestimmt Ihre Einstufung und den Prüfumfang. Aktivieren Sie MFA für alle kritischen Zugänge. Dokumentieren und testen Sie Backup und Wiederherstellung. Schreiben Sie einen Incident-Response-Prozess auf eine Seite: Wer erkennt, wer entscheidet, wer meldet innerhalb von 24 Stunden an welchen Kundenkontakt. Und beantworten Sie den Fragebogen ehrlich — ein dokumentiertes 'noch nicht, geplant für Q4' ist glaubwürdiger als ein geschöntes 'ja'.
Als Ordnungsrahmen eignet sich die Basis-Absicherung des BSI IT-Grundschutzes: Ihre Basis-Anforderungen decken genau die Themen ab, die in den Fragebögen abgefragt werden — Zugriffsverwaltung, Datensicherung, Vorfallbehandlung, Patch-Management. Der Vorteil gegenüber selbstgebauten Maßnahmenlisten: IT-Grundschutz ist der Standard, den deutsche Einkaufs- und Sicherheitsabteilungen kennen. Wer seine Antworten auf diese Struktur stützt, muss nicht bei jedem neuen Kundenfragebogen von vorn anfangen.
Was das realistisch kostet
Zur Einordnung die Kosten der 'großen' Nachweise — marktübliche Angaben von Zertifizierern und Beratungen, keine Festpreise: Eine ISO-27001-Zertifizierung kostet ein KMU mit 10–50 Mitarbeitern im ersten Jahr meist 15.000–50.000 € gesamt, das reine Erstaudit 9.000–25.000 € — der größte Block ist der interne ISMS-Aufbau samt Beratung. TISAX (Automotive) liegt für KMU typischerweise bei 15.000–40.000 € gesamt, das reine AL-3-Audit für kleinere Unternehmen bei rund 6.000–7.000 €. Solche Investitionen lohnen sich erst, wenn mehrere Großkunden sie explizit fordern oder Ausschreibungen daran hängen.
Der pragmatische Weg ist deutlich günstiger. QubeLogix bietet einen Informationssicherheits-Quick-Check ab 1.900 € pauschal: Bestandsaufnahme, Abgleich mit den typischen Fragebogen-Anforderungen, priorisierte Maßnahmenliste. Wer strukturiert aufbauen will, liegt bei ISMS-Grundlagen und NIS2-Orientierung bei 6.000–14.000 €, laufende Begleitung ab 900 €/Monat, Beratung nach Tagessatz 1.000–1.200 €. Zur Ehrlichkeit gehört die Abgrenzung: QubeLogix stellt keine Zertifikate aus und führt keine akkreditierten Zertifizierungsaudits durch — das Angebot ist Orientierung und Umsetzungsunterstützung, damit Sie Kundenfragebögen belastbar beantworten können und wissen, ob sich ein Zertifizierungsprojekt für Sie überhaupt rechnet.
Wann Sie das nicht brauchen
Nicht jeder Zulieferer muss jetzt handeln. Sie können das Thema ruhen lassen, wenn keiner Ihrer Kunden NIS2-reguliert ist — die Pflicht entsteht ausschließlich über den Vertrag, nicht über eine Behörde. Ebenso, wenn Sie als C-Lieferant eingestuft sind, also weder System- noch Datenzugriff haben und Ihr Ausfall die Leistung des Kunden nicht gefährdet: Büromaterial, Catering, einfache Handelsware. Auch wer bereits ein gültiges ISO-27001-Zertifikat oder TISAX-Label besitzt, braucht in der Regel keine zusätzliche Beratung — das vorhandene Zertifikat deckt die üblichen Anforderungen ab. Und wenn nur ein einzelner überschaubarer Fragebogen auf dem Tisch liegt und Ihre IT-Grundlagen (MFA, Backups, Patch-Stand) in Ordnung sind, beantworten Sie ihn schlicht selbst. Externe Unterstützung lohnt sich erst, wenn mehrere Kunden unterschiedliche Nachweise fordern, ein A- oder B-Rating auf dem Spiel steht oder Sie nicht einschätzen können, wie ehrlich Sie welche Frage beantworten sollten.