Zum Inhalt springen
QubeLogix

NIS2 als Zulieferer: Was Sie wirklich tun müssen, wenn Kunden Nachweise verlangen

Als Zulieferer sind Sie von NIS2 meist nicht direkt reguliert — Ihr Kunde ist es. §30 Abs. 2 Nr. 4 BSIG verpflichtet ihn, die Sicherheit seiner Lieferkette zu gewährleisten, und diese Pflicht reicht er vertraglich an Lieferanten weiter. Ein ISO-27001-Zertifikat ist dafür gesetzlich nicht erforderlich: Ein ehrlich beantworteter Sicherheitsfragebogen, dokumentierte Basismaßnahmen und ein Meldeprozess für Vorfälle genügen in den meisten Fällen.

Von Rudolf Schwartz — Inhaber & Entwickler von QubeLogix · Zuletzt aktualisiert 15. Juli 2026

Warum Ihr Kunde jetzt Nachweise verlangt

Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft — ohne Übergangsfrist. Die dreimonatige Registrierungsfrist für betroffene Unternehmen ist am 6. März 2026 abgelaufen. Rund 29.500 Unternehmen stehen damit unter BSI-Aufsicht, vorher waren es etwa 4.500. Bei Verstößen drohen den regulierten Unternehmen Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.

Der für Zulieferer entscheidende Paragraf ist §30 Abs. 2 Nr. 4 BSIG (die Umsetzung von Art. 21 Abs. 2 lit. d der EU-NIS2-Richtlinie): Betroffene Einrichtungen müssen die Sicherheit ihrer Lieferkette gewährleisten — einschließlich der Beziehungen zu ihren unmittelbaren Anbietern und Dienstleistern. Das Gesetz verpflichtet Sie als Zulieferer also nicht direkt. Aber Ihr Kunde muss dafür sorgen — und gegenüber Prüfern und Aufsicht belegen können —, dass seine Lieferanten kein unkontrolliertes Risiko darstellen. Diese Pflicht kaskadiert vertraglich auf Sie — auch wenn Sie selbst weit unter den NIS2-Schwellenwerten liegen. Der Fragebogen, der gerade in Ihrem Postfach liegt, ist keine Behördenanfrage, sondern die Weitergabe dieses Drucks.

Zuerst klären: Sind Sie selbst direkt betroffen?

Bevor Sie auf Kundenanforderungen reagieren, prüfen Sie die eigene Betroffenheit. Direkt reguliert sind in der Regel Unternehmen ab 50 Mitarbeitern oder mit mehr als 10 Mio. € Jahresumsatz und Bilanzsumme, sofern sie in einem der 18 NIS2-Sektoren tätig sind. Anlage 1 des BSIG listet 11 Sektoren hoher Kritikalität, Anlage 2 sieben weitere kritische Sektoren — darunter verarbeitendes Gewerbe, Chemie und Lebensmittel. Gerade produzierende Mittelständler rutschen hier häufiger in die direkte Pflicht, als sie annehmen.

Das BSI stellt dafür eine kostenlose Betroffenheitsprüfung bereit (betroffenheitspruefung-nis-2.bsi.de): wenige Fragen zu Sektor, Größe und Umsatz entlang der Prüflogik des Gesetzes — das Ergebnis ist rechtlich nicht bindend, aber eine belastbare erste Orientierung. Falls Sie direkt betroffen sind, gilt: Die Registrierung über das BSI-MUK-Portal (muk.bsi.bund.de) war bis zum 6. März 2026 fällig — holen Sie sie umgehend nach. Der Rest dieses Guides behandelt den häufigeren Fall: Sie sind nicht direkt reguliert, Ihr Kunde aber schon.

Was Kunden typischerweise verlangen

In der Praxis tauchen drei Standard-Vertragsbausteine auf: erstens konkrete Cybersecurity-Anforderungen an Ihr Produkt oder Ihre Leistung, zweitens ein Audit-Recht mit regelmäßigen Nachweispflichten, drittens eine Incident-Notification-Klausel — meist mit einer Meldefrist von maximal 24 Stunden an den Kunden, abgeleitet aus dessen eigener 24-Stunden-Erstmeldepflicht ans BSI.

Dazu kommt fast immer ein Sicherheitsfragebogen. Die typischen Fragen: Welche Systeme des Kunden können Sie erreichen? Welche Datenklassen verarbeiten Sie? Gibt es ein ISMS oder eine ISO-27001-Zertifizierung? Wie sind Backup und Recovery geregelt? Ist MFA für kritische Zugänge aktiv? Existiert ein dokumentierter Incident-Response-Prozess?

Wie tief geprüft wird, hängt von Ihrer Einstufung ab. Üblich ist eine Klassifizierung in drei Stufen: A-Lieferanten mit direktem System- oder Datenzugriff (Cloud, ERP-Hosting, Managed Security) werden meist jährlich geprüft; B-Lieferanten mit Einfluss auf Verfügbarkeit oder Integrität alle zwei bis drei Jahre; C-Lieferanten wie Büromateriallieferanten kaum. Als Nachweis akzeptiert werden ISO-27001-Zertifikate, SOC-2-Reports, TISAX-Label (Automotive) — aber ebenso ausgefüllte Fragebögen und dokumentierte Prozesse. Wichtig: Eine Zertifizierung ist gesetzlich nicht gefordert. Ein risikobasierter Nachweis genügt.

Wer nicht liefert, riskiert kein Bußgeld, sondern ein kommerzielles Problem: längere Freigabeprozesse, schlechteres Lieferantenrating, nachteilige Vertragszusätze — bis hin zum Ausschluss aus Ausschreibungen.

Pragmatische erste Schritte — ohne Zertifizierungsprojekt

Für die meisten kleinen Zulieferer ist die richtige Antwort kein ISO-27001-Projekt, sondern eine belastbare Basis. Konkret: Erfassen Sie, auf welche Kundensysteme und Datenklassen Sie tatsächlich Zugriff haben — das bestimmt Ihre Einstufung und den Prüfumfang. Aktivieren Sie MFA für alle kritischen Zugänge. Dokumentieren und testen Sie Backup und Wiederherstellung. Schreiben Sie einen Incident-Response-Prozess auf eine Seite: Wer erkennt, wer entscheidet, wer meldet innerhalb von 24 Stunden an welchen Kundenkontakt. Und beantworten Sie den Fragebogen ehrlich — ein dokumentiertes 'noch nicht, geplant für Q4' ist glaubwürdiger als ein geschöntes 'ja'.

Als Ordnungsrahmen eignet sich die Basis-Absicherung des BSI IT-Grundschutzes: Ihre Basis-Anforderungen decken genau die Themen ab, die in den Fragebögen abgefragt werden — Zugriffsverwaltung, Datensicherung, Vorfallbehandlung, Patch-Management. Der Vorteil gegenüber selbstgebauten Maßnahmenlisten: IT-Grundschutz ist der Standard, den deutsche Einkaufs- und Sicherheitsabteilungen kennen. Wer seine Antworten auf diese Struktur stützt, muss nicht bei jedem neuen Kundenfragebogen von vorn anfangen.

Was das realistisch kostet

Zur Einordnung die Kosten der 'großen' Nachweise — marktübliche Angaben von Zertifizierern und Beratungen, keine Festpreise: Eine ISO-27001-Zertifizierung kostet ein KMU mit 10–50 Mitarbeitern im ersten Jahr meist 15.000–50.000 € gesamt, das reine Erstaudit 9.000–25.000 € — der größte Block ist der interne ISMS-Aufbau samt Beratung. TISAX (Automotive) liegt für KMU typischerweise bei 15.000–40.000 € gesamt, das reine AL-3-Audit für kleinere Unternehmen bei rund 6.000–7.000 €. Solche Investitionen lohnen sich erst, wenn mehrere Großkunden sie explizit fordern oder Ausschreibungen daran hängen.

Der pragmatische Weg ist deutlich günstiger. QubeLogix bietet einen Informationssicherheits-Quick-Check ab 1.900 € pauschal: Bestandsaufnahme, Abgleich mit den typischen Fragebogen-Anforderungen, priorisierte Maßnahmenliste. Wer strukturiert aufbauen will, liegt bei ISMS-Grundlagen und NIS2-Orientierung bei 6.000–14.000 €, laufende Begleitung ab 900 €/Monat, Beratung nach Tagessatz 1.000–1.200 €. Zur Ehrlichkeit gehört die Abgrenzung: QubeLogix stellt keine Zertifikate aus und führt keine akkreditierten Zertifizierungsaudits durch — das Angebot ist Orientierung und Umsetzungsunterstützung, damit Sie Kundenfragebögen belastbar beantworten können und wissen, ob sich ein Zertifizierungsprojekt für Sie überhaupt rechnet.

Wann Sie das nicht brauchen

Nicht jeder Zulieferer muss jetzt handeln. Sie können das Thema ruhen lassen, wenn keiner Ihrer Kunden NIS2-reguliert ist — die Pflicht entsteht ausschließlich über den Vertrag, nicht über eine Behörde. Ebenso, wenn Sie als C-Lieferant eingestuft sind, also weder System- noch Datenzugriff haben und Ihr Ausfall die Leistung des Kunden nicht gefährdet: Büromaterial, Catering, einfache Handelsware. Auch wer bereits ein gültiges ISO-27001-Zertifikat oder TISAX-Label besitzt, braucht in der Regel keine zusätzliche Beratung — das vorhandene Zertifikat deckt die üblichen Anforderungen ab. Und wenn nur ein einzelner überschaubarer Fragebogen auf dem Tisch liegt und Ihre IT-Grundlagen (MFA, Backups, Patch-Stand) in Ordnung sind, beantworten Sie ihn schlicht selbst. Externe Unterstützung lohnt sich erst, wenn mehrere Kunden unterschiedliche Nachweise fordern, ein A- oder B-Rating auf dem Spiel steht oder Sie nicht einschätzen können, wie ehrlich Sie welche Frage beantworten sollten.

Häufige Fragen

Häufige Fragen
Ich bin nicht direkt NIS2-betroffen — muss ich als Zulieferer trotzdem etwas tun?

Ja, sobald ein NIS2-regulierter Kunde Nachweise verlangt. §30 Abs. 2 Nr. 4 BSIG verpflichtet regulierte Unternehmen, die Sicherheit ihrer Lieferkette zu gewährleisten, und diese Pflicht wird vertraglich an Lieferanten weitergegeben — unabhängig davon, ob der Lieferant selbst die NIS2-Schwellenwerte erreicht. Es handelt sich um eine vertragliche Anforderung, nicht um eine Behördenpflicht.

Brauche ich als Zulieferer ein ISO-27001-Zertifikat?

Nein, gesetzlich ist keine Zertifizierung gefordert. NIS2-regulierte Kunden dürfen risikobasiert prüfen — ein ehrlich ausgefüllter Sicherheitsfragebogen und dokumentierte Maßnahmen (MFA, Backups, Incident-Response-Prozess) reichen oft aus. Ein ISO-27001-Projekt kostet ein KMU im ersten Jahr meist 15.000–50.000 € und lohnt sich erst, wenn mehrere Großkunden es explizit verlangen.

Was passiert, wenn ich den Sicherheitsfragebogen meines Kunden nicht beantworte?

Ein Bußgeld droht Ihnen nicht — die NIS2-Bußgelder treffen nur direkt regulierte Unternehmen. Die Folgen sind kommerziell: längere Freigabeprozesse, schlechteres Lieferantenrating, nachteilige Vertragszusätze oder der Ausschluss aus Ausschreibungen. Bei kritischen Lieferanten (A-Einstufung mit System- oder Datenzugriff) kann fehlende Auskunft den Auftrag insgesamt gefährden.

Wie schnell muss ich Sicherheitsvorfälle an meinen Kunden melden?

Vertraglich üblich sind maximal 24 Stunden. Der Hintergrund: NIS2-regulierte Unternehmen müssen erhebliche Vorfälle innerhalb von 24 Stunden erstmals ans BSI melden und geben diese Frist deshalb an Lieferanten weiter. Praktisch heißt das: Sie brauchen einen dokumentierten Prozess, wer einen Vorfall erkennt, wer entscheidet und wer welchen Kundenkontakt informiert — auch außerhalb der Bürozeiten.

Reicht ein TISAX-Label statt ISO 27001?

Branchenabhängig. In der Automobilindustrie ist TISAX der etablierte Standard und wird dort als Lieferanten-Nachweis regelmäßig akzeptiert; außerhalb verlangen Kunden eher ISO 27001 oder einen ausgefüllten Fragebogen. TISAX deckt die NIS2-Anforderungen zudem nur teilweise ab. Kostenrahmen für KMU: typischerweise 15.000–40.000 € gesamt, das reine AL-3-Audit für kleinere Unternehmen rund 6.000–7.000 €.

Wie finde ich heraus, ob mein Unternehmen selbst direkt unter NIS2 fällt?

Mit der kostenlosen Betroffenheitsprüfung des BSI (betroffenheitspruefung-nis-2.bsi.de): wenige Fragen zu Sektor, Größe und Umsatz; das Ergebnis ist rechtlich nicht bindend, aber eine gute Orientierung. Grob gilt: ab 50 Mitarbeitern oder über 10 Mio. € Jahresumsatz und Bilanzsumme in einem der 18 Sektoren — darunter auch verarbeitendes Gewerbe, Chemie und Lebensmittel. Direkt Betroffene müssen sich über das BSI-MUK-Portal registrieren; die Frist ist am 6. März 2026 abgelaufen.

Welche Aufgabe soll bei Ihnen zuerst verschwinden?

Kontakt

Schildern Sie uns Ihr Vorhaben, vom ersten KI-Assistenten bis zur Übernahme eines bestehenden Systems. Sie bekommen innerhalb von zwei Werktagen eine ehrliche Einschätzung.