norppa.io
Leitfäden

NIS2-Leitfaden · 11 min

NIS2 für Lieferanten: Sie sind nicht benannt, aber Ihre Kunden sind es

Die meisten Unternehmen werden nie formell als wesentliche oder wichtige Einrichtungen nach NIS2 benannt. Viele müssen die Anforderungen dennoch erfüllen. Wenn Ihre Kunden unter NIS2 fallen, macht die Richtlinie sie für die Sicherheit ihrer Lieferkette verantwortlich, und diese Verantwortung erreicht Sie über Verträge, Fragebögen und laufende Überwachung. Dieser Leitfaden erklärt, wie sich die Pflicht auf einen nicht benannten Lieferanten überträgt, was Ihre Kunden verlangen werden und wie Sie glaubwürdig antworten und daraus einen geschäftlichen Vorteil machen.

Kernaussagen

  • NIS2 muss Sie nicht benennen. Wenn Ihre Kunden im Anwendungsbereich sind, wird ihre Lieferkettenpflicht aus Artikel 21 Absatz 2 Buchstabe d zu Ihrer vertraglichen Realität.
  • Rechnen Sie mit Sicherheitsfragebögen, Nachweisen zu den Maßnahmen aus Artikel 21 Absatz 2, einer Meldeklausel für Vorfälle und zunehmend der Akzeptanz kontinuierlicher Überwachung.
  • Lieferanten, die ihre Sicherheit auf Anfrage nachweisen können, behalten Aufträge und gewinnen neue; wer das nicht kann, wird still ersetzt.

Wie NIS2 einen nie benannten Lieferanten erreicht

NIS2 gilt unmittelbar nur für Organisationen, die es nach Sektor und Größe als wesentliche oder wichtige Einrichtungen einstuft. Wenn Sie keine davon sind, schickt Ihnen keine nationale Behörde eine Anordnung. Hier hören viele Lieferanten auf zu lesen, und hier beginnt das Missverständnis.

Die Richtlinie reguliert die Lieferanten Ihrer Lieferanten nicht unmittelbar. Stattdessen macht sie jede einbezogene Einrichtung für das Cybersicherheitsrisiko in ihrer eigenen Lieferkette verantwortlich (Artikel 21 Absatz 2 Buchstabe d). Um dieser Pflicht nachzukommen, müssen Ihre Kunden die Sicherheit der Lieferanten, von denen sie abhängen, bewerten, dafür Anforderungen festlegen und sie überwachen. Wenn Sie einer dieser Lieferanten sind, wird ihre rechtliche Pflicht zu Ihrer geschäftlichen. Sie werden indirekt einbezogen, über die Beziehung und nicht über eine Benennung.

Was Ihr einbezogener Kunde tun muss, und warum es bei Ihnen landet

Artikel 21 Absatz 2 Buchstabe d verlangt von wesentlichen und wichtigen Einrichtungen, die Sicherheit der Lieferkette zu steuern, einschließlich der sicherheitsbezogenen Aspekte der Beziehung zwischen jeder Einrichtung und ihren direkten Lieferanten oder Dienstleistern. In der Praxis muss Ihr Kunde:

  • Ermitteln, welche Lieferanten für seine Dienste kritisch sind, und das Cyberrisiko jedes einzelnen bewerten.
  • Für diese Lieferanten Sicherheitsanforderungen festlegen und sie in Verträge und Auftragsverarbeitungsverträge aufnehmen.
  • Überprüfen, dass die Anforderungen erfüllt werden, nicht einmalig beim Onboarding, sondern fortlaufend.
  • Für Vorfälle einstehen, die bei einem Lieferanten entstehen, denn nach NIS2 bleibt eine durch einen Lieferanten verursachte Störung der vom Kunden zu behandelnde und zu meldende Vorfall.
  • Seiner Aufsichtsbehörde nachweisen, dass diese Lieferantenaufsicht tatsächlich stattfindet.

Was Ihre Kunden von Ihnen verlangen werden

Mit zunehmender Reife dieser Aufsicht nähern sich die Anfragen an Lieferanten einem wiedererkennbaren Satz an:

  • Einen Sicherheitsfragebogen oder eine Selbstbewertung, oft abgebildet auf die Maßnahmen aus Artikel 21 Absatz 2 oder auf einen Standard wie ISO 27001.
  • Nachweise hinter den Antworten: Richtlinien, Zertifikate und aktuelle Test- oder Scan-Ergebnisse statt unbelegter Behauptungen.
  • Eine Meldeklausel, die Sie verpflichtet, den Kunden rasch zu informieren, wenn ihn etwas betrifft, damit er seine eigenen Meldefristen einhalten kann.
  • Vertragliche Sicherheitsanforderungen und, für kritische Lieferanten, ein Auditrecht oder das Recht, unabhängige Nachweise anzufordern.
  • Die Akzeptanz kontinuierlicher externer Überwachung, denn ein im letzten Jahr beantworteter Stichtagsfragebogen genügt einer fortlaufenden Pflicht nicht mehr.

Die Maßnahmen aus Artikel 21 Absatz 2, die Ihre Kunden bei Ihnen erwarten

Auch wenn Artikel 21 Absatz 2 Ihren Kunden bindet und nicht Sie, sind seine zehn Maßnahmen die Vorlage, die die meisten Käufer wiederverwenden, wenn sie Anforderungen an Lieferanten stellen. Es lohnt sich, auf Ihre eigene, angemessene Weise zeigen zu können, dass Sie jede davon adressieren:

Risikomanagement und Richtlinien

Ein dokumentierter, regelmäßig überprüfter Ansatz für Informationssicherheitsrisiken, verantwortet auf Leitungsebene. (Art. 21 Abs. 2 Buchst. a)

Behandlung von Vorfällen

Ein definierter Prozess zur Erkennung, Reaktion und Auswertung von Sicherheitsvorfällen. (Art. 21 Abs. 2 Buchst. b)

Betriebskontinuität und Backups

Backups, Wiederherstellungspläne und Krisenmanagement, damit der Dienst eine Störung übersteht. (Art. 21 Abs. 2 Buchst. c)

Lieferkettensicherheit

Ihre eigene Aufsicht über die Subunternehmer und Dienstleister, von denen Sie abhängen; die Pflicht setzt sich in der Kette fort. (Art. 21 Abs. 2 Buchst. d)

Sichere Beschaffung, Entwicklung und Wartung

Sicherheit eingebaut in die Art, wie Sie Systeme beschaffen, bauen und patchen, einschließlich Schwachstellenbehandlung und -offenlegung. (Art. 21 Abs. 2 Buchst. e)

Bewertung der Wirksamkeit

Regelmäßige Tests und Überprüfungen, um zu bestätigen, dass die Maßnahmen tatsächlich wirken. (Art. 21 Abs. 2 Buchst. f)

Cyberhygiene und Schulung

Grundlegende Praktiken und Sensibilisierung der Mitarbeitenden, aktuell gehalten. (Art. 21 Abs. 2 Buchst. g)

Kryptografie und Verschlüsselung

Angemessener Einsatz von Kryptografie zum Schutz von Daten bei der Übertragung und im Ruhezustand. (Art. 21 Abs. 2 Buchst. h)

Zugriffskontrolle und Asset-Management

Ihre Assets kennen und kontrollieren, wer worauf zugreifen kann. (Art. 21 Abs. 2 Buchst. i)

Mehr-Faktor-Authentifizierung und sichere Kommunikation

MFA sowie gesicherte Sprach-, Video-, Text- und Notfallkommunikation, wo relevant. (Art. 21 Abs. 2 Buchst. j)

Die Vorfallmeldung läuft in beide Richtungen

NIS2 gibt einbezogenen Einrichtungen eine enge Taktung: eine Frühwarnung binnen 24 Stunden, eine ausführlichere Meldung binnen 72 Stunden und einen Abschlussbericht binnen eines Monats (Artikel 23). Sie können diese Taktung nicht einhalten, wenn ein Lieferant auf schlechten Nachrichten sitzt. Daher verlangen ihre Verträge zunehmend, dass Sie sie unverzüglich informieren, wenn ein Vorfall die von Ihnen erbrachten Dienste betrifft oder betreffen könnte.

Für einen nicht benannten Lieferanten ist die praktische Folge einfach: Sie brauchen einen eigenen Vorfallprozess mit klarer interner Eskalation und einem definierten Weg, betroffene Kunden zu informieren, damit ein Problem auf Ihrer Seite nicht zur versäumten Frist auf deren Seite wird. Ein Lieferant, der gut erkennt, eindämmt und kommuniziert, ist weit leichter zu halten als einer, der verstummt.

Eine Anforderung, die man als Vorteil behandeln sollte

Es ist leicht, all dies als Last aus der Regulierung eines anderen zu lesen. Die erfolgreichsten Lieferanten lesen es andersherum. Da immer mehr Käufer unter NIS2 fallen und ihre Lieferkettenprüfungen verschärfen, wird die Fähigkeit, einen Sicherheitsfragebogen schnell und mit Nachweisen zu beantworten, zum Grund, Geschäft zu gewinnen und zu halten, statt zu einer Hürde.

Das Gegenteil gilt ebenso und leiser: Lieferanten, die ihre Lage nicht nachweisen können, werden im Einkauf zunehmend aussortiert, oft ohne Begründung. Den Fragen zuvorzukommen, bevor ein Kunde fragt, macht aus NIS2 statt Compliance-Kosten ein Verkaufsargument.

Wie Sie glaubwürdig antworten

Sie müssen nicht über Nacht zur wesentlichen Einrichtung werden. Sie müssen für die Fragen bereit sein und Ihre Antworten belegen können. Ein angemessener Weg:

  • Kennen Sie zuerst Ihre eigene externe Lage: Domains, Zertifikate, E-Mail-Authentifizierung, exponierte Dienste und bekannte Schwachstellen, also genau das, worauf die Bewertung eines Kunden schaut.
  • Schließen Sie die üblichen Lücken, die Fragebögen und Scans aufzeigen: erzwingen Sie TLS 1.2+, veröffentlichen Sie SPF, DKIM und DMARC, patchen Sie zügig, verlangen Sie MFA und entfernen Sie exponierte Admin-Oberflächen.
  • Halten Sie die Grundlagen schriftlich fest: eine kurze Informationssicherheitsrichtlinie, einen Vorfallprozess und eine Aufzeichnung, wer für Sicherheit verantwortlich ist. Nachweis schlägt Behauptung.
  • Halten Sie Ihre Antworten aktuell. Behandeln Sie Nachweise als fortlaufend, denn so behandeln Ihre Kunden sie zunehmend.
  • Wenn Sie größere oder regulierte Käufer bedienen, ziehen Sie ISO 27001 oder Gleichwertiges als anerkannte Kurzform in Betracht, aber warten Sie damit nicht, um anzufangen.

Quelle: Richtlinie (EU) 2022/2555 (NIS2), Artikel 21 Absatz 2 Die Mitgliedstaaten setzen NIS2 durch nationales Recht um, klären Sie die genauen Lieferantenerwartungen daher mit Ihren Kunden und, falls nötig, mit Ihrer zuständigen Behörde.

Wie norppa.io hilft

norppa.io gibt einem nicht benannten Lieferanten denselben kontinuierlichen, nachweisgestützten Blick auf seine Sicherheit, den ein NIS2-Kunde nun erwartet. Ihre Domains werden täglich über mehr als hundert Kontrollpunkte geprüft, die zeitkritischen alle sechs Stunden, und jeder Befund wird dem NIS2-Artikel zugeordnet, auf den er sich bezieht, sodass Sie einen Fragebogen mit aktuellen Nachweisen statt mit Behauptungen beantworten können.

Der Selbstbewertungsfragebogen erfasst Ihre Prozess- und Vertragskontrollen, und jede Antwort wird gegen das aktuelle technische Profil gestellt, sodass Sie, wenn das Einkaufsteam eines Kunden Nachweise verlangt, ein klares, belegtes Bild übergeben können statt einer Tabelle, die letzten Frühling stimmte.

Seien Sie bereit, bevor Ihre Kunden fragen

Sehen Sie sich in etwa zwei Minuten einen Beispiel-Lieferantenbericht an (Befunde, NIS2-Artikelzuordnung und Nachweise).

Beispielbericht ansehen
Beispiel-Dashboard ansehen

Zuletzt geprüft: 19. Juni 2026

Dieser Leitfaden bietet allgemeine Informationen zum EU-Recht, keine Rechtsberatung. NIS2 wird durch das nationale Umsetzungsgesetz jedes EU-Mitgliedstaats wirksam, das im Detail abweichen kann. Prüfen Sie die für Sie geltenden Pflichten mit Ihrer zuständigen Behörde oder Ihrem Rechtsbeistand.

Verwandte Leitfäden

Wie Sie NIS2 erfüllen: ein Schritt-für-Schritt-Fahrplan

Die Schritte zur NIS2-Konformität in der richtigen Reihenfolge: Anwendungsbereich bestätigen, registrieren, Verantwortung der Leitung (Art. 20), die Maßnahmen nach Art. 21 Abs. 2, Lieferkettensicherheit, Vorfallmeldung (Art. 23) und fortlaufende, nachgewiesene Absicherung.

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.

NIS2 und die Lieferkettenpflicht: was das in der Praxis bedeutet

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

NIS2 Art. 21(2): Sicherheits-Checkliste für Lieferanten

Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.

NIS2-Vorfallmeldung: die 24- und 72-Stunden-Fristen erklärt

Was ein erheblicher Vorfall ist, der Zeitplan nach Artikel 23 (24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht nach einem Monat) und wann der Vorfall eines Lieferanten zu Ihrer Pflicht wird.

NIS2 und die Verantwortung der Leitung: Was Vorstand und Geschäftsführung wissen müssen

Was NIS2 vom Leitungsorgan erwartet: Genehmigungs- und Aufsichtspflichten, persönliche Haftung (Art. 20), Schulung, Vorstands-KPIs und die Sanktionen nach Art. 34.

ISO 27001 und NIS2: Was Ihr ISMS bereits abdeckt, und die Lücken, die bleiben

Wenn Sie ISO 27001 halten: was auf NIS2 übertragbar ist und was nicht (gesetzliche Vorfallmeldung, Haftung der Leitung, Registrierung und kontinuierliche Lieferkettensicherung) und wie Sie die Lücke schließen.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.

DSGVO vs. NIS2: Überschneidungen, Unterschiede und wann ein Vorfall beide auslöst

Wie sich DSGVO und NIS2 unterscheiden und überschneiden, wann ein Vorfall beide auslöst (DSGVO Art. 33 72 h an die Datenschutzbehörde vs. NIS2 Art. 23 24 h/72 h/ein Monat an das CSIRT), die Art.-35-Kooperation und das Verbot des doppelten Bußgelds, und was beide für die Lieferanten-Sorgfaltsprüfung bedeuten.

Der EU Cyber Resilience Act (CRA): Anwendungsbereich, Zeitplan und was er für Ihre Lieferkette bedeutet

Was der CRA verlangt, seine gestaffelten Termine (in Kraft 2024, Meldung Sep. 2026, volle Konformität Dez. 2027), wer in den Anwendungsbereich fällt und warum reine SaaS oft nicht, wie er NIS2 ergänzt und was er für Beschaffung und Lieferanten-Sorgfaltsprüfung bedeutet.

Die EU-KI-Verordnung: Risikostufen, Zeitplan und die Pflichten der Betreiber (Artikel 26)

Was die EU-KI-Verordnung verlangt: die Risikostufen, die gestaffelten Termine (in Kraft 2024, verboten Feb. 2025, GPAI Aug. 2025, Hochrisiko Aug. 2026), die Betreiberpflichten nach Art. 26, wie sie sich mit NIS2 und der DSGVO stapelt und was sie für die KI-Beschaffung bedeutet.