TGB Automation

Suche auf tgb-automation.de

Tippe einen Begriff — z.B. „Wallbox 11 kW", „2,5 mm²", „FI Typ B". Drücke Esc zum Schließen.

NIS2 / NIS2UmsuCG

NIS2 für Zulieferer: Was Ihre Kunden jetzt vertraglich verlangen dürfen

Kurzantwort

Auch wer selbst unter keiner NIS2-Schwelle liegt, bekommt das Gesetz zu spüren — über die Kunden: § 30 Absatz 2 Nummer 4 BSIG verpflichtet betroffene Einrichtungen ausdrücklich zur Sicherheit ihrer Lieferkette. In der Praxis heißt das Security-Fragebögen, Vertragsklauseln und Mindestanforderungen an Zulieferer — vom Schaltschrankbauer über den Komponenten-Lieferanten bis zum Fernwartungs-Dienstleister. Wer die typischen Anforderungen kennt und ein kleines Grund-Set vorhält, beantwortet Fragebögen in Stunden statt Wochen.

Grundlage: Redaktionelle Einordnung · Quellen: EUR-Lex, BSI, IHK · NIS2 / NIS2UmsuCG

Direkt weiter zum passenden Thema

Passende Folgeberechnungen für diese Parameter-Kombination.

Warum erreichen mich NIS2-Fragebögen, obwohl ich nicht betroffen bin?

Die Logik ist einfach: Ihr Kunde haftet für die Sicherheit seiner Lieferkette und muss der Aufsicht zeigen, dass er seine Dienstleister und Zulieferer bewertet. Also reicht er die Anforderungen weiter — als Fragebogen bei der Lieferantenqualifikation, als Anhang zum Rahmenvertrag oder als Auditrecht. Rechtlich verpflichtet Sie erst der Vertrag, nicht das Gesetz; wirtschaftlich ist die Antwort selten optional, wenn der Kunde eine „wichtige Einrichtung“ ist und Alternativlieferanten hat.

Besonders im Fokus stehen Zulieferer mit Zugriff auf Systeme oder Anlagen des Kunden: Fernwartung, Inbetriebnahme mit Notebook im Kundennetz, gelieferte Steuerungen mit Netzwerk-Schnittstelle. Hier verlangen Kunden regelmäßig konkrete technische Zusagen statt bloßer Selbstauskünfte.

Was steht typischerweise in so einem Lieferanten-Fragebogen?

Die Fragen wiederholen sich über Kunden hinweg erstaunlich zuverlässig, weil alle denselben § 30-Katalog abbilden: Gibt es einen Verantwortlichen für Informationssicherheit? Wie werden Sicherheitsvorfälle erkannt und gemeldet — und in welcher Frist erfährt der Kunde davon? Werden Systeme gepatcht, Backups getestet, Zugänge mit Mehrfaktor-Authentifizierung geschützt? Wie sind Fernwartungszugänge abgesichert? Gibt es Schulungen und geregelte Vertretungen? Wer die Tabelle unten als Grund-Set etabliert, deckt den Kern fast jedes Fragebogens ab.

Realistisch bleiben sollte man bei den Zusagen: Eine 24-Stunden-Meldefrist an den Kunden ist nur zusagbar, wenn intern jemand Vorfälle überhaupt binnen Stunden erkennt und bewerten kann. Lieber eine ehrliche 72-Stunden-Zusage mit funktionierendem Prozess als eine sportliche Frist, die im Ernstfall reißt und Vertragsstrafen auslöst.

Welches Mindest-Set lohnt sich unabhängig vom Kundendruck?

Sechs Maßnahmen bilden das Fundament, das Fragebögen besteht und den eigenen Betrieb real schützt: ein benannter Sicherheits-Verantwortlicher mit Vertretung; Mehrfaktor-Authentifizierung auf allen extern erreichbaren Zugängen einschließlich Fernwartung; ein Patch-Rhythmus mit dokumentierten Ausnahmen; getestete, getrennte Backups; ein einseitiger Melde- und Notfallplan mit Kundenkontakten; und Basis-Schulungen fürs Team. Das ist bewusst kein ISMS — aber es ist die Substanz, auf die sich jedes spätere Zertifikat aufsetzen lässt, falls ein Schlüsselkunde eines fordert.

Typische Kundenanforderungen — und die pragmatische Antwort

Kundenanforderung (aus § 30 abgeleitet)HintergrundPragmatische Antwort des Zulieferers
Benannter Ansprechpartner für InformationssicherheitGovernance-Nachweis der LieferketteVerantwortlichen + Vertretung benennen, Kontakt im Vertrag hinterlegen
Meldung von Sicherheitsvorfällen mit FristzusageKunde hat eigene 24 h-/72 h-Meldepflicht ans BSIRealistische Frist zusagen (z. B. 72 h), internen Erkennungs-/Meldeweg dokumentieren
MFA und Zugriffskontrolle, besonders bei Fernwartung§ 30: Zugriffskonzepte, AuthentifizierungMFA auf VPN/Fernwartung, personalisierte Konten, Session-Freigabe durch den Kunden
Patch- und Schwachstellen-Management§ 30: Umgang mit SchwachstellenPatch-Rhythmus definieren; für gelieferte Steuerungen Update-Weg und Support-Zeitraum benennen
Backup- und Notfallkonzept§ 30: BetriebskontinuitätGetestete Backups, Wiederanlauf-Skizze; bei Projektdaten: Aufbewahrung klären
Schulung / Cyberhygiene der Mitarbeiter§ 30: Schulungspflicht spiegelt sich in der KetteJährliche Basis-Schulung dokumentieren (reicht als Nachweis meist aus)

Anforderungen abgeleitet aus § 30 Abs. 2 BSIG (Lieferketten-Sicherheit); die konkrete Ausgestaltung ist Vertragssache zwischen Kunde und Zulieferer.

Häufige Fragen

Fachliche Details zu dieser Parameter-Kombination

Kann mein Kunde mich zwingen, NIS2 vollständig umzusetzen?
Gesetzlich nicht — die NIS2-Pflichten treffen ihn, nicht Sie. Vertraglich kann er Anforderungen aber zur Bedingung machen, und bei wichtigen Kunden läuft es wirtschaftlich darauf hinaus. Verhandelbar ist der Umfang: Ein dokumentiertes Mindest-Set plus ehrliche Meldezusage ist für die meisten Einkäufer akzeptabler als das Versprechen eines Voll-ISMS.
Muss ich als Zulieferer Vorfälle ans BSI melden?
Nein — die gesetzliche Meldepflicht ans BSI trifft nur registrierte Einrichtungen. Ihre Meldung geht an den Kunden, damit dieser seine eigene 24-Stunden-Frist halten kann. Genau deshalb verlangen Kunden vertragliche Fristzusagen: Ihr Vorfall kann seine Meldepflicht auslösen.
Hilft mir eine Zertifizierung (ISO 27001, TISAX) im Fragebogen-Alltag?
Ja, sie ersetzt viele Einzelnachweise auf einen Schlag — lohnt aber erst, wenn mehrere Schlüsselkunden sie faktisch voraussetzen. Für die meisten kleinen Zulieferer ist das dokumentierte Mindest-Set der bessere erste Schritt; ein späteres Zertifikat baut direkt darauf auf.
Betrifft mich zusätzlich der Cyber Resilience Act?
Wenn Sie Produkte mit digitalen Elementen unter eigener Marke liefern (Steuerungen, Geräte, Software), ja — dann kommen die CRA-Herstellerpflichten hinzu, unabhängig von NIS2. Die Kombination ist häufig: NIS2-Fragebogen vom Kunden für Ihren Betrieb, CRA-Pflichten für Ihr Produkt.

Quellen und Rechtstexte

EU-Verordnungen und deutsche Gesetze sind amtliche Werke; maßgeblich ist stets die aktuelle Fassung auf EUR-Lex bzw. im Bundesgesetzblatt. Diese Seite ordnet redaktionell ein und ersetzt keine Rechtsberatung.

Verwandte Berechnungen

Weitere Rechner-Seiten mit inhaltlichem Bezug zu dieser Berechnung.

Redaktionelle Einordnung, zuletzt aktualisiert am 2026-07-07. Keine Rechtsberatung; verbindlich sind die verlinkten Rechtstexte und die Einschätzung der zuständigen Stellen.