NIS2 / NIS2UmsuCG
NIS2 für Zulieferer: Was Ihre Kunden jetzt vertraglich verlangen dürfen
Kurzantwort
Auch wer selbst unter keiner NIS2-Schwelle liegt, bekommt das Gesetz zu spüren — über die Kunden: § 30 Absatz 2 Nummer 4 BSIG verpflichtet betroffene Einrichtungen ausdrücklich zur Sicherheit ihrer Lieferkette. In der Praxis heißt das Security-Fragebögen, Vertragsklauseln und Mindestanforderungen an Zulieferer — vom Schaltschrankbauer über den Komponenten-Lieferanten bis zum Fernwartungs-Dienstleister. Wer die typischen Anforderungen kennt und ein kleines Grund-Set vorhält, beantwortet Fragebögen in Stunden statt Wochen.
Grundlage: Redaktionelle Einordnung · Quellen: EUR-Lex, BSI, IHK · NIS2 / NIS2UmsuCG
Direkt weiter zum passenden Thema
Passende Folgeberechnungen für diese Parameter-Kombination.
Warum erreichen mich NIS2-Fragebögen, obwohl ich nicht betroffen bin?
Die Logik ist einfach: Ihr Kunde haftet für die Sicherheit seiner Lieferkette und muss der Aufsicht zeigen, dass er seine Dienstleister und Zulieferer bewertet. Also reicht er die Anforderungen weiter — als Fragebogen bei der Lieferantenqualifikation, als Anhang zum Rahmenvertrag oder als Auditrecht. Rechtlich verpflichtet Sie erst der Vertrag, nicht das Gesetz; wirtschaftlich ist die Antwort selten optional, wenn der Kunde eine „wichtige Einrichtung“ ist und Alternativlieferanten hat.
Besonders im Fokus stehen Zulieferer mit Zugriff auf Systeme oder Anlagen des Kunden: Fernwartung, Inbetriebnahme mit Notebook im Kundennetz, gelieferte Steuerungen mit Netzwerk-Schnittstelle. Hier verlangen Kunden regelmäßig konkrete technische Zusagen statt bloßer Selbstauskünfte.
Was steht typischerweise in so einem Lieferanten-Fragebogen?
Die Fragen wiederholen sich über Kunden hinweg erstaunlich zuverlässig, weil alle denselben § 30-Katalog abbilden: Gibt es einen Verantwortlichen für Informationssicherheit? Wie werden Sicherheitsvorfälle erkannt und gemeldet — und in welcher Frist erfährt der Kunde davon? Werden Systeme gepatcht, Backups getestet, Zugänge mit Mehrfaktor-Authentifizierung geschützt? Wie sind Fernwartungszugänge abgesichert? Gibt es Schulungen und geregelte Vertretungen? Wer die Tabelle unten als Grund-Set etabliert, deckt den Kern fast jedes Fragebogens ab.
Realistisch bleiben sollte man bei den Zusagen: Eine 24-Stunden-Meldefrist an den Kunden ist nur zusagbar, wenn intern jemand Vorfälle überhaupt binnen Stunden erkennt und bewerten kann. Lieber eine ehrliche 72-Stunden-Zusage mit funktionierendem Prozess als eine sportliche Frist, die im Ernstfall reißt und Vertragsstrafen auslöst.
Welches Mindest-Set lohnt sich unabhängig vom Kundendruck?
Sechs Maßnahmen bilden das Fundament, das Fragebögen besteht und den eigenen Betrieb real schützt: ein benannter Sicherheits-Verantwortlicher mit Vertretung; Mehrfaktor-Authentifizierung auf allen extern erreichbaren Zugängen einschließlich Fernwartung; ein Patch-Rhythmus mit dokumentierten Ausnahmen; getestete, getrennte Backups; ein einseitiger Melde- und Notfallplan mit Kundenkontakten; und Basis-Schulungen fürs Team. Das ist bewusst kein ISMS — aber es ist die Substanz, auf die sich jedes spätere Zertifikat aufsetzen lässt, falls ein Schlüsselkunde eines fordert.
Typische Kundenanforderungen — und die pragmatische Antwort
| Kundenanforderung (aus § 30 abgeleitet) | Hintergrund | Pragmatische Antwort des Zulieferers |
|---|---|---|
| Benannter Ansprechpartner für Informationssicherheit | Governance-Nachweis der Lieferkette | Verantwortlichen + Vertretung benennen, Kontakt im Vertrag hinterlegen |
| Meldung von Sicherheitsvorfällen mit Fristzusage | Kunde hat eigene 24 h-/72 h-Meldepflicht ans BSI | Realistische Frist zusagen (z. B. 72 h), internen Erkennungs-/Meldeweg dokumentieren |
| MFA und Zugriffskontrolle, besonders bei Fernwartung | § 30: Zugriffskonzepte, Authentifizierung | MFA auf VPN/Fernwartung, personalisierte Konten, Session-Freigabe durch den Kunden |
| Patch- und Schwachstellen-Management | § 30: Umgang mit Schwachstellen | Patch-Rhythmus definieren; für gelieferte Steuerungen Update-Weg und Support-Zeitraum benennen |
| Backup- und Notfallkonzept | § 30: Betriebskontinuität | Getestete Backups, Wiederanlauf-Skizze; bei Projektdaten: Aufbewahrung klären |
| Schulung / Cyberhygiene der Mitarbeiter | § 30: Schulungspflicht spiegelt sich in der Kette | Jährliche Basis-Schulung dokumentieren (reicht als Nachweis meist aus) |
Anforderungen abgeleitet aus § 30 Abs. 2 BSIG (Lieferketten-Sicherheit); die konkrete Ausgestaltung ist Vertragssache zwischen Kunde und Zulieferer.
Häufige Fragen
Fachliche Details zu dieser Parameter-Kombination
Kann mein Kunde mich zwingen, NIS2 vollständig umzusetzen?
Muss ich als Zulieferer Vorfälle ans BSI melden?
Hilft mir eine Zertifizierung (ISO 27001, TISAX) im Fragebogen-Alltag?
Betrifft mich zusätzlich der Cyber Resilience Act?
Quellen und Rechtstexte
- BSI — NIS-2: Pflichten regulierter Unternehmen
- OpenKRITIS — Meldepflichten nach BSIG
- ibf — NIS-2-Richtlinie und der Maschinenbau
EU-Verordnungen und deutsche Gesetze sind amtliche Werke; maßgeblich ist stets die aktuelle Fassung auf EUR-Lex bzw. im Bundesgesetzblatt. Diese Seite ordnet redaktionell ein und ersetzt keine Rechtsberatung.
Verwandte Berechnungen
Weitere Rechner-Seiten mit inhaltlichem Bezug zu dieser Berechnung.
Alle Rechner
Redaktionelle Einordnung, zuletzt aktualisiert am 2026-07-07. Keine Rechtsberatung; verbindlich sind die verlinkten Rechtstexte und die Einschätzung der zuständigen Stellen.