Die meisten Unternehmen denken bei NIS2 an ihre eigene IT-Sicherheit — an Firewalls, Backups und Passwortrichtlinien. Dabei übersehen sie einen der kritischsten Bereiche des Gesetzes: die Lieferkette.
§30 Abs. 2 Nr. 4 des BSI-Gesetzes verpflichtet jedes betroffene Unternehmen, die Cybersicherheit seiner unmittelbaren Lieferanten und Dienstleister zu bewerten und vertraglich abzusichern. Das ist keine Empfehlung — es ist eine gesetzliche Pflicht.
Und die Realität zeigt: Die meisten sind darauf nicht vorbereitet.
75% prüfen ihre Zulieferer nicht
Laut dem Cyber Security Report 2026 verzichten 75 Prozent der Unternehmen auf regelmäßige Sicherheitsaudits bei ihren Zulieferern. Das bedeutet: Drei von vier Unternehmen haben keine Ahnung, wie es um die IT-Sicherheit ihrer wichtigsten Partner steht.
Gleichzeitig war die Lieferkette in den letzten Monaten das zentrale Einfallstor für Cyberangriffe. Kompromittierte Software-Updates, unsichere Cloud-Dienstleister, gehackte IT-Wartungsfirmen — die größten Risiken lauern oft nicht im eigenen Haus, sondern bei Dritten.
NIS2 reagiert darauf mit einer klaren Botschaft: Wer seine Lieferkette nicht prüft, haftet selbst.
Der Kaskadeneffekt — warum auch Nicht-Betroffene handeln müssen
Hier wird es besonders interessant: NIS2 betrifft nicht nur die 30.000 direkt regulierten Unternehmen. Es betrifft indirekt auch deren gesamte Lieferkette.
Ein Beispiel: Ein Automobilzulieferer mit 300 Mitarbeitern fällt als besonders wichtige Einrichtung unter NIS2. Er ist gesetzlich verpflichtet, seine Zulieferer auf Cybersicherheit zu prüfen. Also schreibt er seinen Werkzeugbauer mit 40 Mitarbeitern an: „Bitte weisen Sie nach, dass Sie grundlegende IT-Sicherheitsmaßnahmen umsetzen."
Der Werkzeugbauer fällt zwar selbst nicht direkt unter NIS2 — aber wenn er den Nachweis nicht liefern kann, verliert er den Auftrag.
Dieser Kaskadeneffekt wird dazu führen, dass weit mehr als 30.000 Unternehmen von NIS2 betroffen sind. Die Compliance-Anforderungen fließen die Lieferkette hinunter.
Was verlangt NIS2 konkret bei der Lieferkette?
Das Gesetz definiert vier zentrale Pflichten:
1. Lieferantenbewertung nach Risikoklassen
Nicht jeder Lieferant ist gleich kritisch. NIS2 verlangt eine Kategorisierung: Welche Lieferanten haben Zugang zu Ihren IT-Systemen? Welche verarbeiten Ihre Daten? Welche liefern geschäftskritische Komponenten? Kritische Lieferanten — wie Cloud-Anbieter, IT-Wartungsfirmen oder Software-Zulieferer — müssen intensiver geprüft werden als ein Büromöbellieferant.
2. Vertragliche Sicherheitsklauseln
Bestehende Verträge müssen um IT-Sicherheitsanforderungen ergänzt werden. Das umfasst: Mindeststandards für Cybersicherheit beim Lieferanten, Verpflichtung zur Meldung von Sicherheitsvorfällen, Audit-Rechte für den Auftraggeber und Regelungen zur Datenverarbeitung und Datenschutz.
3. Regelmäßige Überprüfung
Eine einmalige Bewertung reicht nicht. Kritische Lieferanten sollten mindestens jährlich neu bewertet werden, wichtige Lieferanten alle zwei Jahre. Das BSI erwartet einen dokumentierten, wiederkehrenden Prozess.
4. Dokumentation und Nachweisbarkeit
Alles muss dokumentiert sein: Welche Lieferanten wurden bewertet? Wann? Mit welchem Ergebnis? Welche Maßnahmen wurden vereinbart? Diese Dokumentation ist der Nachweis gegenüber dem BSI, dass Sie Ihre Lieferkettenpflicht ernst nehmen.
Die praktische Herausforderung
Klingt machbar? In der Theorie ja. In der Praxis stehen viele Unternehmen vor einem Berg an Arbeit:
Sie haben 20, 50 oder 100 Lieferanten. Für jeden müssen Sie einen Sicherheitsfragebogen erstellen, versenden, auswerten und dokumentieren. Dann die Verträge anpassen. Dann die Review-Zyklen einhalten. Und das alles nachweisbar für den Auditor.
Mit Excel und E-Mail wird das schnell unübersichtlich. Genau dafür gibt es digitale Lösungen.
Wie der NIS2-Autopilot Ihre Lieferkette absichert
Unser Lieferanten-Management-Modul wurde genau für diese Herausforderung gebaut:
Lieferantenregister mit Risikoklassifizierung — Erfassen Sie alle Lieferanten zentral auf der Plattform. Kategorisieren Sie nach Kritikalität: Kritisch, Wichtig oder Standard. Das System berechnet automatische Review-Termine basierend auf der Risikoklasse.
Strukturierte Bewertung — Ein standardisierter Fragebogen prüft die IT-Sicherheit jedes Lieferanten: Organisatorische Sicherheit, technische Maßnahmen, Incident-Response-Fähigkeit und vertragliche Absicherung. Jede Bewertung ergibt einen Score von 0 bis 100 Prozent.
Selbstauskunft per Link — Das Besondere: Sie müssen den Fragebogen nicht selbst für jeden Lieferanten ausfüllen. Per Klick senden Sie Ihrem Lieferanten einen Einladungslink. Der Lieferant füllt die Selbstauskunft online aus — ohne eigenen Account, ohne Kosten. Die Antworten fließen automatisch in Ihre Bewertung ein.
Vertragsvorlagen — Fertige Textbausteine für Sicherheitsklauseln, die Sie in bestehende Lieferantenverträge einfügen können. Rechtlich geprüft und auf NIS2 abgestimmt.
Automatische Erinnerungen — Das System erinnert Sie, wenn eine Neubewertung fällig wird. Kein Lieferant wird vergessen.
Audit-Trail — Jede Bewertung, jede Selbstauskunft, jede Vertragsänderung wird mit Zeitstempel dokumentiert. Lückenlos nachweisbar für das BSI.
Fazit: Lieferkettensicherheit ist kein Optional
NIS2 macht unmissverständlich klar: Cybersicherheit endet nicht an der eigenen Firewall. Wer seine Lieferanten nicht prüft, verletzt geltendes Recht — unabhängig davon, wie gut die eigene IT-Sicherheit aufgestellt ist.
Die gute Nachricht: Mit dem richtigen Werkzeug ist die Umsetzung kein Mammutprojekt. Ein strukturierter Prozess, unterstützt durch eine digitale Plattform, macht die Lieferkettenbewertung in Wochen statt Monaten machbar.
Sind Sie von NIS2 betroffen? Prüfen Sie es kostenlos in 5 Minuten — ohne Registrierung, ohne Kosten. Unser Betroffenheitscheck zeigt Ihnen sofort, ob und wie NIS2 Ihr Unternehmen betrifft.