Zum Hauptinhalt springen
DemiCloud LogoDemiCloud

NIS-2 durch die Hintertür: Warum auch Zulieferer betroffen sind

Viele Unternehmen atmen auf, wenn sie die Schwellenwerte von NIS-2 lesen: 50 Mitarbeiter, 10 Millionen Euro Umsatz.[1] Wer darunter liegt, fühlt sich außen vor. Doch genau hier liegt das Missverständnis. NIS-2 erreicht auch Betriebe, die selbst gar keine direkte Pflicht haben, nämlich über ihre Kunden.

Die direkte Betroffenheit ist nur die halbe Wahrheit

Direkt unter NIS-2 fallen Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in 18 festgelegten Sektoren, von Energie über Produktion bis Logistik und Gesundheit. Diese Unternehmen müssen ihre IT-Sicherheit auf einen gesetzlich vorgegebenen Stand bringen.

Dazu gehört eine Pflicht, die leicht übersehen wird: Sie müssen auch die Sicherheit ihrer Lieferkette absichern. Und Ihre Lieferkette, das sind Sie, wenn Sie einen solchen Betrieb beliefern oder für ihn arbeiten.

Was das Gesetz zur Lieferkette sagt

§ 30 des BSIG verlangt von betroffenen Unternehmen ausdrücklich, die Risiken in ihrer Lieferkette zu steuern. Sie müssen die Sicherheit bei ihren direkten Zulieferern und Dienstleistern bewerten und absichern.[2] Das Gesetz nimmt also nicht nur das betroffene Unternehmen in die Pflicht, sondern zwingt es, seine Partner mit ins Boot zu holen.

Für Sie als Zulieferer oder IT-Dienstleister bedeutet das: Ihr Kunde muss Ihnen auf die Finger schauen, ob er will oder nicht. Wenn Ihre Systeme eine Schwachstelle sind, ist das auch sein Problem, und für dieses Problem haftet inzwischen seine Geschäftsführung persönlich.[3]

Was betroffene Auftraggeber jetzt von Ihnen verlangen

In der Praxis kommt das selten als freundliche Bitte. Es kommt als Anforderung, oft in einer dieser Formen:

Sicherheitsfragebögen. Ihr Auftraggeber schickt Ihnen einen Katalog mit Fragen zu Ihrer IT. Wie sichern Sie Daten? Nutzen Sie Mehr-Faktor-Anmeldung? Wie gehen Sie mit Sicherheitsvorfällen um? Diese Fragebögen werden gerade zum Standard, und die Antworten entscheiden mit, ob Sie Lieferant bleiben.

Vertragsklauseln. Neue Verträge und Verlängerungen enthalten zunehmend Mindeststandards für Ihre IT-Sicherheit, Meldepflichten bei Vorfällen und manchmal sogar das Recht des Auftraggebers, Ihre Maßnahmen zu prüfen.

Nachweise. Manche Kunden verlangen Zertifikate oder zumindest eine belastbare Selbstauskunft. Eine mündliche Zusage reicht ihnen nicht mehr, weil sie selbst gegenüber dem BSI nachweispflichtig sind.

Was passiert, wenn Sie nicht reagieren

Die unbequeme Wahrheit: Ihr Auftraggeber hat keine Wahl. Er muss seine Lieferkette absichern, sonst riskiert er Bußgelder und die persönliche Haftung seiner Geschäftsführung. Wenn Sie die geforderten Nachweise nicht liefern, wird er sich nach einem Lieferanten umsehen, der es kann.

Es geht hier also nicht um eine Pflicht, die der Staat Ihnen auferlegt. Es geht um Aufträge, die Sie verlieren können. Das macht das Thema für viele Betriebe dringlicher als jede gesetzliche Regelung.

Was Sie konkret tun sollten

Sie müssen kein eigenes Sicherheitsteam aufbauen. In den meisten Fällen reichen solide Grundlagen, ordentlich umgesetzt und dokumentiert.

  1. Prüfen Sie, welche Ihrer Kunden selbst unter NIS-2 fallen. Das sind die betroffenen Auftraggeber in diesen Branchen. Genau von ihnen werden die Fragebögen und Vertragsklauseln kommen, deshalb lohnt es sich, dort zuerst vorbereitet zu sein.
  2. Schaffen Sie die Basis. Verlässliche Backups, Mehr-Faktor-Anmeldung, aktuelle Updates und ein einfacher Notfallplan decken einen großen Teil der üblichen Fragebögen ab.
  3. Nehmen Sie den Fragebogen ernst. Füllen Sie ihn ehrlich aus. Lücken, die Sie offen benennen und mit einem Plan hinterlegen, wirken seriöser als geschönte Antworten, die beim ersten Audit auffliegen.
  4. Holen Sie sich Unterstützung, wo es unklar wird. Viele Anforderungen klingen technischer, als sie sind. Eine kurze Bestandsaufnahme spart oft Wochen an Rätselraten.

Fazit

NIS-2 betrifft Sie womöglich, ohne dass Sie es im Gesetzestext finden. Die Pflicht kommt nicht vom BSI, sondern von Ihren Auftraggebern, und sie kommt schneller, als die meisten denken. Wer jetzt die Grundlagen schafft, beantwortet den nächsten Sicherheitsfragebogen souverän statt unter Zeitdruck.

Häufige Fragen

Mein Kunde hat mir einen Sicherheitsfragebogen geschickt. Muss ich den ausfüllen? Rechtlich zwingt Sie niemand dazu. Praktisch hängt der Auftrag daran: Ihr Kunde braucht die Antworten, um seine eigene NIS-2-Pflicht zu erfüllen. Wer nicht antwortet, fällt als Lieferant aus.

Ich habe weniger als 50 Mitarbeiter. Bin ich trotzdem in der Pflicht? Direkt nach dem Gesetz meist nicht. Über die Lieferkette aber schon, sobald Sie ein betroffenes Unternehmen beliefern. Die Anforderung kommt dann nicht vom Staat, sondern aus dem Vertrag mit Ihrem Kunden.

Was kostet es, die Anforderungen zu erfüllen? Das hängt davon ab, wo Sie heute stehen. Oft sind die Grundlagen schneller geschaffen als befürchtet. Ein Betroffenheits-Check zeigt Ihnen in einem Termin, was wirklich nötig ist und was nicht.

Unsicher, ob und wie NIS-2 Sie betrifft? Im Betroffenheits-Check klären wir Ihre Situation und Sie erhalten eine klare Empfehlung für die nächsten Schritte.

Quellen

  1. Schwellenwerte und betroffene Einrichtungen: § 28 BSIG.
  2. Sicherheit der Lieferkette: § 30 Abs. 2 Nr. 4 BSIG.
  3. Pflichten und Überwachung durch die Geschäftsleitung: § 38 BSIG.

Unsicher, ob und wie NIS-2 Sie betrifft?

Im Betroffenheits-Check klären wir Ihre Situation und Sie erhalten eine klare Empfehlung für die nächsten Schritte.

Zum Betroffenheits-Check
DemiCloud LogoDemiCloud

Performance ist kein Zufall. Webentwicklung und digitale Beratung nach dem DEMI-Prinzip für UnternehmerInnen, die Klartext schätzen.

DemiCloud
Lederinstr. 6
94065 Waldkirchen
E-Mail: info@demicloud.com

Navigation

Rechtliches

Die andere Hälfte des Internets