Bisher war Cybersicherheit in der Lieferkette eine Vertrauensfrage. Man kannte sich, man verlängerte den Vertrag. NIS2 verändert diese Logik: Wer Teil einer regulierten Wertschöpfungskette ist, muss seinen Sicherheitsstatus belegen können — nicht weil die Behörde fragt, sondern weil die Geschäftsbeziehung das verlangt.
Das gilt in beide Richtungen: Auftraggeber müssen kritische Lieferanten nachvollziehbar bewerten. Auftragnehmer müssen auskunftsfähig sein — unabhängig davon, ob sie selbst direkt unter NIS2 fallen.
Wer die Entwicklung von Nachhaltigkeits- und ESG-Anforderungen in der Lieferkette beobachtet hat, kennt diesen Mechanismus: Was als freiwillige Selbstverpflichtung begann, wurde zur Ausschreibungsbedingung, dann zur Vertragsklausel, dann zur gesetzlichen Pflicht. Der Lieferkettensorgfaltspflichtengesetz-Prozess hat gezeigt, wie schnell regulatorische Anforderungen aus einem Segment in die gesamte Wertschöpfungskette diffundieren.
NIS2 folgt demselben Muster — für digitale Sicherheit. Die Richtlinie ist nicht der Endpunkt, sondern die regulatorische Basis, auf der weitere Sorgfaltspflichten aufbauen werden. DORA für den Finanzsektor, der Cyber Resilience Act für Produkte, branchenspezifische Anforderungen in Energie, Gesundheit und Logistik — die Richtung ist eindeutig.
Für Unternehmen, die heute eine belastbare Nachweisgrundlage aufbauen, ergibt sich daraus ein struktureller Vorteil: schnellere Qualifizierungsprozesse, weniger Nachfragen im Vertrieb, belastbarere Kundenbeziehungen. Wer wartet, wird diesen Aufbau unter Zeitdruck nachholen — und der erste Fragebogen eines Kunden ist selten der komfortabelste Moment dafür.
§30 BSIG zählt Lieferkettensicherheit ausdrücklich zu den Risikomanagement-Maßnahmen — einschließlich sicherheitsbezogener Beziehungen zu unmittelbaren Anbietern und Diensteanbietern. Das BSI hat das operationalisiert: bwE und wE müssen Zulieferer vertraglich zur Einhaltung von Sicherheitsmaßnahmen verpflichten und sich das nachweisen lassen. Unter Umständen bedeutet §30 BSIG, dass bwE und wE nicht mehr mit jedem Anbieter zusammenarbeiten können, ohne Pflichtverstöße zu riskieren.
Welche Anbieter oder Diensteanbieter sind für Prozesse, Daten oder Verfügbarkeit kritisch?
Welche technischen, organisatorischen oder vertraglichen Nachweise liegen vor?
Welche offenen Punkte bleiben, welche Auflagen werden gesetzt, wann wird erneut bewertet?
Cloud-, SaaS- und Managed-Service-Modelle erleichtern Teile der Nachweisführung. Anbieter liefern Zertifizierungen, standardisierte Dokumentation und technische Kontrollen. Das ist nützlich — deckt aber nicht ab, was das Unternehmen intern verantwortet: Konfiguration, Berechtigungen, Datenklassifikation, Vorfallprozess, Restrisikobewertung. Digitale Souveränität heißt in diesem Kontext nicht Cloud-Verzicht, sondern: Abhängigkeiten, Zugriffe und Verantwortungsgrenzen so zu kennen, dass Entscheidungen auch ohne Bauchgefühl erklärt werden können.
Cloudanbieter sind nicht verantwortlich für das, was ein Unternehmen falsch konfiguriert, zu weit freigibt oder nicht dokumentiert. Ein ISO-27001-Zertifikat des Anbieters beantwortet keine Fragen zur eigenen Konfiguration, Berechtigungsstruktur oder Restrisikobewertung.
NIS2-betroffene Unternehmen müssen ihre kritischen Lieferanten bewerten — und geben diese Anforderung wirtschaftlich weiter, auch wenn der Lieferant selbst nicht unter §28 BSIG fällt. Der Lieferant wird dadurch nicht automatisch NIS2-pflichtig. Er wird erklärungsbedürftig.
Direkte Verpflichtung: Das BSI kann prüfen, Bußgelder verhängen, Maßnahmen anordnen — aber nur gegenüber bwE und wE.
Indirekte Verpflichtung: Kommt vertraglich vom Kunden. Keine Behörde dahinter — aber der Kunde kann den Vertrag kündigen oder den Lieferanten für kritische Leistungen nicht mehr einsetzen. In vielen Geschäftsbeziehungen ist das die frühere Konsequenz.
Neue Verträge enthalten NIS2-Klauseln bereits häufig von Anfang an. Das eigentliche Thema sind die bestehenden Beziehungen, die nachträglich neu qualifiziert werden müssen — oft ohne Vorwarnung.
Ein IT-Dienstleister mit 45 Mitarbeitenden arbeitet seit acht Jahren für einen Energieversorger. Stabiles Verhältnis, verlängerter Rahmenvertrag. Dann kommt eine Anfrage aus dem Einkauf: Im Rahmen unserer NIS2-Anforderungen nach §30 BSIG bitten wir um Ausfüllung eines IT-Sicherheits-Fragebogens sowie Nachweise zu folgenden Bereichen.
Der IT-Dienstleister fällt selbst nicht unter §28 BSIG. Keine eigene Registrierungspflicht. Er hat jedoch Systemzugang beim Energieversorger — und dieser Zugang macht ihn aus Kundensicht zu einem Faktor, den der Kunde bewerten und dokumentieren muss.
Die Tiefe der Prüfung richtet sich nach Kritikalität und Abhängigkeit — nicht nach der Unternehmensgröße des Lieferanten. Ein kleiner Dienstleister mit direktem Systemzugang wird häufiger und tiefer befragt als ein großer Lieferant ohne operativen Einfluss.
10 Fragen. Ergebnis nach Prüftiefe. Wesentliche Treiber und anzufordernde Nachweise — direkt exportierbar.
Die folgenden Arbeitsdokumente übersetzen die Lieferkettenanforderungen nach §30 BSIG in konkrete Nachweisgrundlagen. NIS2-betroffene Unternehmen müssen ihre Lieferanten aktiv bewerten und dokumentieren — Lieferanten müssen auf Anfragen ihres Kunden strukturiert antworten können.
Unternehmen, die heute eine dokumentierte Grundlage für ihre Sicherheitsmaßnahmen aufbauen, verkürzen Qualifizierungsprozesse, reduzieren Rückfragen und schaffen belastbarere Kundenbeziehungen. NIS2 ist der regulatorische Einstiegspunkt — weitere Sorgfaltspflichten in der Lieferkette werden folgen. Wer jetzt beginnt, baut auf einer Grundlage, nicht unter Zeitdruck.