Hoff-Dario

NIS-2: Die indirekte Betroffenheit per Lieferkette

07.07.2026 / Dario Hoff

Man könnte meinen, der Nikolaus habe Tausende deutsche Unternehmen für unartig befunden und ihnen Kohlen im Stiefel hinterlassen. Pünktlich zum 06.12.2025 ist die NIS-2-Richtlinie der EU durch das neue BSI-Gesetz (BSIG) in nationales Recht überführt worden. In Folge sind ca. 30.000 Unternehmen von neuen im Gesetz verankerten Anforderungen für die Informationssicherheit betroffen, deren Missachtung zu hohen Bußgeldern führen kann. Die erste Verpflichtung für alle Betroffenen: Registrierung im BSI-Portal bis spätestens 3 Monate nach Feststellung der eigenen Betroffenheit.

Im Anschluss hat das BSI zu Webinaren eingeladen und im Rahmen eines sogenannten NIS-2-Kickoff beispielhaft und im Dialog durch den Registrierungsprozess geführt. Zum Registrierungsprozess hat das BSI seitdem ein ausführliches FAQ sowie Anleitungen veröffentlicht. Ein wenig verwundert es daher, dass das BSI zum ersten möglichen Stichtag am 06.03. nur ca. 11.500 erfolgreiche Anmeldungen gemeldet hat. Auch danach scheint nicht viel passiert zu sein: Anfang Juni wird bekannt, dass mehr als die Hälfte der Unternehmen ihrer Registrierungspflicht noch nicht nachgekommen sei. In Konsequenz wird die Frist für diese Pflicht auf den 31. Juli 2026 verschoben. Doch stellt nur die Registrierung an sich einen Stolperstein dar?

Die Sache mit der Betroffenheit

Die größere Herausforderung dürfte die vorgelagert durchzuführende NIS-2-Betroffenheitsprüfung sein sowie die damit einhergehende Einstufung des Unternehmens als wichtige oder gar besonders wichtige Einrichtung. Auch hierfür bietet das BSI Informationsmaterialien und einen Entscheidungsbaum an, siehe Abbildung 1. Die eindeutige Zuordnung zu den betroffenen Sektoren der besonders wichtigen Einrichtungen gemäß Anlage 1 und den wichtigen Einrichtungen gemäß Anlage 2 des BSIG ist je nach Einzelfall und Unternehmensstruktur jedoch nicht ohne Weiteres widerspruchsfrei möglich. Gegebenenfalls ist für eine abschließende Beurteilung juristische Unterstützung notwendig. Diese Erfahrung mussten auch wir in einem Projekt für einen deutschen Industriekonzern machen, den wir bei der Überprüfung der NIS-2-Betroffenheit einzelner Konzerngesellschaften und der Ableitung entsprechenden Handlungsbedarfs unterstützt haben. Zu den Besonderheiten der Betroffenheitsprüfung sei an dieser Stelle auf den Artikel „NIS-2 in der Praxis – von Betroffenheit zur Umsetzung“ meiner Kollegen aus dem Netzwerk Insider vom September 2025 verwiesen.

Entscheidungsbaum BSI

Abbildung 1: Entscheidungsbaum BSI

Die Realität hinter dieser angesprochenen Unsicherheit scheint zu sein, dass die meisten Unternehmen versuchen, das Thema Betroffenheit wegzudiskutieren. Der Gedanke dahinter scheint zu sein: Wer nicht registriert ist, dem drohen keine weiteren Sanktionen. Und wer sich trotz bestehender Ungewissheit registriert – und sich damit möglicherweise ins eigene Fleisch schneidet –ist selbst schuld.

Aber angenommen, Sie haben für Ihr Unternehmen die NIS-2-Betroffenheit erfolgreich geprüft und sind zu dem Ergebnis gekommen: nicht betroffen. Ein nachvollziehbarer erster Gedanke könnte sein: „Wir sind raus aus dem Schneider. NIS-2 wird für uns keinen Mehraufwand bedeuten. Mit dem Thema Informationssicherheit und NIS-2-Compliance müssen wir uns nicht weiter beschäftigen.“ Stimmt das?

Keine Betroffenheit – kein Handlungsbedarf?

Auch wenn Sie nicht von NIS-2 betroffen sind, kann es im folgenden Szenario sinnvoll sein, sich mit NIS-2 auseinanderzusetzen. Sie gehören zu einem betroffenen Sektor gem. Anlage 1 oder 2, sind jedoch als nicht betroffen eingestuft, weil Umsatz und Bilanzsumme unterhalb der Schwellen von 10 Mio. € liegen und Sie weniger als 50 Mitarbeiter beschäftigen. Je nach Wachstumsrate des Unternehmens könnte es aber schon im nächsten Geschäftsjahr soweit sein, dass diese Schwellen gerissen werden. Ab dann gelten Sie mindestens als wichtige Einrichtung, müssen sich beim BSI registrieren, Meldepflichten einhalten und vor allem Maßnahmen gem. § 30 BSIG umsetzen. Im Sinne einer langfristigen und nachhaltigen Unternehmensstrategie ist es also vorausschauend, sich bei absehbarer Betroffenheit vorbereitend mit NIS-2 auseinanderzusetzen – auch ohne unmittelbare Betroffenheit.

Jetzt haben Sie aber genau geprüft mit dem Ergebnis, dass Ihr Unternehmen keinem der betroffenen Sektoren angehört und in Zukunft auch nicht in diese Richtung expandieren will. Eine absehbare Betroffenheit Ihres Unternehmens von NIS-2 wäre somit ausgeschlossen. Hat sich NIS-2 damit für Sie erledigt? Das kommt auf Ihre Geschäftsbeziehungen an. Denn wenn Sie Lieferant oder Dienstleister für eine nach NIS-2 wichtige oder besonders wichtige Einrichtung sind, kann es sein, dass Ihnen diese Geschäftspartner zukünftig striktere Anforderungen und Nachweispflichten im Bereich der Informationssicherheit auferlegen müssen.

Der Paragraph § 30 BSIG konkretisiert Risikomanagementmaßnahmen, die wichtige und besonders wichtige Einrichtungen ergreifen müssen:

  • Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, die in Absatz 2 konkretisiert werden, zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Bei der Bewertung der Verhältnismäßigkeit der Maßnahmen nach Satz 1 sind das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen. […]
  • Maßnahmen nach Absatz 1 […] müssen zumindest Folgendes umfassen:
    1. […]
    2. […]
    3. […]
    4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern, […]

NIS-2-betroffene Unternehmen müssen also mithilfe eines risikobasierten Ansatzes verhältnismäßige Maßnahmen umsetzen, die die Wahrung von Vertraulichkeit, Integrität und Verfügbarkeit (VIV) ihrer IT und Informationsverarbeitung sicherstellen. Und Maßnahme 4, Sicherheit der Lieferkette, berührt nicht nur das betroffene Unternehmen, sondern alle Unternehmen der Lieferkette, die ein signifikantes Risiko für die Schutzziele dieser Organisation darstellen. Denn Cybersicherheitsvorfälle bedeuten in den seltensten Fällen einen Schaden nur für das unmittelbare Ziel des Angriffs – denken Sie im Privaten an kompromittierte Daten von Banken oder Onlinehändlern. Kunden und Geschäftspartner geraten durch Vorfälle zwingend ebenfalls in Mitleidenschaft. Es ist daher nur stringent, dass Unternehmen, die per Gesetz als (besonders) wichtig eingestuft werden und deshalb höhere Auflagen in puncto Informationssicherheit erfüllen müssen, ihre Sicherheit über die eigenen Unternehmensgrenzen hinaus denken. Und genau hieraus ergibt sich für die Geschäftspartner der (besonders) wichtigen Einrichtungen eine indirekte Betroffenheit von NIS-2.

Was bedeutet diese indirekte Betroffenheit per Lieferkette?

Denkbar wäre es für (besonders) wichtige Einrichtungen, Lieferanten und Dienstleister vertraglich zu verpflichten, ein bestimmtes Informationssicherheitsniveau einzuhalten, Sicherheitsvorfälle innerhalb eines vereinbarten Zeitfensters zu melden sowie entsprechende Nachweise zu umgesetzten Maßnahmen vorzulegen, z.B. in Form von Zertifizierungen. Zusätzlich sollte regelmäßig die Einhaltung des vertraglich vereinbarten Sicherheitsniveaus kontrolliert werden. Was hierfür verhältnismäßige Anforderungen sind, welche Risiken innerhalb der Lieferkette akzeptiert werden können oder aber minimiert werden müssen, hängt von den Individualitäten eines jeden Unternehmens ab und der Kritikalität der konkreten Lieferanten- oder Dienstleisterbeziehung.

Aus z.B. der Beziehung zum Lieferanten für Büromaterialien und Druckerpapier dürfte im Normalfall kein großes Risiko für die VIV resultieren, sodass hier keine Maßnahmen im Sinne der Sicherheit der Lieferkette nötig erscheinen. Am anderen Ende des Spektrums dürften für eine Vielzahl von Unternehmen Cloud-, SaaS-Dienste oder Managed-Services stehen. Der sichere und zuverlässige Betrieb liegt im Sinne eines Shared Responsibility Model in der Verantwortung des Betreibers. Je nach Art der Nutzung eines Unternehmens werden beim Betreiber vertrauliche Informationen oder Geschäftsgeheimnisse mit entsprechend hohem Schutzbedarf verarbeitet, die nicht in die Hände Dritter gelangen dürfen. Einschränkungen der Dienste-Verfügbarkeit führen ggf. zu so massiven Störungen, dass der gesamte Geschäftsbetrieb vorübergehend eingestellt werden muss. Hier scheinen Maßnahmen zur Sicherstellung eines entsprechenden Schutzniveaus nicht bloß angemessen, sondern ein essezieller Bestandteil der Dienstleisterbeziehung zu sein.

Fälle zwischen diesen angenommenen Extremen sind weniger eindeutig und erfordern eine genaue Analyse der Risiken für die eigene VIV. Was ist z.B. mit Systemhäusern? Es liegt nahe, sich in diesen Betrachtungen nur auf IT-Lieferanten und -Dienstleister zu beschränken. Doch wie sieht es z.B. mit Planern für physische Sicherheit aus? Deren Planunterlagen für Hochsicherheitsbereiche von (besonders) wichtigen Einrichtungen sollten tunlichst nicht in die Hände von Angreifern gelangen. Oder was ist mit Zulieferern in der Wertschöpfungskette, denen für ihre Produktion ggf. Zugriff auf streng vertrauliche Geschäftsgeheimnisse, Produktinformationen und Pläne gewährt werden muss?

Fazit

Wie sich diese indirekte Betroffenheit konkret äußern wird, kommt also auf die jeweiligen Lieferantenbeziehungen an. Welche Maßnahmen dabei im Detail von Unternehmen umzusetzen sind, lässt sich zum jetzigen Stand nur mutmaßen. Einen gedanklichen Ausgangspunkt könnte z.B. der TISAX-Standard der ENX Association darstellen, der insbesondere in der Automobilbranche von Zulieferern zum Nachweis eines angemessenen Informationssicherheitsniveaus eingefordert wird. Alternativ erlauben die Anforderungen der Bausteine OPS.2.2 und OPS.2.3 des IT-Grundschutz-Kompendiums Rückschlüsse auf Anforderungen, die an Dienstleister gestellt werden könnten. Die Zeit wird zeigen, ob sich ein NIS2-Analogon etablieren wird, das indirekt betroffene Unternehmen als Nachweis führen können.

ISMS in der IT-Praxis
24.11.-25.11.2026 in Aachen | online

Sonderveranstaltung: IT-Sicherheit 2026
14.09.-15.09.2026 in Aachen | online

© Copyright - ComConsult