NIS-2 in der Lieferkette: Auch Zulieferer sind betroffen
Auch wer selbst nicht unter NIS-2 fällt, bekommt die Anforderungen über Verträge weitergereicht. Was Zulieferer und Dienstleister jetzt wissen müssen.
„Wir sind zu klein für NIS-2” — dieser Satz stimmt oft, schützt aber nicht vor den Folgen. Denn NIS-2 wirkt über die Lieferkette weiter: Betroffene Unternehmen müssen die Sicherheit ihrer Lieferanten mitberücksichtigen — und geben die Anforderungen vertraglich weiter.
Warum NIS-2 die Lieferkette einbezieht
Die Mindestmaßnahmen nach Art. 21 umfassen ausdrücklich die Sicherheit der Lieferkette. Eine betroffene Einrichtung muss die Risiken bewerten, die von ihren Dienstleistern und Zulieferern ausgehen — und Maßnahmen ergreifen, um sie zu begrenzen. In der Praxis heißt das: Die Anforderungen wandern vertraglich nach unten.
Was auf Zulieferer zukommt
Auch ohne eigene NIS-2-Pflicht sollten Dienstleister und Zulieferer damit rechnen, dass Kunden zunehmend verlangen:
- vertragliche Sicherheitsanforderungen und Zusicherungen
- Nachweise über das eigene Sicherheitsniveau (Fragebögen, Zertifikate, Audits)
- Meldepflichten bei Sicherheitsvorfällen, die den Kunden betreffen
- Mitwirkung bei Risikobewertungen und Audits
Wer diese Erwartungen erfüllt, hat einen echten Wettbewerbsvorteil — wer sie ignoriert, riskiert, als Lieferant auszufallen.
So bereiten Sie sich vor
- Eigene Betroffenheit prüfen — vielleicht fallen Sie doch direkt unter NIS-2.
- Sicherheitsniveau dokumentieren — was ist vorhanden, was fehlt?
- Auf Kundenanforderungen vorbereiten — Standardnachweise und Ansprechpartner definieren.
- Vorfall-Meldewege klären, auch Richtung Kunden.
Ob Sie selbst direkt betroffen sind, finden Sie in zwei Minuten heraus: kostenloser NIS-2-Betroffenheits-Check.
Dieser Beitrag bietet eine erste Orientierung und ersetzt keine Rechtsberatung.