Ihre Lieferantenverträge sind jetzt Teil der NIS2-Compliance

Ihr wichtigster Kunde hat Ihnen soeben einen neuen Vertragsanhang zugesandt. Er enthält Cybersicherheitsanforderungen, die Sie so noch nicht gesehen haben: Meldepflichten bei Vorfällen, Prozesse zum Schwachstellenmanagement, Nachweise über Risikoanalysen und das Recht, Ihre Sicherheitskontrollen zu auditieren. Das ist keine Unternehmenspräferenz. Das ist NIS2.

Wenn Sie Waren oder Dienstleistungen an eine Organisation liefern, die unter die NIS2-Richtlinie fällt, werden sich Ihre Verträge ändern — oder sie haben sich bereits geändert.

Die Rechtsgrundlage: Artikel 21(2)(d) und Durchführungsverordnung 2024/2690

NIS2 Artikel 21(2)(d) verpflichtet betroffene Einrichtungen dazu, „die Sicherheit der Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern" zu berücksichtigen.

Das ist die Richtlinie. Die konkreten Anforderungen ergeben sich aus der EU-Durchführungsverordnung 2024/2690, die detailliert vorschreibt, was Einrichtungen zu tun haben. Artikel 5.1.4 dieser Verordnung ist die Klausel, die Lieferantenbeziehungen im gesamten EU-Raum verändert. Sie legt fest, dass Verträge zwischen NIS2-regulierten Einrichtungen und ihren Lieferanten folgende Punkte enthalten müssen:

Cybersicherheitsanforderungen, die der Lieferant erfüllen muss
Pflichten, die sich auf Subunternehmer erstrecken — die Anforderungen reichen mindestens zwei Ebenen tief
Auditrechte, die es der regulierten Einrichtung ermöglichen, die Compliance zu überprüfen
Meldepflichten bei Vorfällen vom Lieferanten an die regulierte Einrichtung
Pflichten zum Schwachstellenmanagement

Dies ist keine Empfehlung. Es ist in jedem EU-Mitgliedstaat rechtsverbindlich, der die NIS2-Umsetzung abgeschlossen hat — derzeit Deutschland (NIS2UmsuCG), Belgien, Italien, Ungarn, Polen und mehrere weitere. Weitere Länder treten quartalsweise hinzu.

Kaskadeneffekt in der Lieferkette — Wie sich ein Angriff ausbreitet
!
Ursprung des Angriffs
Tier-1-Lieferant kompromittiert
Ein kritischer IT-Dienstleister oder Softwareanbieter wird Opfer eines Cyberangriffs
Breitet sich auf direkte Kunden aus▼
Direkte Auswirkungen (Tier 2)
1
Wesentliche Einrichtung A verliert Zugang zu kritischen Diensten
2
Wesentliche Einrichtung B hat sensible Daten offengelegt
3
Wichtige Einrichtung C erleidet Betriebsunterbrechungen
Weiterer Downstream-Effekt▼
Indirekte Auswirkungen (Tier 3)
1
Nachgelagerte Kunden von Einrichtung A betroffen
2
Regulierungsuntersuchung über die gesamte Lieferkette eingeleitet
3
NIS2-Vorfallsmeldungskaskade für alle betroffenen Einrichtungen
4
Reputations- und Finanzschäden weiten sich sektorweit aus
Ursprung
Direkte Auswirkung
Indirekte Auswirkung

Wer ist betroffen? Mehr Unternehmen als Sie denken

NIS2 reguliert direkt wesentliche und wichtige Einrichtungen: Energieunternehmen, Krankenhäuser, Verkehrsbetreiber, Anbieter digitaler Infrastruktur, Wasserversorger und weitere. Diese Organisationen zählen EU-weit in die Zehntausende.

Doch hier wird es für KMU interessant. Jede dieser regulierten Einrichtungen hat Lieferanten. Und gemäß Artikel 21(2)(d) müssen sie die Cybersicherheitslage dieser Lieferanten bewerten und Sicherheitsanforderungen in ihre Verträge aufnehmen.

Das bedeutet, Sie sind betroffen, wenn:

Sie IT-Dienstleistungen (Managed Services, Cloud-Hosting, Softwareentwicklung) für ein Unternehmen in einem NIS2-Sektor erbringen
Sie Komponenten oder Rohstoffe an einen Hersteller liefern, der als wesentlich oder wichtig eingestuft ist
Sie Logistik-, Transport- oder Lagerdienste für eine regulierte Einrichtung übernehmen
Sie professionelle Dienstleistungen (Beratung, Recht, Buchhaltung) erbringen, die Zugang zu den Systemen oder Daten einer regulierten Einrichtung umfassen
Sie Subunternehmer für eines der oben genannten Unternehmen sind — die Kette reicht mindestens zwei Ebenen tief

Ein 30-köpfiges Softwareunternehmen, das individuelle Anwendungen für ein niederländisches Krankenhaus entwickelt? Über den Vertrag im Anwendungsbereich. Ein polnischer MSP, der Server für ein deutsches Energieunternehmen verwaltet? Im Anwendungsbereich. Ein belgisches Logistikunternehmen, das den Transport für einen französischen Wasserversorger abwickelt? Genauso.

Die entscheidende Erkenntnis: Sie müssen selbst keine NIS2-Einrichtung sein, um NIS2-Anforderungen ausgesetzt zu sein. Die Pflichten erreichen Sie über die Verträge Ihrer Kunden.

Wie werden diese Vertragsklauseln aussehen?

Auf Basis der Durchführungsverordnung und der frühen Durchsetzungsmuster in der EU ist zu erwarten, dass Ihre NIS2-regulierten Kunden Klauseln in folgenden Bereichen aufnehmen werden:

1. Anforderungen an die Sicherheitsbasis

Ihr Kunde wird Mindeststandards für die Cybersicherheit festlegen, die Sie erfüllen müssen. Diese orientieren sich in der Regel an den zehn Sicherheitsmaßnahmen aus Artikel 21(2), darunter:

Risikoanalysen und Sicherheitsrichtlinien für Informationssysteme
Verfahren zur Behandlung von Sicherheitsvorfällen
Business Continuity und Krisenmanagement
Kryptographie- und Verschlüsselungsrichtlinien, sofern angemessen
Personalsicherheit und Zugangskontrolle
Multi-Faktor-Authentifizierung

2. Meldepflichten bei Vorfällen

Sie werden verpflichtet sein, Ihren Kunden über jeden Sicherheitsvorfall zu informieren, der seine Systeme oder Daten beeinträchtigen könnte. Die Fristen orientieren sich an den eigenen Meldepflichten der NIS2 — in der Regel 24 Stunden für eine Erstmeldung, 72 Stunden für eine vollständige Meldung. Ihr Kunde benötigt diese Information, weil er eigene Meldepflichten nach Artikel 23 hat.

3. Audit- und Überprüfungsrechte

Rechnen Sie mit Klauseln, die Ihrem Kunden (oder dessen Prüfer) das Recht einräumen, Ihre Sicherheitskontrollen zu verifizieren. Dies kann umfassen:

Anforderung von Nachweisen über Sicherheitszertifizierungen (ISO 27001, SOC 2)
Vor-Ort- oder Fernprüfungen der Sicherheit
Periodische Selbstbewertungsfragebögen
Zugang zu Penetrationstestergebnissen oder Berichten über Schwachstellen-Scans

4. Weitergabe von Anforderungen an Subunternehmer

Wenn Sie Subunternehmer einsetzen, werden Sie verpflichtet sein, diesen gleichwertige Cybersicherheitsanforderungen aufzuerlegen. Das ist der Kaskadeneffekt — die NIS2-Pflichten Ihres Kunden fließen über Sie zu Ihren Lieferanten weiter. Die Kette erstreckt sich mindestens zwei Ebenen.

5. Kündigungsklauseln

Viele Verträge werden das Recht zur Kündigung vorsehen, wenn Sie die Cybersicherheitsanforderungen nicht erfüllen oder wenn Sie einen erheblichen Sicherheitsvorfall erleiden, der nicht angemessen behoben wird.

Was das konkret für KMU bedeutet

Um direkt auf die praktischen Auswirkungen einzugehen:

Die gute Nachricht: Das meiste, was NIS2 über Lieferantenverträge verlangt, deckt sich mit grundlegender Cybersicherheitshygiene, die jedes gut geführte Unternehmen bereits haben sollte. Wenn Sie über solide Zugangskontrollen, Patch-Management, Backup-Verfahren und Reaktionspläne für Vorfälle verfügen, starten Sie nicht bei null.

Die Realität: Viele KMU haben diese Maßnahmen nicht dokumentiert und formalisiert. Gute Praktiken zu haben reicht nicht — Sie brauchen Nachweise. Verträge werden von Ihnen verlangen, Compliance nachzuweisen, nicht nur zu behaupten.

Die Chance: Unternehmen, die sich jetzt vorbereiten, verschaffen sich einen Wettbewerbsvorteil. Wenn Ihr Mitbewerber keine NIS2-konformen Sicherheitsmaßnahmen nachweisen kann und Sie schon, gewinnen Sie den Auftrag. Das geschieht bereits in Deutschland, wo die BSI-Durchsetzung Lieferantensicherheit zur Vorstandspriorität gemacht hat.

Ein praktischer Ansatz:

Ermitteln Sie, welche Ihrer Kunden NIS2-Einrichtungen sind. Prüfen Sie, ob diese in wesentlichen oder wichtigen Sektoren tätig sind. Im Zweifel fragen Sie direkt — die Kunden wissen es.
Führen Sie eine Lückenanalyse anhand der Artikel-21-Maßnahmen durch. Eine schrittweise NIS2-Lückenanalyse zeigt, wo Sie die Anforderungen bereits erfüllen und wo Handlungsbedarf besteht.
Dokumentieren Sie alles, was Sie bereits tun. Viele KMU haben ausreichende Sicherheitspraktiken, aber keine schriftliche Dokumentation. Beginnen Sie mit schriftlichen Richtlinien für Zugangskontrolle, Vorfallreaktion und Backup-Verfahren.
Schließen Sie die Lücken. Priorisieren Sie nach dem, was Ihre Kunden voraussichtlich zuerst verlangen werden: Meldekompetenz bei Vorfällen, Zugangskontrolle und Schwachstellenmanagement.
Erstellen Sie Ihr Nachweispaket. Entwickeln Sie ein Lieferanten-Sicherheitsprofil, das Sie Kunden vorlegen können: Zertifizierungen, Richtlinien, letztes Auditdatum, Ansprechpartner für Vorfallreaktion.

Machen Sie den kostenlosen NIS2-Quick-Scan und erfahren Sie in fünf Minuten, wo Ihre Organisation in Bezug auf die Anforderungen des Artikels 21 steht.

NIS2 vs. ISO 27001 — Anforderungsvergleich
◈Nur NIS2
Pflicht zur Vorfallsmeldung an Behörden (24h / 72h)
Persönliche Haftung auf Leitungsebene für Cybersicherheit
Lieferkettensicherheitspflichten für wesentliche Einrichtungen
Sektorspezifische regulatorische Pflichten
⬡Gemeinsame Anforderungen
Informationssicherheits-Risikomanagement
Zugangssteuerung und Identitätsmanagement
Geschäftskontinuität und Notfallwiederherstellung
Sicherheitsbewusstsein und Schulung
◇Nur ISO 27001
Interne Audit- und Managementbewertungszyklen
Dokumentation der Erklärung zur Anwendbarkeit (SoA)
Formelle Zertifizierung und externe Prüfung
◈Nur NIS2
Pflicht zur Vorfallsmeldung an Behörden (24h / 72h)
Persönliche Haftung auf Leitungsebene für Cybersicherheit
Lieferkettensicherheitspflichten für wesentliche Einrichtungen
Sektorspezifische regulatorische Pflichten
⬡Gemeinsame Anforderungen
Informationssicherheits-Risikomanagement
Zugangssteuerung und Identitätsmanagement
Geschäftskontinuität und Notfallwiederherstellung
Sicherheitsbewusstsein und Schulung
◇Nur ISO 27001
Interne Audit- und Managementbewertungszyklen
Dokumentation der Erklärung zur Anwendbarkeit (SoA)
Formelle Zertifizierung und externe Prüfung
Die mittlere Spalte zeigt Anforderungen, die NIS2 und ISO 27001 gemeinsam haben

Der Zeitplan ist jetzt

Dies ist kein zukünftiges Problem. Die vertraglichen Anforderungen fließen bereits in Ländern mit abgeschlossener NIS2-Umsetzung:

Deutschland: NIS2UmsuCG in Kraft seit Dezember 2025. BSI-Registrierungsfrist abgelaufen im März 2026. Regulierte Einrichtungen aktualisieren aktiv ihre Lieferantenverträge.
Belgien: Vollständige operative Reife. Lieferkettenprüfungen sind Teil der routinemäßigen Compliance.
Italien: ACN veröffentlicht sektorspezifische Leitlinien bis September 2026. Frist für Umsetzungsmaßnahmen: Oktober 2026.
Polen: NIS2-Gesetz in Kraft seit März 2026. Registrierungsfrist: 3. Oktober 2026.
Niederlande: Abstimmung über das Cyberbeveiligingswet (Cbw) unmittelbar bevorstehend nach der parlamentarischen Debatte im März 2026. Voraussichtlich in Kraft Q2 2026.
Österreich: NISG 2026 tritt vollständig in Kraft am 1. Oktober 2026.

Jedes Land, das in Kraft tritt, bedeutet mehr regulierte Einrichtungen, die aktualisierte Verträge an ihre Lieferanten senden. Wenn Sie grenzüberschreitend tätig sind — und das gilt für die meisten Lieferketten — baut sich die Welle der vertraglichen Anforderungen rasch auf.

Drei Fehler, die Sie vermeiden sollten

Fehler 1: „Wir fallen nicht unter NIS2, also betrifft uns das nicht." Das ist das häufigste und kostspieligste Missverständnis. Sie sind möglicherweise keine NIS2-Einrichtung, aber Ihre Kunden sind es. Deren Compliance-Pflichten werden zu Ihren vertraglichen Pflichten. Diesen Irrtum zu ignorieren bedeutet, Aufträge zu verlieren.

Fehler 2: „Wir kümmern uns darum, wenn der Vertrag kommt." Wenn der Vertragsanhang eintrifft, erwartet Ihr Kunde eine Antwort innerhalb von Wochen, nicht Monaten. Eine Lückenanalyse durchzuführen, Maßnahmen umzusetzen und Nachweise zu dokumentieren dauert mindestens 3–6 Monate. Beginnen Sie, bevor der Vertrag eintrifft.

Fehler 3: „Eine ISO 27001-Zertifizierung deckt alles ab." ISO 27001 ist eine ausgezeichnete Grundlage, aber NIS2 hat spezifische Anforderungen (Meldefristen bei Vorfällen, Kaskadierung in der Lieferkette, Governance-Pflichten nach Artikel 20), die über das allgemeine Informationssicherheitsmanagement hinausgehen. Nutzen Sie Ihr ISO-Framework als Ausgangspunkt und ermitteln Sie dann die NIS2-spezifischen Lücken.

Wesentliche Erkenntnisse

NIS2 Artikel 21(2)(d) und Durchführungsverordnung 2024/2690 Artikel 5.1.4 machen Cybersicherheitsklauseln in Lieferantenverträgen für regulierte Einrichtungen rechtlich verbindlich.
KMU, die NIS2-Einrichtungen beliefern, sind indirekt im Anwendungsbereich — durch vertragliche Anforderungen, auch wenn sie selbst keine NIS2-Einrichtungen sind.
Der Kaskadeneffekt ist real: Anforderungen fließen von der regulierten Einrichtung zum Lieferanten zum Subunternehmer, mindestens zwei Ebenen tief.
Vorbereitung ist ein Wettbewerbsvorteil. Unternehmen, die NIS2-konforme Sicherheit nachweisen können, gewinnen Aufträge. Diejenigen, die das nicht können, verlieren sie.
Strafen für NIS2-regulierte Einrichtungen können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen. Sie haben starke finanzielle Anreize, die Compliance ihrer Lieferanten sicherzustellen — und diejenigen zu ersetzen, die nicht compliant sind.

Quellen: DLA Piper — NIS2 Directive Explained Part 3: Supply Chain Security, DIESEC — NIS2 for SMEs, Turing Law — NIS2 and Contracting, EU-Durchführungsverordnung 2024/2690, NIS2-Richtlinie 2022/2555 Artikel 21(2)(d).