Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
NIS2 Anforderungen ZuliefererNIS2 Zulieferer PflichtenNIS2 Supply ChainNIS2 LieferkettenanforderungenNIS2 DrittanbieterNIS2 Lieferantenaudit

NIS2 Anforderungen Zulieferer: Lieferkettensicherheit in der Praxis

NIS2 Anforderungen an Zulieferer: Verträge, Audits, Meldepflichten, ISO-27001-Nachweise und Risikomanagement entlang der Lieferkette.

Veröffentlicht: 24. März 2026Letzte Aktualisierung: 24. März 202611 Min. Lesezeit

NIS2 Anforderungen Zulieferer: Lieferkettensicherheit in der Praxis

Zulieferer von NIS2-regulierten Unternehmen müssen vertragliche Cybersicherheitsanforderungen erfüllen, von Sicherheitsaudits über Compliance-Nachweise bis hin zu Vorfallmeldepflichten. Für viele Unternehmen ist das die eigentliche Reichweite von NIS2 Lieferkette: Nicht jede Firma wird selbst unmittelbar reguliert, aber bis zu mehrere hunderttausend Zulieferer in Deutschland geraten mittelbar unter Druck, weil Auftraggeber Vertragskündigungsrechte verankern, ISO-27001-Nachweise anfordern und Subunternehmer entlang der Lieferkette transparent gemacht werden müssen.

Letzte Aktualisierung: 24. März 2026

Wenn Sie schnell einordnen wollen, ob Ihr Unternehmen betroffen ist, gilt diese Faustformel: Sobald Ihr Produkt, Ihre Software, Ihr Cloud-Service, Ihr Support, Ihre Managed Services oder Ihre Betriebsleistung eine wesentliche oder wichtige Funktion eines NIS2-regulierten Unternehmens stützt, wird Ihr Kunde Sicherheitsanforderungen an Sie durchreichen. Relevant sind dann nicht nur Technik und Betriebsstabilität, sondern auch Vertragsklauseln, Auditfähigkeit, Drittlandrisiken, Incident-Kommunikation und die Steuerung Ihrer eigenen Subunternehmer.

Zum regulatorischen Gesamtbild helfen parallel unsere Beiträge zu DORA vs. NIS2, CRA vs. NIS2 und zum Krisenmanagement bei Cyberangriffen. Wenn Sie Lieferketten- und Governance-Pflichten mit Management und Fachbereichen sauber strukturieren wollen, ist außerdem der Leitfaden zur KI-Verordnung für den Mittelstand als Governance-Referenz nützlich.

Was NIS2 von Zulieferern praktisch verlangt

NIS2 verlangt von Zulieferern vor allem belastbare Sicherheitszusagen gegenüber regulierten Auftraggebern. Die Rechtsgrundlage liegt in Art. 21 Abs. 2 Buchst. d der Richtlinie (EU) 2022/2555. Dort wird Lieferkettensicherheit ausdrücklich als Teil der Cybersecurity-Risikomanagementmaßnahmen genannt, einschließlich der sicherheitsbezogenen Aspekte in den Beziehungen zwischen einer Einrichtung und ihren direkten Lieferanten oder Diensteanbietern.

Für die Praxis ist die entscheidende Übersetzung: NIS2-regulierte Unternehmen müssen die Sicherheit ihrer direkten Zulieferer prüfen und vertraglich absichern. Genau daraus entsteht der Druck auf Anbieter, Dienstleister und technische Partner. Wer kritische Software liefert, Identity- und Access-Management betreibt, OT-Komponenten integriert, Cloud- oder Rechenzentrumsleistungen erbringt, Support mit privilegierten Zugriffen ausführt oder Managed Services übernimmt, wird in Beschaffung und Vertragsverhandlung heute deutlich tiefer geprüft als noch vor wenigen Jahren.

Wichtig ist dabei eine juristisch saubere Abgrenzung. NIS2 schreibt nicht pauschal vor, dass jeder Zulieferer eine identische Maßnahmenliste erfüllen muss. Die Richtlinie arbeitet mit Risikoangemessenheit und Verhältnismäßigkeit. Ein Reinigungsdienst ohne Systemzugriff ist anders zu bewerten als ein MSP mit Administratorzugängen, und ein Lieferant für Büromaterial anders als ein Softwareanbieter mit Zugriff auf Produktions- oder Patientendaten. Trotzdem gilt für alle kritischen oder geschäftsrelevanten Lieferanten derselbe Grundsatz: Der Auftraggeber muss zeigen können, dass auch seine Lieferkette nicht zum Einfallstor für erhebliche Sicherheitsvorfälle wird.

Die Durchführungsverordnung (EU) 2024/2690 konkretisiert diese Erwartung für bestimmte digitale Dienste weiter. Dort tauchen Anforderungen an Vertragsgestaltung, Lieferantenbeziehungen, Komponenteninformationen und Subunternehmersteuerung deutlich konkreter auf. Für Zulieferer heißt das: Wer an digitale Infrastrukturen, Cloud-Leistungen, Rechenzentren, Managed Services oder andere kritische Dienste liefert, sollte nicht nur eine Security-Policy haben, sondern auch vertraglich belastbare Antworten auf Audit, Incident Handling, Datenstandorte, Business Continuity und Unterbeauftragung.

Welche Zulieferer besonders im Fokus stehen

Besonders im Fokus stehen Zulieferer, deren Ausfall oder Kompromittierung die Verfügbarkeit, Integrität oder Vertraulichkeit wesentlicher Dienste beeinträchtigen kann. Genau diese Risikoformel bestimmt in der Praxis, ob der Kunde einfache Standardfragen stellt oder eine tiefe Due-Diligence-Prüfung startet.

Typischerweise werden vier Gruppen intensiver geprüft. Erstens: Anbieter mit technischem Zugriff auf Systeme oder Daten, etwa MSPs, MSSPs, Cloud-Partner, SaaS-Anbieter, Fernwartungsdienstleister oder OT-Integratoren. Zweitens: Hersteller oder Softwarelieferanten, deren Produkte tief in kritische Prozesse eingebunden sind. Drittens: Dienstleister mit Notfall-, Recovery- oder Sicherheitsfunktion. Viertens: Zulieferer mit relevanten Drittlandbezügen, komplexen Subunternehmerketten oder schwer ersetzbaren Spezialleistungen.

Für diese Gruppen reicht ein allgemeines Versprechen zu „hohen Sicherheitsstandards“ regelmäßig nicht mehr aus. Auftraggeber wollen konkrete Nachweise sehen: Governance-Dokumente, Verantwortlichkeiten, Asset- und Zugriffssteuerung, Patch- und Schwachstellenmanagement, Notfallpläne, Prüfberichte, Rollenmodelle, Nachweise zu Awareness und Trainings, Eskalationswege für Vorfälle sowie Angaben zu den wichtigsten Subunternehmern.

Die zentrale Management-Frage lautet deshalb nicht mehr nur „Sind wir direkt von NIS2 betroffen?“, sondern „Welche unserer Leistungen sind für NIS2-regulierte Kunden kritisch genug, dass wir wie ein sicherheitsrelevanter Drittanbieter behandelt werden?“ Genau diese Perspektive fehlt in vielen mittelständischen Unternehmen noch. Sie führt dazu, dass Vertrieb die Relevanz unterschätzt, Legal zu spät eingebunden wird und Informationssicherheit erst reagiert, wenn der Kunde bereits Vertragsanhänge mit Audit- und Kündigungsklauseln schickt.

Vertragliche Pflichten: Was in NIS2-Lieferantenverträgen stehen sollte

NIS2-Lieferkettenanforderungen werden in der Praxis vor allem über Verträge durchgesetzt. Wer als Zulieferer vorbereitet sein will, braucht deshalb keine abstrakte Rechtsfolien-Sammlung, sondern belastbare Standardklauseln und klare interne Zuständigkeiten.

Die wichtigsten Vertragsbausteine sind Incident-Meldung, Audit-Rechte, Sicherheitsanforderungen, Regeln für Subunternehmer, Datenstandorte, Business Continuity, Exit-Mechanismen und Sanktionen bei Nichterfüllung. Besonders relevant ist die Vorfallkommunikation. Viele Auftraggeber erwarten, dass ein Zulieferer sicherheitsrelevante Vorfälle innerhalb von 24 Stunden meldet, spätestens aber so früh, dass der Kunde seine eigenen Meldefristen gegenüber Behörde oder CSIRT einhalten kann. Wer intern keine saubere Eskalationslogik hat, wird diese Zusage im Ernstfall nicht halten.

Ebenso wichtig sind Audit-Rechte. Auftraggeber verlangen zunehmend das Recht, Nachweise anzufordern, Prüfberichte einzusehen, Fragebögen zu aktualisieren, Remote-Assessments durchzuführen oder in kritischen Fällen auch vertiefte Audits zu veranlassen. Für Zulieferer ist das operativ nur tragfähig, wenn Dokumente, Ansprechpartner, Freigaben und Eskalationswege vorbereitet sind. Sonst wird jede Kundenprüfung zum Ad-hoc-Projekt mit hohem Vertriebs- und Rechtsaufwand.

Ein weiterer Kernpunkt sind Flow-down-Klauseln. Sie verpflichten den direkten Zulieferer, dieselben oder gleichwertige Sicherheitsanforderungen an seine eigenen Subunternehmer weiterzugeben. Genau hier zeigt sich, ob Lieferkettensicherheit nur im Vertrag steht oder wirklich gelebt wird. Wenn ein Anbieter keine aktuelle Übersicht über kritische Unterauftragnehmer hat, keine Sicherheitsanforderungen entlang der Kette weiterreicht oder Änderungen in der Subunternehmerstruktur nicht kontrollieren kann, entsteht für den Auftraggeber ein erhebliches Residualrisiko.

Die folgende Tabelle zeigt, welche Anforderungen in der Praxis am häufigsten auftauchen:

Zulieferer-AnforderungInhaltTypische Erwartung des Auftraggebers
Vertragliche PflichtenMindeststandards zu Informationssicherheit, Zugriffen, Patching, ContinuityVerpflichtende Sicherheitsklauseln im Hauptvertrag oder Annex
Audit-RechteFragebögen, Nachweise, Remote-Audits, Prüfberichte, ggf. Vor-Ort-PrüfungNachweisfähigkeit innerhalb weniger Werktage
MeldepflichtenSofortige Eskalation bei Vorfällen, erste Meldung oft binnen 24 StundenUnterstützung der NIS2-Meldepflicht des Kunden
Compliance-NachweiseISMS-Dokumentation, Prüfberichte, Pen-Tests, Zertifikate, PoliciesBelastbarer Nachweis statt bloßer Selbstauskunft
SubunternehmersteuerungOffenlegung kritischer Unterauftragnehmer, Flow-down-Klauseln, ÄnderungsanzeigenTransparenz über Tier-2-Risiken
Business ContinuityNotfallpläne, Wiederanlauf, Backups, VerantwortlichkeitenNachweis, dass kritische Services nicht unkontrolliert ausfallen
Kündigungs- und EskalationsrechteFristen zur Mängelbeseitigung, Sonderkündigung, SuspendierungDurchsetzbare Reaktion bei Non-Compliance

Diese Tabelle beantwortet auch die häufige Praxisfrage, ob Verträge bei Non-Compliance kündbar sind. Die Antwort lautet: sehr oft ja. Auftraggeber müssen kritische Risiken reduzieren können. Wenn ein Zulieferer wesentliche Findings nicht behebt, falsche Angaben macht, Audits blockiert oder erhebliche Sicherheitslücken ignoriert, sind Sonderkündigungsrechte und Eskalationsmechanismen rechtlich und operativ naheliegend.

Audit-Rechte und Compliance-Nachweise für Zulieferer

Zulieferer müssen unter NIS2 keinen Einheitsnachweis vorlegen, aber sie brauchen einen auditfähigen Nachweisraum. Genau das ist der Unterschied zwischen „wir machen Security“ und „wir können Security gegenüber regulierten Kunden belegen“.

In der Praxis akzeptieren Auftraggeber meist kein einziges Dokument als Universalnachweis. Gefordert wird vielmehr eine Kombination aus Governance, Technik und Betrieb. Dazu gehören beispielsweise eine Informationssicherheitsrichtlinie, Verantwortlichkeitsmatrix, Asset- und Risikoübersichten, Zugriffsregeln, Protokolle zu Patching und Schwachstellenmanagement, Notfallpläne, Ergebnisse interner oder externer Prüfungen sowie Nachweise zu Security-Awareness oder Rollenqualifikation. Ein ISO-27001-Zertifikat kann hier stark entlasten, ersetzt aber selten alle Fragen des Auftraggebers.

Wichtig ist deshalb die richtige Erwartungssteuerung: NIS2 macht ISO 27001 nicht zur gesetzlichen Muss-Vorgabe für jeden Zulieferer. Auftraggeber nutzen ISO 27001 aber oft als schnellen Reifegradindikator, weil damit ein strukturiertes Informationssicherheitsmanagement leichter bewertbar wird. Wenn kein ISO-27001-Zertifikat vorliegt, braucht der Zulieferer andere saubere Belege, dass Risiken systematisch identifiziert, Maßnahmen gesteuert, Verantwortlichkeiten festgelegt und Vorfälle beherrscht werden.

Besonders kritisch ist die Frage nach der Aktualität von Nachweisen. Viele Unternehmen haben Policies, die in Vertragsverhandlungen gut aussehen, aber seit zwei Jahren nicht überprüft wurden. Genau solche Lücken fallen in Lieferantenaudits schnell auf. Ein belastbarer Nachweisraum muss daher nicht nur vollständig, sondern auch gepflegt sein. Versionen, Freigaben, Geltungsbereiche und Eigentümer der Dokumente sollten klar erkennbar sein.

Für mittelständische Zulieferer ist ein pragmatisches Modell sinnvoll: ein standardisiertes Security-Datenblatt, ein strukturierter Nachweisraum, ein fester Audit-Prozess und klare Eskalationswege zwischen Vertrieb, Legal, IT und Informationssicherheit. So wird aus einer reaktiven Einzelantwort ein wiederholbarer Beschaffungsprozess.

Vorfallmeldepflichten: Warum 24 Stunden intern oft zu spät sind

Zulieferer müssen Vorfälle so früh melden, dass der Auftraggeber seine eigenen Fristen einhalten kann. Daraus folgt praktisch: Wer erst nach 24 Stunden intern zu prüfen beginnt, ist meist schon zu spät.

NIS2-regulierte Unternehmen arbeiten mit sehr engen Vorwarn- und Meldefristen. Deshalb erwarten sie von kritischen Zulieferern, dass sicherheitsrelevante Ereignisse sofort eskaliert und vorläufig bewertet werden. Entscheidend ist nicht, ob der Vorfall bereits vollständig verstanden ist. Entscheidend ist, ob er Auswirkungen auf Verfügbarkeit, Integrität, Vertraulichkeit oder die Kontinuität des Kundendienstes haben könnte.

Ein gutes Vertragsmodell trennt deshalb drei Stufen. Erstens: Sofortinformation an definierte Ansprechpartner, sobald ein potenziell relevanter Vorfall erkannt wird. Zweitens: Vorläufige Einschätzung zu Systemen, Kundenbezug, möglicher Auswirkung und bereits laufenden Maßnahmen. Drittens: Laufende Updates, bis Root Cause, Remediation und Restfolgen belastbar beschrieben sind. Ohne dieses Stufenmodell gerät der Kunde in die Lage, eine Meldepflicht zu haben, ohne belastbare Informationen aus der Lieferkette zu bekommen.

Für Zulieferer ist das ein Prozess- und kein reines Rechtsthema. Sie brauchen Detection, Klassifikation, Eskalation, Kontaktlisten, Bereitschaften und eine saubere Entscheidung, wer wann mit dem Kunden spricht. Besonders problematisch sind hybride Modelle, bei denen Technik den Vorfall erkennt, aber Legal oder Management erst Tage später in die Kundenkommunikation einsteigen. Für regulierte Auftraggeber ist das inakzeptabel, weil wertvolle Zeit verloren geht.

Die sinnvolle Zielgröße ist daher: eine interne Lieferketten-Eskalation binnen Stunden, nicht binnen Tagen. Nur so lassen sich vertragliche Pflichten, Kundenvertrauen und die eigene Haftungsposition sauber absichern.

Subunternehmer und Tier-2-Risiken: Die eigentliche Schwachstelle

Die größten Lücken entstehen in der NIS2 Lieferkette oft nicht beim direkten Zulieferer, sondern in dessen eigener Lieferkette. Genau deshalb spielen Subunternehmer, Cloud-Bausteine, Open-Source-Komponenten, externe Supportpartner und ausgelagerte Betriebsleistungen in Audits eine so große Rolle.

Rechtlich ist die Lage klar genug für einen belastbaren Mindeststandard. Auftraggeber müssen nicht jede Stufe bis zum letzten Rohstofflieferanten identisch prüfen. Sie müssen aber bei kritischen Leistungen nachvollziehen können, welche direkten Anbieter eingebunden sind, welche Unterauftragnehmer wesentliche Funktionen stützen und wo dadurch zusätzliche Risiken entstehen. Die Durchführungsverordnung 2024/2690 spricht ausdrücklich die Weitergabe von Anforderungen an Subunternehmer an. Daraus folgt für direkte Zulieferer die Pflicht, ihre kritischen Tier-2-Beziehungen nicht als Black Box zu behandeln.

Praktisch bedeutet das drei Aufgaben. Erstens: ein aktuelles Register kritischer Subunternehmer. Zweitens: Vertragsklauseln, die Sicherheitsanforderungen, Audit-Unterstützung, Incident-Meldung und Continuity-Pflichten weiterreichen. Drittens: ein Verfahren, mit dem Änderungen in der Unterbeauftragung rechtzeitig bewertet und dem Kunden angezeigt werden können. Wer diese drei Punkte nicht erfüllt, wird bei reifen Auftraggebern kaum noch als belastbarer Partner eingestuft.

Besonders sensibel sind Drittlandbezüge. Wenn ein Subunternehmer außerhalb der EU sitzt, Datenzugriffe aus Drittländern möglich sind oder geopolitische Abhängigkeiten bestehen, steigt der Prüfungsdruck erheblich. Dann geht es nicht nur um Technik, sondern auch um Rechtsdurchsetzung, Transparenz, staatliche Zugriffsmöglichkeiten, Exit-Fähigkeit und alternative Bezugsquellen.

Risikomanagement für Zulieferer: So sieht eine belastbare Vorbereitung aus

Zulieferer bereiten sich auf NIS2 am besten mit einem strukturierten Lieferketten-Risikomanagement vor. Nicht die größte Policy-Bibliothek gewinnt, sondern der Anbieter, der kritische Risiken identifiziert, priorisiert und nachweisbar steuert.

Der erste Schritt ist eine saubere Kartierung. Welche Kunden sind NIS2-relevant? Welche Produkte oder Services stützen wesentliche oder wichtige Funktionen? Welche Zugriffe, Datenflüsse, Betriebsabhängigkeiten und Subunternehmer sind damit verbunden? Ohne diese Sicht bleibt jede weitere Maßnahme zu generisch.

Der zweite Schritt ist die Priorisierung. Nicht jeder Kunde und nicht jede Leistung braucht dasselbe Maß an Prüfung. Sinnvoll ist eine Staffelung nach Kritikalität, Zugriffsrechten, Datenbezug, Verfügbarkeitsrelevanz, Drittlandrisiko und Substituierbarkeit. Daraus ergeben sich abgestufte Vertragsmodule, Auditpakete, Notfallprozesse und Freigaberoutinen.

Der dritte Schritt ist die Operationalisierung. Ein Unternehmen ist erst dann lieferkettenfähig, wenn Vertrieb weiß, welche Zusagen freigegeben sind, Legal Standardklauseln pflegt, IT und Informationssicherheit Nachweise liefern können, Incident Response Kundenkommunikation beherrscht und das Management Eskalationen tragen kann. Genau an dieser Schnittstelle scheitern viele Projekte. Das Problem ist selten ein fehlendes Einzeltool, sondern eine fehlende Governance zwischen Funktionen.

Der vierte Schritt ist die Überprüfung. Lieferkettenrisiken sind dynamisch. Neue Cloud-Abhängigkeiten, zusätzliche Admin-Zugriffe, neue Subunternehmer, M&A-Aktivitäten oder geänderte Bedrohungslagen verändern das Risikoprofil laufend. Deshalb sollten kritische Kunden- und Lieferkettenbeziehungen mindestens periodisch neu bewertet werden, idealerweise gekoppelt an Vertragsverlängerungen, Architekturänderungen oder wesentliche Betriebsänderungen.

Checkliste: Was Zulieferer jetzt konkret tun sollten

Zulieferer sollten NIS2 nicht als isoliertes Rechtsthema behandeln, sondern als Vertriebs-, Governance- und Betriebsanforderung. Die folgenden Schritte schaffen in den meisten Unternehmen die nötige Grundlage:

  1. Kritische Kunden identifizieren. Markieren Sie alle Kunden, die voraussichtlich als wesentliche oder wichtige Einrichtungen gelten oder unter NIS2-nahe Regime fallen.
  2. Leistungen nach Kritikalität einstufen. Prüfen Sie, welche Produkte oder Services Ausfälle, Datenverluste oder privilegierte Zugriffe auslösen könnten.
  3. Standardklauseln vorbereiten. Hinterlegen Sie Vertragsmodule zu Incident-Meldung, Audit, Subunternehmern, Datenstandorten, Continuity und Kündigungsrechten.
  4. Nachweisraum aufbauen. Bündeln Sie Policies, Rollen, Prüfberichte, Zertifikate, Pen-Test-Ergebnisse, Notfallpläne und technische Nachweise in auditfähiger Form.
  5. Subunternehmer kartieren. Führen Sie ein Register kritischer Unterauftragnehmer und prüfen Sie, ob Sicherheitsanforderungen wirksam weitergereicht werden.
  6. Incident-Prozess schärfen. Definieren Sie interne Alarmierung, Kundenkommunikation, Ansprechpartner und Zeitfenster für Erstmeldungen.
  7. Management einbinden. Geschäftsführung, Vertrieb, Legal, IT und Informationssicherheit müssen dieselbe Lieferkettenlogik verstehen und vertreten.
  8. Regelmäßig neu bewerten. Aktualisieren Sie kritische Lieferkettenbeziehungen bei Architektur-, Vertrags- oder Bedrohungsänderungen.

Diese Checkliste ist kein Formalismus. Sie entscheidet darüber, ob Ihr Unternehmen in Ausschreibungen, Vertragsverlängerungen und Audits als belastbarer Partner wahrgenommen wird oder als vermeidbares Drittparteienrisiko.

Häufig gestellte Fragen zu NIS2 und Zulieferern

Was fordert NIS2 von Zulieferern?

NIS2 fordert von Zulieferern meist keine pauschale Direktregulierung, aber sehr häufig vertraglich durchgereichte Sicherheitsanforderungen. Typisch sind Nachweise zum Informationssicherheitsniveau, Vorfallmeldepflichten, Audit-Rechte, Regeln für Subunternehmer, Anforderungen an Business Continuity und klare Verantwortlichkeiten in der Lieferkette.

Brauchen Zulieferer ein ISO-27001-Zertifikat?

Nein, NIS2 schreibt kein bestimmtes ISO-27001-Zertifikat ausdrücklich vor. In der Praxis verlangen viele Auftraggeber aber einen strukturierten Nachweis zum Informationssicherheitsmanagement. Ein ISO-27001-Zertifikat ist dafür oft hilfreich, aber nicht die einzige mögliche Form eines belastbaren Nachweises.

Können NIS2-Unternehmen Verträge bei Non-Compliance kündigen?

Ja, das ist in der Praxis sehr häufig vorgesehen. Wenn ein Zulieferer wesentliche Sicherheitsanforderungen nicht erfüllt, Audit-Feststellungen nicht behebt oder erhebliche Risiken nicht reduziert, enthalten viele Verträge Sonderkündigungsrechte, Leistungsstopps oder Eskalationsmechanismen.

Wie bereiten sich Zulieferer auf NIS2 vor?

Zulieferer sollten zuerst kritische Kunden und Leistungen kartieren, dann Standardvertragsklauseln, Incident-Prozesse, Nachweise, Subunternehmersteuerung und Audit-Abläufe aufsetzen. Besonders wichtig ist, dass Legal, Vertrieb, IT, Informationssicherheit und Geschäftsführung mit derselben Lieferkettenlogik arbeiten.

Gelten NIS2-Pflichten auch für Subunternehmer?

Ja, jedenfalls mittelbar. Auftraggeber verlangen regelmäßig Flow-down-Klauseln, mit denen Sicherheitsanforderungen an Subunternehmer weitergereicht werden. Für kritische Leistungen müssen Zulieferer deshalb auch ihre eigenen Lieferanten und Dienstleister transparent steuern können.

Der nächste Schritt für Ihr Unternehmen

Wenn Ihr Unternehmen an regulierte Kunden liefert, sollten Sie NIS2-Lieferkettensicherheit nicht erst bei der nächsten Vertragseskalation angehen. Der schnellste Fortschritt entsteht, wenn Geschäftsführung, Vertrieb, Legal, IT und Informationssicherheit ein gemeinsames Verständnis für Audit-Rechte, Incident-Pflichten, Nachweise und Subunternehmersteuerung aufbauen.

Wenn Sie Governance-Anforderungen strukturiert in Ihr Unternehmen tragen wollen, nutzen Sie unsere EU AI Act Schulung als kompakten Einstieg in dokumentierbare Compliance-Kompetenz. Für angrenzende Cybersecurity-Themen vertiefen Sie anschließend DORA vs. NIS2, CRA vs. NIS2 und den Beitrag zum Krisenmanagement bei Cyberangriffen, damit Lieferkette, Meldewege und Governance in der Praxis zusammenpassen.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →