Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
NIS2 Zulieferer betroffenNIS2 kleine UnternehmenNIS2 Zulieferer PflichtenNIS2 unter SchwellenwertNIS2 indirekte BetroffenheitNIS2 KMU Zulieferer

NIS2 Zulieferer betroffen — auch unter der Schwelle?

NIS2 für Zulieferer unter den Schwellenwerten: indirekte Pflichten, Verträge, Nachweise und konkrete Vorbereitungsschritte für kleine Unternehmen.

Veröffentlicht: 24. März 2026Letzte Aktualisierung: 24. März 202610 Min. Lesezeit

NIS2 Zulieferer betroffen: auch unter der Schwelle?

Auch Unternehmen unter den NIS2-Schwellenwerten (50 Mitarbeiter / 10 Mio. EUR Umsatz) können als Zulieferer regulierter Unternehmen indirekt von NIS2-Pflichten betroffen sein. Für NIS2 Zulieferer betroffen lautet die belastbare Kurzantwort deshalb: Unterhalb der Schwelle sind kleine Unternehmen meist nicht originär Adressat der Richtlinie, müssen aber in der Praxis oft trotzdem Sicherheitsmaßnahmen, Vorfallfristen, Nachweise und vertragliche Zusagen erfüllen, weil ihre Kunden diese Anforderungen entlang der Lieferkette weiterreichen. Aus den KMU-Schwellenwerten von Empfehlung 2003/361/EG folgt also keine Entwarnung für Zulieferer. Im Gegenteil: Weil zehntausende regulierte und mittelbar angebundene Unternehmen ihre Lieferkette prüfen, können potenziell weit über 100.000 KMU im Markt mit NIS2-Anforderungen konfrontiert werden.

Letzte Aktualisierung: 24. März 2026

Wenn Sie die Regulierung im Gesamtbild einordnen wollen, helfen parallel die Beiträge zu CRA vs. NIS2, DORA vs. NIS2 und CRA, NIS2 und AI Act. Für Dienstleister mit starkem Kundenbezug ist außerdem die Branchenseite IT-Dienstleister relevant.

Was für kleine Zulieferer wirklich gilt

Kleine Zulieferer unterhalb der Schwellenwerte sind häufig nicht direkt NIS2-pflichtig, aber sie geraten über Kundenanforderungen in eine faktische Compliance-Kette. Die Richtlinie (EU) 2022/2555 adressiert primär Einrichtungen in den erfassten Sektoren und knüpft den Standardfall an die Größenlogik der Empfehlung 2003/361/EG. Dort gilt ein kleines Unternehmen als Unternehmen mit weniger als 50 Beschäftigten und höchstens 10 Mio. EUR Jahresumsatz oder Bilanzsumme. Wer darunterliegt, fällt regelmäßig nicht automatisch in den Standard-Anwendungsbereich.

Die operative Realität ist trotzdem strenger. Art. 21 Abs. 2 lit. d NIS2 verlangt Lieferkettensicherheit und verweist ausdrücklich auf die Beziehungen zu direkten Lieferanten und Dienstleistern. Regulierte Kunden müssen also prüfen, wie belastbar die Cybersecurity-Praxis ihrer Zulieferer ist. Genau daraus entsteht der Kaskadeneffekt: Das Gesetz verpflichtet den regulierten Kunden, aber der Kunde verpflichtet anschließend seinen Zulieferer.

Für kleine Unternehmen ist diese Unterscheidung entscheidend. Rechtlich heißt sie: keine automatische Direktbetroffenheit. Wirtschaftlich heißt sie: ohne belastbare Sicherheitsnachweise, klare Vorfallprozesse und vertragliche Zusagen sinken die Chancen in Ausschreibungen, Vendor-Assessments und Bestandskundenverlängerungen erheblich.

Direkte vs. indirekte NIS2-Betroffenheit

Die wichtigste Einordnung für Geschäftsführung, Vertrieb und Informationssicherheit ist die saubere Trennung zwischen unmittelbarer Regulierung und mittelbarer Marktbetroffenheit.

PunktDirekte NIS2-BetroffenheitIndirekte NIS2-Betroffenheit als Zulieferer
AusgangspunktUnternehmen fällt selbst unter NIS2Kunde fällt unter NIS2 und gibt Anforderungen weiter
SchwellenwerteRegelmäßig mindestens mittlere Größe oder besondere EinordnungAuch unter 50 Mitarbeitern / 10 Mio. EUR möglich
Primäre PflichtenGovernance, Risikomanagement, Meldepflichten, LieferkettensicherheitVertrags- und Nachweispflichten, Security-Fragebögen, Vorfallmeldungen an Kunden
RechtsfolgeAufsicht, nationale Umsetzungsregeln, mögliche SanktionenKommerzielle Folgen, Vertragsrisiken, Auditdruck, potenzieller Verlust von Aufträgen
Typische NachweisePolicies, Risikoanalysen, Incident- und Business-Continuity-ProzesseMindest-Policies, Schulungsnachweise, Patch- und Backup-Nachweise, Lieferantenkontrolle
LieferketteMuss direkte Lieferanten aktiv steuernMuss eigene Subunternehmer oft ebenfalls einbinden

Die Tabelle zeigt den Kern von NIS2 unter Schwellenwert: Nicht das Gesetz selbst trifft den kleinen Zulieferer zuerst, sondern der Beschaffungs- und Risikomanagementprozess des regulierten Kunden. Gerade Softwarehäuser, MSPs, Entwicklungsdienstleister, Fertiger, Cloud-nahe Anbieter und technische Servicepartner spüren das bereits in Vertragsanlagen und Due-Diligence-Fragebögen.

Warum Art. 21 NIS2 kleine Zulieferer praktisch trotzdem erreicht

Art. 21 Abs. 2 lit. d NIS2 zwingt regulierte Einrichtungen, Lieferkettenrisiken aktiv zu betrachten. EUR-Lex beschreibt dazu ausdrücklich, dass Unternehmen bei der Auswahl angemessener Maßnahmen die Schwachstellen jedes direkten Lieferanten und Dienstleisters sowie die Qualität ihrer Produkte und Cybersecurity-Praktiken berücksichtigen müssen. Für Zulieferer ist das die eigentliche Schlüsselnorm.

Die praktische Folge ist einfach: Wer ein wesentliches Produkt, einen kritischen Dienst oder einen technisch sensiblen Zugang liefert, wird aus Kundensicht Teil der eigenen Angriffsfläche. Deshalb fragen regulierte Unternehmen nicht nur nach Preis, SLA und Funktion, sondern nach MFA, Backup-Konzept, Incident Handling, Schwachstellenmanagement, Zugriffstrennung, Secure Development und Subunternehmerstruktur.

Die Durchführungsverordnung (EU) 2024/2690 verschärft dieses Bild für bestimmte digitale Sektoren noch einmal. Sie verlangt für die dort erfassten Unternehmen eine dokumentierte Supply-Chain-Security-Policy, Kriterien für Auswahl und Vertragsschluss mit Lieferanten sowie vertraglich festgelegte Cybersecurity-Anforderungen. Auch wenn diese Verordnung nicht jeden kleinen Zulieferer unmittelbar reguliert, wirkt sie in der Beschaffung als Blaupause. Große Kunden übernehmen diese Maßstäbe in ihre Standardverträge und Sicherheitsanhänge.

Genau deshalb sind NIS2 Zulieferer Pflichten oft keine abstrakte Zukunftsfrage mehr, sondern eine Vertriebsrealität. Wer heute an Energieunternehmen, Gesundheitsorganisationen, digitale Infrastrukturen, Managed-Service-Umgebungen oder Finanz-nahe Organisationen liefert, wird regelmäßig mit denselben Mindestbausteinen konfrontiert, die das regulierte Unternehmen selbst nachweisen muss.

Welche Anforderungen typischerweise an kleine Zulieferer weitergereicht werden

Am häufigsten werden keine kompletten Gesetzestexte weitergegeben, sondern konkret prüfbare Vertragspflichten. Das ist für kleine Unternehmen sogar anspruchsvoller, weil Kunden weniger nach juristischen Definitionen und mehr nach belastbaren Belegen fragen.

Typische weitergereichte Anforderungen sind:

  1. Vorfallmeldung an den Kunden. Viele Verträge verlangen eine erste Meldung innerhalb von 24 Stunden und weitere Informationen innerhalb von 48 bis 72 Stunden, damit der regulierte Kunde seine eigenen Meldepflichten einhalten kann.
  2. Mindeststandards für Zugriff und Identitäten. MFA, Rollen- und Rechtekonzepte, Onboarding- und Offboarding-Prozesse sowie privilegierte Konten werden fast immer abgefragt.
  3. Patch- und Schwachstellenmanagement. Kunden wollen wissen, wie schnell kritische Lücken bewertet, priorisiert und geschlossen werden.
  4. Backup, Recovery und Business Continuity. Gerade bei produktionsnahen oder datenintensiven Leistungen werden Wiederanlaufzeiten und Wiederherstellungstests relevant.
  5. Secure Development oder sichere Beschaffung. Software- und Plattformanbieter sollen dokumentieren, wie Änderungen geprüft, freigegeben und abgesichert werden.
  6. Audit- und Auskunftsrechte. Kunden wollen Nachweise sehen, Audits durchführen oder Drittreports anfordern können.
  7. Flow-down auf Subunternehmer. Wenn Sie selbst outsourcen, sollen Ihre Unterauftragnehmer dieselben Sicherheitsanforderungen einhalten.

Diese Punkte sind für kleine Unternehmen relevant, obwohl sie formal nicht selbst unter NIS2 fallen. Das bedeutet auch: NIS2 indirekte Betroffenheit entsteht nicht erst beim Großkonzern, sondern schon dann, wenn Ihr Kunde seine kritischen Prozesse gegenüber Aufsicht, Versicherern oder internen Revisoren absichern muss.

Müssen kleine Zulieferer jetzt ein vollständiges ISMS einführen?

Ein vollständiges ISMS ist für kleine Zulieferer nicht automatisch die einzig richtige Antwort. Die häufig bessere Antwort ist ein verhältnismäßiges, dokumentiertes Sicherheits-Grundsystem, das auf die tatsächlichen Kundenanforderungen ausgerichtet ist.

Für viele KMU genügt am Anfang kein Normzertifikat, aber auch kein loses Set einzelner Maßnahmen. Erwartet wird ein zusammenhängender Nachweis, dass das Unternehmen Cyberrisiken versteht und steuern kann. Die Mindestarchitektur sieht in der Praxis meist so aus:

  1. Verantwortung benennen. Eine Person oder kleine Funktionseinheit muss Informationssicherheit koordinieren.
  2. Kritische Systeme und Daten kennen. Ohne Asset- und Prozesssicht können Sie weder Kundenfragen noch Vorfälle sauber beantworten.
  3. Vorfallprozess dokumentieren. Wer informiert wen, in welcher Frist und mit welchen Mindestinhalten?
  4. Zugriffe kontrollieren. Joiner-Mover-Leaver, MFA, Admin-Konten und Drittzugriffe müssen sauber geregelt sein.
  5. Backups und Wiederherstellung testen. Nachweise zählen mehr als Absichtserklärungen.
  6. Lieferantensteuerung aufbauen. Wenn Sie selbst auf Cloud-, Hosting- oder Entwicklungspartner angewiesen sind, müssen diese im Blick sein.
  7. Schulungen belegen. Kunden erwarten zunehmend, dass Rollen mit Systemzugriffen oder Sicherheitsaufgaben nachvollziehbar sensibilisiert sind.

Wer diese Punkte belastbar dokumentiert, hat für viele Vendor-Assessments bereits eine deutlich bessere Ausgangslage als Unternehmen, die nur einzelne Tools gekauft haben. NIS2 kleine Unternehmen ist deshalb weniger eine Frage nach Perfektion als nach Nachweisfähigkeit.

Was passiert, wenn ein kleiner Zulieferer die Anforderungen nicht erfüllt?

Der erste Schaden ist meist wirtschaftlich, nicht behördlich. Kleine Zulieferer verlieren Aufträge typischerweise nicht wegen eines formalen NIS2-Bescheids, sondern weil der Kunde sein Drittparteirisiko nicht vertreten kann. Beschaffung, Informationssicherheit, Datenschutz, Revision und Fachbereich ziehen hier zunehmend gemeinsam.

Die häufigsten Folgen sind:

  1. Verzögerte Vertragsabschlüsse. Der Deal hängt im Security Review fest.
  2. Zusätzliche Vertragsauflagen. Kunden verschärfen SLAs, Audit-Rechte, Vertragsstrafen oder Sonderkündigungen.
  3. Aufwand in Bestandsverträgen. Auch laufende Lieferanten werden neu bewertet und müssen Nachweise nachreichen.
  4. Ausschluss aus Ausschreibungen. Fehlende Basismaßnahmen disqualifizieren früh.
  5. Reputationsschaden nach Vorfällen. Ein Incident ohne definierte Kundenkommunikation wirkt sofort wie ein Governance-Defizit.

Hinzu kommt ein strategischer Punkt: Wer heute keine belastbare Lieferanten-Compliance aufbaut, wird morgen auch andere Regime schwerer erfüllen. Genau das sieht man bereits an den Überschneidungen mit CRA vs. NIS2 und DORA vs. NIS2. Die Anforderungen unterscheiden sich im Detail, aber die Erwartung an Dokumentation, Lieferkette und Vorfallsteuerung ist ähnlich.

Was kleine Zulieferer jetzt konkret tun sollten

Die richtige Priorität ist nicht, jede denkbare Norm vollständig einzuführen. Die richtige Priorität ist, die kundenseitig prüfbaren Sicherheitsbausteine in eine belastbare Reihenfolge zu bringen.

Ein pragmischer Umsetzungsplan für die nächsten 90 Tage sieht so aus:

  1. Kundenportfolio nach Regulierung sortieren. Markieren Sie alle Kunden, die selbst wahrscheinlich unter NIS2, DORA oder CRA-bezogene Lieferkettenprüfungen fallen.
  2. Vertragsanhänge und Fragebögen sammeln. Daraus ergibt sich schneller als aus abstrakter Rechtslektüre, welche Anforderungen Ihr Unternehmen wirklich erfüllen muss.
  3. Mindestdokumentation erstellen. Sicherheitsrichtlinie, Incident-Prozess, Backup-Regel, Zugriffsregel und Lieferantenübersicht gehören zuerst auf den Tisch.
  4. Vorfallfristen intern testen. Wenn ein Kunde innerhalb von 24 Stunden informiert werden will, müssen Verantwortliche, Kontaktwege und Eskalation vorher feststehen.
  5. Subunternehmer identifizieren. Alles, was Ihre Leistung technisch mitträgt, gehört in eine belastbare Übersicht.
  6. Nachweise zentral ablegen. Schulungen, Tests, Reports, Policies und Ansprechpartner müssen für Audits schnell verfügbar sein.
  7. Vertrieb und Delivery briefen. Wer Angebote schreibt oder Kunden betreut, muss Sicherheitszusagen verstehen, bevor sie vertraglich abgegeben werden.

Dieser Plan ist bewusst klein gehalten. Für viele KMU ist Geschwindigkeit wichtiger als formale Vollständigkeit. Ein sauber dokumentierter Basisschutz mit klaren Zuständigkeiten und realistischen Zusagen schlägt fast immer eine übergroße Roadmap ohne belastbare Evidenz.

Deutschland-Status und warum Zulieferer nicht auf die nationale Umsetzung warten sollten

Zulieferer sollten nicht darauf setzen, dass fehlende oder verspätete nationale Umsetzung sie schützt. Die Europäische Kommission führt auf ihrer Deutschland-Seite mit letztem Update vom 7. Juli 2025 für Deutschland den Status einer nicht vollständig notifizierten Umsetzung und nennt weiterhin das BSI als Single Point of Contact und nationales CSIRT. Für Verträge und Beschaffungspraxis ist das aber nur begrenzt entlastend.

Der Grund ist einfach: Große und regulierte Kunden bauen ihre Anforderungen nicht erst nach Abschluss jeder nationalen Gesetzesstufe, sondern bereits jetzt entlang der unionsrechtlichen NIS2-Logik auf. Wer auf das endgültige deutsche Detailgesetz wartet, reagiert meist zu spät auf Security-Fragebögen, Lieferantenklassifizierungen und neue Vertragsanhänge.

Gerade für NIS2 KMU Zulieferer ist die sinnvolle Strategie deshalb vorbereitend statt abwartend. Sie müssen nicht jeden Aufsichtspunkt lösen, aber Sie sollten die Anforderungen beherrschen, die Ihnen der Markt bereits heute abverlangt.

Häufige Fehlannahmen bei NIS2 und kleinen Unternehmen

Die größte Fehlannahme lautet: „Wir sind unter 50 Mitarbeitern, also betrifft uns NIS2 nicht.“ Das ist als juristische Erstprüfung zu grob und als Geschäftsstrategie gefährlich. Kleine Unternehmen können in Lieferketten hochkritische Rollen übernehmen, etwa als Spezialsoftware-Anbieter, OT-Dienstleister, Cloud-Integrator, Wartungspartner oder Datenverarbeiter.

Die zweite Fehlannahme lautet: „Unser Kunde kann uns gar nichts weitergeben, wenn wir selbst nicht reguliert sind.“ Das ist ebenfalls falsch. Der Kunde kann viele Sicherheitsanforderungen vertraglich verlangen, wenn diese für seine eigene regulatorische und operative Resilienz erforderlich sind.

Die dritte Fehlannahme lautet: „Wir brauchen sofort ein großes Zertifikatsprojekt.“ Auch das stimmt so nicht. In vielen Fällen ist ein sauber dokumentierter Mindeststandard mit klarer Verantwortlichkeit, Incident-Kommunikation und verwertbaren Nachweisen der schnellere und wirtschaftlich bessere Einstieg.

Die vierte Fehlannahme lautet: „NIS2 ist nur ein IT-Thema.“ In Wahrheit hängen Vertrieb, Einkauf, Legal, Operations und Geschäftsführung direkt mit drin. Besonders kritisch wird es immer dort, wo Kunden Zusagen zur Meldefrist, zu Subunternehmern oder zur Wiederherstellbarkeit in den Vertrag schreiben.

FAQ zu NIS2 für kleine Zulieferer

Bin ich als Zulieferer unter 50 Mitarbeitern von NIS2 betroffen?

Direkt meist nicht. Die NIS2-Richtlinie erfasst typischerweise Einrichtungen in den Anhängen I und II ab der KMU-Schwelle nach Empfehlung 2003/361/EG. Als kleiner Zulieferer können Sie aber indirekt stark betroffen sein, wenn regulierte Kunden Sicherheitsanforderungen, Vorfallfristen, Nachweise, Audit-Rechte und Subunternehmerpflichten vertraglich an Sie weitergeben.

Welche NIS2-Pflichten können vertraglich an Zulieferer weitergegeben werden?

Typisch weitergegeben werden Incident-Notification-Fristen, Mindestanforderungen an Zugriffsschutz und Patch-Management, Nachweispflichten zu Schulungen und Sicherheitsprozessen, Audit- und Auskunftsrechte, Business-Continuity-Anforderungen sowie Flow-down-Klauseln für eigene Subunternehmer. Rechtlich bleibt die Primärverantwortung beim regulierten Kunden, operativ müssen Zulieferer diese Anforderungen aber oft mittragen.

Muss ich als kleiner Zulieferer ein ISMS einführen?

Nicht zwingend in jedem Fall. Ein vollständiges ISMS nach Norm ist nicht automatisch gesetzlich vorgeschrieben. Praktisch brauchen viele kleine Zulieferer aber zumindest ein dokumentiertes Sicherheits-Grundsystem mit Verantwortlichkeiten, Asset-Übersicht, Incident-Prozess, Lieferantenkontrolle, Backups, Zugriffsmanagement und Schulungsnachweisen, weil genau diese Punkte in Security-Fragebögen und Verträgen abgefragt werden.

Was passiert wenn ich als Zulieferer NIS2-Anforderungen nicht erfülle?

Meist droht nicht zuerst ein NIS2-Bußgeld, sondern ein kommerzieller Schaden: verzögerte Beschaffung, verlorene Ausschreibungen, zusätzliche Audits, verschärfte Vertragsauflagen oder im Extremfall Vertragsbeendigung. Wenn Ihr Unternehmen ausnahmsweise doch direkt in den NIS2-Anwendungsbereich fällt, kommen zusätzlich aufsichtsrechtliche Pflichten und mögliche Sanktionen hinzu.

Welche Zertifikate oder Nachweise brauchen NIS2-Zulieferer?

NIS2 schreibt kleinen Zulieferern kein einheitliches Pflicht-Zertifikat vor. In der Praxis zählen verwertbare Nachweise: Sicherheitsrichtlinien, Incident-Prozess, Schulungsprotokolle, Penetrationstest- oder Audit-Berichte, Backup- und Recovery-Nachweise, Lieferantenregister, Zugriffsregeln und gegebenenfalls vorhandene Standards wie ISO 27001 oder TISAX als ergänzende Evidenz.

Fazit: Unter der Schwelle heißt nicht außerhalb des Risikos

Für NIS2 Zulieferer betroffen ist die richtige Schlussfolgerung klar: Kleine Unternehmen unter 50 Mitarbeitern oder 10 Mio. EUR Umsatz sind häufig nicht direkt reguliert, aber sie stehen trotzdem im Wirkungsbereich von NIS2, sobald ihre Kunden kritische oder wichtige Funktionen absichern müssen. Der relevante Maßstab ist deshalb nicht nur die eigene Unternehmensgröße, sondern die Bedeutung Ihrer Leistung in der Lieferkette.

Wenn Ihr Unternehmen als Zulieferer an regulierte Kunden verkauft, sollten Sie jetzt Mindestdokumentation, Vorfallkommunikation, Subunternehmertransparenz und Sicherheitsnachweise aufbauen. Wer diese Grundlagen früh strukturiert, verbessert nicht nur seine Compliance-Position, sondern auch Abschlussquote, Vertragsfähigkeit und Bestandskundensicherheit.

Wenn Ihr Team regulatorische Governance-Pflichten sauber einordnen und intern belastbar dokumentieren soll, ist unsere EU AI Act Schulung ein sinnvoller Startpunkt für gemeinsames Compliance-Verständnis in Management, Fachbereichen und operativen Teams. Ergänzend helfen CRA vs. NIS2, DORA vs. NIS2 und CRA, NIS2 und AI Act, damit angrenzende Regime nicht isoliert umgesetzt werden.

Quellen

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →