NIS-2 trifft nicht nur die direkt regulierten Unternehmen. Sie trifft auch ihre Lieferketten.
Viele Unternehmen fragen gerade: „Fallen wir selbst unter NIS-2?“ Die wichtigere Frage lautet oft: „Fallen unsere Kunden darunter?“
Denn sobald ein Unternehmen als wichtige oder besonders wichtige Einrichtung gilt, muss es Cyberrisiken in der eigenen Lieferkette aktiv steuern. Dadurch landen NIS-2-Anforderungen plötzlich bei Zulieferern, Dienstleistern, Softwareanbietern, Agenturen, Hostingpartnern, Logistikern, Produktionsbetrieben und Managed-Service-Providern — auch dann, wenn diese Unternehmen selbst nicht direkt NIS-2-pflichtig sind.
Was kommt konkret?
Kunden werden zunehmend Nachweise verlangen:
- Informationssicherheitsmanagement
- Risikoanalysen
- Incident-Response-Prozesse
- Backup- und Wiederanlaufkonzepte
- Multi-Faktor-Authentifizierung
- Patch- und Schwachstellenmanagement
- sichere Entwicklungsprozesse
- klare Meldewege bei Sicherheitsvorfällen
- Audit-Rechte und Security-Fragebögen
- Pflichten für Unterauftragnehmer
Der Grund ist einfach: Betroffene Unternehmen müssen nicht nur ihre eigene IT absichern. Sie müssen auch Risiken durch direkte Lieferanten und Dienstleister bewerten.
Damit wird Cybersecurity in der Lieferkette vom „IT-Thema“ zum Geschäfts- und Vertriebsthema.
Sebastian Balz — Gründer von CognicWer regulierte Kunden bedienen will, muss zeigen können, dass Informationssicherheit organisiert, dokumentiert und überprüfbar umgesetzt wird.
Die größte Falle?
Fragebögen schnell ausfüllen, ohne intern Substanz aufzubauen. Denn ein Häkchen im Lieferantenportal hilft wenig, wenn später kein Prozess, keine Richtlinie, kein Verantwortlicher und kein Nachweis existiert.
Ein pragmatischer Fahrplan
- Prüfen, ob das eigene Unternehmen direkt betroffen ist.
- Kunden mit NIS-2-Bezug identifizieren.
- Kritische Leistungen, Datenflüsse und Zugriffe analysieren.
- Ein schlankes ISMS aufbauen.
- Incident-Response und Meldewege definieren.
- Sicherheitsnachweise vorbereiten.
- Verträge auf erfüllbare Security-Pflichten prüfen.
NIS-2 ist nicht nur Regulierung
NIS-2 wird zu einem neuen Vertrauensstandard in B2B-Lieferketten. Vorbereitete Unternehmen beantworten Security-Fragebögen schneller, reduzieren Reibung im Einkauf und wirken als verlässlicher Partner. Unvorbereitete Unternehmen werden schnell als Risiko wahrgenommen — selbst wenn Produkt, Preis und Leistung stimmen.
Die eigentliche Frage ist nicht „Müssen wir NIS-2 machen?“, sondern: „Können wir unseren Kunden morgen beweisen, dass wir kein Cyberrisiko in ihrer Lieferkette sind?“
Wer darauf keine gute Antwort hat, sollte jetzt anfangen. Cognic unterstützt Unternehmen dabei, NIS-2-Anforderungen pragmatisch einzuordnen, Lieferkettenrisiken sichtbar zu machen und belastbare Sicherheitsnachweise aufzubauen.
