Hugo Shield – NIS2-Lieferketten- Compliance für den Mittelstand

Zulieferer absichern. Auftraggeber überzeugen. Netzwerkeffekt nutzen.

Hugo Shield ist eine Zwei-Seiten-Plattform: Zulieferer füllen ein Self-Assessment aus und bekommen einen Compliance-Score A–F. Auftraggeber sehen alle Zulieferer-Scores in Echtzeit. Jeder Auftraggeber bringt 15–30 Zulieferer mit – ein Netzwerkeffekt, der die gesamte Lieferkette professionalisiert.

Ich bin Auftraggeber Ich bin Zulieferer

Beide Seiten starten kostenlos. Auftraggeber-Tarife ab 199 €/Monat · Zulieferer-Basis dauerhaft 0 €.

7 Anleitungen & Hilfe → docs.fraghugo.de

29.000

Unternehmen betroffen

83 %

mit Nachholbedarf

50

Fragen

A–F

Score

Ab 0 €

für Zulieferer

Server in Deutschland

Zwei Seiten – ein Ziel

Eine Plattform, zwei Zielgruppen

Für Zulieferer

Sie sind Zulieferer? Beweisen Sie Ihre Compliance.

Problem: Ihr Auftraggeber verlangt einen NIS2-Nachweis. Ohne gehen Aufträge verloren.

Lösung: 50 Fragen beantworten, Score bekommen, Maßnahmenplan erhalten, fertig.

Ihr Score gilt für alle Auftraggeber – einmal ausfüllen, überall nutzen.

Für Auftraggeber

Sie sind Auftraggeber? Behalten Sie den Überblick.

Problem: NIS2 verpflichtet Sie, die IT-Sicherheit ALLER Zulieferer nachzuweisen. Bei 30 Zulieferern ist das ohne Tool unmöglich.

Lösung: Dashboard mit allen Zulieferer-Scores in Echtzeit. Einladungen versenden. Lücken sofort sehen.

Jeder Auftraggeber bringt 15–30 Zulieferer mit – Netzwerkeffekt inklusive.

Preise für Auftraggeber

Auftraggeber-Tarife

Behalten Sie den Überblick über die IT-Sicherheit Ihrer gesamten Lieferkette.

Sie sind Zulieferer und möchten Ihr Assessment ausfüllen? Preise für Zulieferer →

Feature Empfohlen Team 199 € pro Monat Enterprise 499 € pro Monat
Zulieferer einladen Maximale Anzahl an Zulieferern, die Sie zu Ihrem Dashboard einladen und bewerten lassen können. Bis 25 Unbegrenzt
Dashboard mit allen Scores Übersichtliches Dashboard mit Ampelfarben: Sofort sehen welche Zulieferer nachbessern müssen.
Echtzeit-Benachrichtigungen Automatische Benachrichtigung wenn ein Zulieferer sein Assessment abschließt oder sich sein Score ändert.
Risiko-Übersicht Aggregierte Risikoanalyse über alle Zulieferer hinweg. Identifizieren Sie systematische Schwachstellen in Ihrer Lieferkette.
Eigene Fragensets Ergänzen Sie das Standard-Assessment um branchenspezifische oder unternehmensinterne Sicherheitsfragen.
Custom Reports Maßgeschneiderte Reports für Management, Vorstand oder Aufsichtsbehörde – mit Ihrem Branding.
Badge-Status pro Zulieferer Sehen Sie auf einen Blick welche Zulieferer ein aktives Badge haben.
Audit & Integration
CSV-/Excel-Export Zulieferer-Liste, Scores, Antworten und Audit-Events als CSV/Excel exportieren – für Ihr ISMS, Auditor oder eigene Reports.
Auditor-PDF-Report (BSI §30 / ISO 27001:2022) Strukturierter PDF-Report mit Zeitstempel, Methodik-Hinweis und Mapping zu BSI §30 BSIG bzw. ISO 27001:2022 Annex A.5.19–A.5.22. Zum Vorlegen beim internen/externen Auditor.
White-Label-Einladungen Einladungs-Mails an Zulieferer mit Ihrem Logo, Absender-Namen und Ihren Farben — keine 'Hugo Shield'-Markenelemente. Roadmap Q3/26
REST-API & Webhooks Zulieferer-Scores, Events und Badges per REST-API ins eigene ISMS / Procurement-Tool übergeben. Webhooks bei Score-Änderung, Assessment-Abschluss, Badge-Expiry. Roadmap Q4/26
14 Tage kostenlos testen

14 Tage kostenlos, jederzeit kündbar

 Demo anfordern

Sie haben mehr als 25 Zulieferer?

Zwischen Team (25) und Enterprise (unbegrenzt) vermitteln wir auf Anfrage eine Staffel — typisch für 26–100 Zulieferer ist Team + 8 € pro zusätzlichem Zulieferer/Monat. Ab 80+ Zulieferern lohnt Enterprise in der Regel preislich. Für eine genaue Empfehlung kurz mit Nils sprechen – wir kalkulieren Ihnen das Paket passgenau für Ihre Lieferantenzahl.

Preise für Zulieferer

Zulieferer-Tarife

Starten Sie kostenlos mit dem Basis-Assessment oder nutzen Sie Premium für den vollen Funktionsumfang.

Feature Basis 0 € kostenlos Empfohlen Zulieferer Premium 49 € pro Monat · für Zulieferer
Self-Assessment (50 Fragen) 50 strukturierte Fragen in 6 Kategorien: Governance, Zugangskontrolle, Incident Response, Business Continuity, Supply Chain und physische Sicherheit.
Compliance-Score A–F Ihr Score von A (exzellent) bis F (kritisch) zeigt Auftraggebern auf einen Blick Ihren Sicherheitsstand.
Score sichtbar für Auftraggeber Auftraggeber die Sie eingeladen haben können Ihren Score in ihrem Dashboard sehen – transparent und automatisch.
KI-gestützter Maßnahmenplan Unsere KI analysiert Ihre Branche, Unternehmensgröße und konkreten Schwachstellen – und erstellt einen individuellen Maßnahmenplan mit Schritt-für-Schritt-Anleitungen. Nicht generisch, sondern passend für Ihr Unternehmen.
PDF-Zertifikat Offizielles Compliance-Zertifikat als PDF zum Vorlegen bei Auftraggebern, Behörden oder zur internen Dokumentation.
Branchen-Benchmark Sehen Sie wie Ihr Unternehmen im Vergleich zu anderen in Ihrer Branche abschneidet. 'Sie sind besser als 67% der Logistik-Unternehmen' – motiviert zur Verbesserung und überzeugt Auftraggeber.
Persönliche Beratung Persönliches Gespräch mit Nils zur Besprechung Ihrer Ergebnisse und zur Priorisierung der Maßnahmen.
Vierteljährliche Neubewertung Alle 3 Monate können Sie Ihr Assessment wiederholen und Ihren Fortschritt dokumentieren.
NIS2-Badge
NIS2-Compliance Badge Ein offizielles Badge das Ihre NIS2-Compliance nachweist. Zeigt Ihren Grade (A-F) und das Gültigkeitsdatum.
Badge-Embed-Code
Verifizierungsseite mit Grade
Badge synchron mit Assessment Ihr Badge ist immer aktuell: Nach jedem Re-Assessment wird der Score automatisch aktualisiert.
Kostenlos starten Premium testen – 14 Tage kostenlos

14 Tage kostenlos, jederzeit kündbar
So funktioniert es

Hugo Shield im Detail

50 Fragen in 6 Kategorien

  • Governance & Organisation
  • Zugangskontrolle
  • Incident Response
  • Business Continuity
  • Supply Chain Security
  • Physische Sicherheit

Kein IT-Studium nötig – jede Frage ist verständlich formuliert und auf KMU zugeschnitten.

In 30–45 Minuten ausgefüllt. Sie können jederzeit pausieren und später fortfahren.

Die Score-Berechnung ist transparent: Jede Kategorie wird gewichtet und zu einem Gesamtscore aggregiert.

A Hervorragend
B Gut
C Befriedigend
D Ausreichend
E Mangelhaft
F Kritisch

Ihr Score ist Ihre Visitenkarte gegenüber Auftraggebern. Er zeigt auf einen Blick, wie gut Ihr Unternehmen in puncto IT-Sicherheit aufgestellt ist.

KI-gestützter Maßnahmenplan: Der Maßnahmenplan wird individuell für Ihre Branche und Unternehmensgröße erstellt – nicht aus Textbausteinen zusammenkopiert. Für jede Schwachstelle bekommen Sie konkrete Schritte mit Schritt-für-Schritt-Anleitungen, priorisiert nach Dringlichkeit und Aufwand.

Branchen-Benchmark (Premium): Vergleichen Sie sich mit anderen Unternehmen Ihrer Branche. Ihr Auftraggeber sieht Ihren Score und gleichzeitig, wo Sie im Branchenvergleich stehen.

Re-Assessment: Beim Re-Assessment sind Ihre vorherigen Antworten bereits vorausgefüllt – Sie bestätigen nur Änderungen. Dauert beim zweiten Mal nur 10 Minuten statt 30.

Trend-Anzeige: Sehen Sie wie sich Ihr Score über die Quartale entwickelt. Auftraggeber sehen den Trend ebenfalls – ein steigender Score zeigt dass Sie IT-Sicherheit ernst nehmen.

NIS2-Badge: Premium-Zulieferer mit Grade C oder besser erhalten ein professionelles NIS2-Badge. Es wird bei jedem Re-Assessment automatisch aktualisiert.

Vorschau: Shield Certified Badge

NIS2 CERTIFIED Hugo Shield GRADE B
  • Alle Zulieferer auf einen Blick – sortiert nach Score, Branche oder Risiko.
  • Ampelfarben: Sofort sehen, wer nachbessern muss – ohne Tabellen lesen.
  • Einladungssystem: Link per E-Mail an Zulieferer senden – Assessment startet automatisch.
  • Netzwerkeffekt: Jeder Auftraggeber bringt 15–30 Zulieferer mit – die Plattform wächst organisch.

Das Hugo-Shield-Fragenset ist kein frei erfundener Katalog. Jede der 50 Fragen in 6 Kategorien adressiert eine konkrete Anforderung aus §30 BSIG (Risikomanagement & Lieferkettensicherheit) und ISO/IEC 27001:2022 Annex A.5.19–A.5.22 (Supplier Relationships). Für ISO-zertifizierte Firmen bedeutet das: Die Assessment-Ergebnisse sind direkt auditfähig – inklusive Mapping-Tabelle im Auditor-PDF.

§30 BSIG – Lieferkettensicherheit

  • Abs. 1 Nr. 4: Sicherheit der Lieferkette → Kategorie Supply Chain Security
  • Abs. 1 Nr. 2: Incident Handling → Kategorie Incident Response
  • Abs. 1 Nr. 3: Business Continuity → Kategorie Business Continuity
  • Abs. 1 Nr. 5: Zugangskontrolle/Krypto → Kategorie Zugangskontrolle

ISO 27001:2022 – Annex A

  • A.5.19 Lieferantenbeziehungen → Kategorie Supply Chain Security
  • A.5.20 Lieferanten-Vereinbarungen → Kategorie Governance
  • A.5.21 IKT-Lieferkette → Kategorie Supply Chain Security
  • A.5.22 Monitoring & Review → Re-Assessment vierteljährlich

Für Ihren Auditor: Der Auditor-PDF-Report (Team & Enterprise) enthält die vollständige Mapping-Tabelle Frage → Kontrolle sowie Methodik-Hinweis, Zeitstempel und Versions-ID des Fragensets. Damit ist jedes Hugo-Shield-Assessment als Nachweis nach §30 BSIG bzw. ISO 27001:2022 vorlagefähig.

Was ist NIS2?

NIS2 ist die EU-Richtlinie zur Stärkung der Cybersicherheit – seit dem 6. Dezember 2025 geltendes deutsches Recht (NIS2UmsuCG). Sie verpflichtet rund 29.000 Unternehmen in 18 kritischen Sektoren zu umfassenden IT-Sicherheitsmaßnahmen – und macht Geschäftsführer persönlich haftbar, wenn diese Maßnahmen nicht umgesetzt werden. 83 % der betroffenen Unternehmen haben laut BSI noch Nachholbedarf.

Wer ist betroffen?

Direkt betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in kritischen Sektoren (Energie, Transport, Gesundheit, Finanzen, IT und viele mehr). Aber: Auch Zulieferer sind betroffen, denn NIS2 fordert explizit die Absicherung der gesamten Lieferkette.

Geschäftsführer-Haftung

Bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (wesentliche Einrichtungen). Persönliche GF-Haftung nach §38 BSIG – nicht delegierbar. Sie haften mit Ihrem Privatvermögen.

Fristen

Seit 6. Dezember 2025 geltendes Recht – ohne Übergangsfrist. BSI-Registrierungsfrist (6. März 2026) bereits abgelaufen. Wer jetzt nicht handelt, ist im Verzug.

Vergleich

Hugo Shield vs. Enterprise-Alternativen

Hugo Shield 199 €/Mon SecurityScorecard 25.000 €+/Jahr UpGuard 5.000 €+/Jahr
Für KMU gemacht Nein (Enterprise) Nein (Enterprise)
Self-Assessment Nur extern Nur extern
Deutsch Englisch Englisch
Preis 25 Zulieferer 199 €/Mon ~25.000 €/Jahr ~5.000 €/Jahr
Persönliche Beratung Nils Nein Nein
Compliance-Badge Nein Nein
Netzwerkeffekt Nein Nein

SecurityScorecard und UpGuard scannen von außen. Hugo Shield fragt die Zulieferer direkt – das ist vollständiger und ehrlicher.

Sind Sie selbst NIS2-betroffen?

Hugo Shield sichert Ihre Lieferkette ab. Aber was ist mit Ihrer eigenen NIS2-Compliance? Hugo DSB macht Sie compliant – mit Dashboard, BSI-Registrierung, Vorfallmeldung und GF-Schulung.

Hugo DSB entdecken
Kostenlose NIS2-Tools

Ist Ihr Unternehmen NIS2-betroffen?

Ihr technischer Ansprechpartner

Wer am Telefon sitzt, wenn Sie anrufen.

Jens Hagel – Mitgründer & IT-Unternehmer
Hamburg · persönlich · seit 2024

Jens Hagel

Mitgründer & IT-Unternehmer

Jens führt seit 2004 die hagel IT-Services GmbH (35 Mitarbeitende) und ist Mitgründer von frag.hugo. Bei NIS2-Lieferketten-Compliance und Hugo Shield reden Sie mit jemandem, der das Tagesgeschäft seit über 20 Jahren selbst macht — keine Theorie, keine PowerPoint-Beratung.

21 Jahre IT-Unternehmerstatista / brand einshagel IT GründerSYNAPSE KI
Vollständiges Profil 15-Min-Gespräch buchen Nachricht schreiben LinkedIn
Häufige Fragen

Ihre Fragen zu Hugo Shield

NIS2 ist seit Dezember 2025 geltendes Recht – ohne Übergangsfrist. Direkt betroffen sind rund 29.000 Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in 18 kritischen Sektoren. Aber auch kleinere Zulieferer sind indirekt betroffen: Wenn Ihr Auftraggeber unter NIS2 fällt, muss er Ihre IT-Sicherheit nachweisen können. Die BSI-Registrierungsfrist (6. März 2026) ist bereits abgelaufen.

Der Zulieferer erhält einen KI-gestützten Maßnahmenplan, individuell für seine Branche und Unternehmensgröße. Im Premium-Tarif berät Nils persönlich bei der Umsetzung. Der Score wird bei der nächsten Bewertung aktualisiert – mit vorausgefüllten Antworten dauert das Re-Assessment nur 10 Minuten.

Hugo Shield wird in deutschen Rechenzentren gehostet (ISO 27001 zertifiziert). Alle Daten werden verschlüsselt übertragen und gespeichert. Zulieferer-Daten sind nur für autorisierte Auftraggeber sichtbar.

Ja, im Enterprise-Tarif können Sie das Standard-Assessment um eigene branchenspezifische oder unternehmensinterne Sicherheitsfragen ergänzen.

Das Basis-Assessment ist kostenlos – inklusive Score und Sichtbarkeit für Auftraggeber. Der Premium-Tarif (49 €/Monat) bietet zusätzlich einen KI-gestützten Maßnahmenplan, Branchen-Benchmark, PDF-Zertifikat, persönliche Beratung und vierteljährliche Neubewertungen. Sie können Premium 14 Tage kostenlos testen.

Die meisten Zulieferer benötigen 30–45 Minuten beim ersten Mal. Alle Fragen sind verständlich formuliert – kein IT-Fachwissen erforderlich. Sie können jederzeit pausieren und später fortfahren. Beim vierteljährlichen Re-Assessment sind Ihre Antworten vorausgefüllt – dann dauert es nur noch ca. 10 Minuten.

Alle Auftraggeber-Tarife (Team 199 €/Monat, Enterprise 499 €/Monat) sind monatlich zum Laufzeitende kündbar – keine Mindest­vertrags­laufzeit, keine Kündigungsfrist über den aktuellen Abrechnungs­zeitraum hinaus. Die Kündigung erfolgt formlos per E-Mail an info@fraghugo.de oder direkt in den Plattform-Einstellungen. Bereits erfasste Zulieferer-Scores und -Maßnahmenpläne bleiben Ihnen als PDF-/CSV-Export erhalten.

Für zahlende Auftraggeber garantieren wir eine Verfügbarkeit von 99,5 % pro Monat (außerhalb geplanter Wartungsfenster, die mindestens 48 h im Voraus angekündigt werden). Enterprise-Kunden erhalten zusätzlich einen benannten Ansprechpartner mit Reaktionszeiten von 4 h (werktags) bzw. 24 h (kritische Störungen). Status-Meldungen laufen über status.fraghugo.de.

Ja. Vor Kündigung bzw. jederzeit auf Anfrage erhalten Sie einen vollständigen Export Ihrer Zulieferer-Daten, Scores, Maßnahmen­pläne, Freitext-Antworten und Audit-Reports als CSV und PDF. Der Export ist in allen bezahlten Tarifen inklusive. Nach Kündigung werden Ihre Daten nach einer Schutzfrist von 30 Tagen gelöscht – vorher können Sie den Export jederzeit erneut anfordern.

Ja. Jeder Audit-PDF enthält Methodik, Fragenkatalog mit Zulieferer-Antworten, Score-Herleitung (Gewichtung pro Kategorie), Zeitstempel, QR-Code zur Online-Verifikation und Signaturfeld des Auftraggebers. Wirtschaftsprüfer und externe NIS2-Auditoren akzeptieren das Format als Lieferanten-Nachweis nach § 30 NIS2UmsuCG. Auf Wunsch liefern wir eine Methodenbeschreibung bzw. einen Revisor-Leitfaden (Enterprise-Tarif inklusive, Team gegen Aufpreis).

Ja. frag.hugo verarbeitet die Zulieferer-Daten (Kontakte, Self-Assessment-Antworten, Scores) im Auftrag des Auftraggebers im Sinne des Art. 28 DSGVO. Mit jedem zahlenden Auftraggeber schließen wir einen Auftragsverarbeitungs-Vertrag ab, in dem technische und organisatorische Maßnahmen, Sub­unternehmer (Hetzner Online GmbH für Hosting, Stripe für Zahlungen), Löschfristen und Mitwirkungspflichten geregelt sind. Der AVV liegt beim Onboarding automatisch zur Gegen­zeichnung vor und ist auf Anfrage vorab einsehbar.

Während der aktiven Nutzung bleiben Zulieferer-Daten so lange gespeichert, wie Sie als Auftraggeber die Beziehung pflegen. Wird ein Zulieferer von Ihnen aus der Liste entfernt, werden personenbezogene Kontaktdaten nach 30 Tagen anonymisiert – Scores und Maßnahmen­pläne bleiben aggregiert verfügbar. Nach Vertragsende mit frag.hugo: 30-Tage-Schutzfrist für Exports, dann vollständige Löschung. Zulieferer können ihr eigenes Konto jederzeit selbst kündigen und Daten exportieren.

Bereit für NIS2-Compliance?

Starten Sie jetzt – kostenlos als Zulieferer oder als Auftraggeber mit Demo.

Kostenlos als Zulieferer starten Demo für Auftraggeber
Nils Oehmichen – Datenschutzberater

„NIS2 ist kein IT-Thema – es ist Chefsache. Ich helfe Ihnen dabei.“

– Nils Oehmichen