NIS2 Lieferantenaudit: So bestehen KMU als Zulieferer

Inhalt in Kürze

• NIS2-pflichtige Unternehmen müssen ihre Zulieferer auf Cybersicherheit prüfen – auch wenn diese selbst nicht unter NIS2 fallen.
• Ein typisches Lieferantenaudit umfasst 30–40 Fragen zu Richtlinien, technisch-organisatorischen Maßnahmen, Schulungen und Notfallplänen.
• Wer die Nachweise nicht liefern kann, riskiert den Verlust des Auftrags. Wer vorbereitet ist, stärkt seine Marktposition.
• Mit einer soliden Richtliniensammlung und einem strukturierten Sicherheitskonzept lässt sich das Audit sauber bestehen.

Montag, 8:42 Uhr. Ihr Telefon klingelt.

Dran ist die Einkaufsabteilung Ihres größten Kunden. Ein DAX-Konzern, seit Jahren verlässlicher Auftraggeber. Die Stimme am Telefon klingt routiniert: “Wir müssen im Rahmen unserer NIS2-Pflichten die Lieferkette absichern. Sie bekommen gleich einen Fragebogen per Mail. Bitte füllen Sie ihn innerhalb von 14 Tagen aus und senden die entsprechenden Nachweise mit.”

Sie öffnen die Mail. Zwei Seiten, 38 Fragen. Haben Sie ein Datenschutzkonzept? Wie sind Ihre technisch-organisatorischen Maßnahmen dokumentiert? Gibt es Schulungsnachweise für Mitarbeitende? Wie sieht Ihr Notfallplan aus?

Und plötzlich wird Ihnen klar: Wenn Sie das nicht beantworten können, steht die Geschäftsbeziehung auf dem Spiel.

Was ist ein NIS2-Lieferantenaudit?

Seit Dezember 2025 ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland in Kraft. Es verpflichtet rund 30.000 Unternehmen zu umfassenden Cybersicherheitsmaßnahmen. Ein zentraler Baustein: die Lieferkettensicherheit nach § 30 Abs. 2 Nr. 4 NIS2UmsuCG.

Konkret heißt das: Betroffene Unternehmen müssen die Cybersicherheit ihrer Zulieferer, Dienstleister und Partner bewerten. Sie müssen prüfen, ob diese Mindeststandards einhalten – und das dokumentieren. Tun sie es nicht, riskieren sie selbst Bußgelder bis zu 10 Mio. Euro.

Das Instrument dafür ist das Lieferantenaudit. Ein standardisierter Fragebogen, der die Sicherheitslage des Zulieferers systematisch abfragt. Manche Unternehmen nutzen zusätzlich Vor-Ort-Prüfungen oder verlangen Zertifizierungen.

Für Sie als Zulieferer ist entscheidend: Dieses Audit ist keine Schikane. Es ist eine gesetzliche Pflicht Ihres Kunden. Und Ihr Kunde hat keine Wahl – er muss Sie prüfen.

Wen betrifft es?

Hier liegt das große Missverständnis. Viele mittelständische Unternehmen denken: “NIS2 betrifft uns nicht, wir sind zu klein.” Das mag für die direkten Pflichten stimmen. Aber über die Lieferkette erreicht NIS2 auch Unternehmen, die selbst weit unter den Schwellenwerten liegen.

Die Tabelle zeigt: Es geht nicht darum, ob Sie selbst unter NIS2 fallen. Es geht darum, ob Ihre Kunden darunter fallen. Und in vielen Branchen – vom Maschinenbau über die Logistik bis zur IT-Dienstleistung – ist die Antwort: ja.

Die 5 häufigsten Fragen im Lieferantenaudit

Was genau wird abgefragt? Wir haben dutzende Fragebögen aus der Praxis ausgewertet. Diese fünf Themenbereiche tauchen in fast jedem Lieferantenaudit auf:

1. Richtlinien und Datenschutzkonzept

“Verfügt Ihr Unternehmen über ein dokumentiertes Informationssicherheitskonzept? Wann wurde es zuletzt aktualisiert?”

Gemeint ist keine 200-seitige ISO-Dokumentation. Aber Sie brauchen schriftlich fixierte Richtlinien: IT-Nutzung, Passwort-Policy, Zugangskontrollen, Datenklassifizierung. Ohne diese Grundlage wird es schwierig.

2. Technisch-organisatorische Maßnahmen (TOMs)

“Wie stellen Sie die Vertraulichkeit, Integrität und Verfügbarkeit der bei Ihnen verarbeiteten Daten sicher?”

Hier geht es um Verschlüsselung, Firewall-Konfigurationen, Patch-Management, Zugriffskonzepte und Backups. Die gute Nachricht: Vieles davon haben Sie wahrscheinlich schon. Es ist nur nicht dokumentiert.

3. Schulungsnachweise

“Werden Ihre Mitarbeitenden regelmäßig in Informationssicherheit und Datenschutz geschult? Bitte legen Sie Teilnahmebestätigungen vor.”

Einmal im Jahr, dokumentiert, mit Nachweis. Kein Hexenwerk – aber wenn Sie es bisher nicht gemacht haben, brauchen Sie jetzt einen schnellen Anlauf.

4. Auftragsverarbeitungsverträge (AVVs)

“Bestehen mit allen Subdienstleistern, die Zugang zu personenbezogenen Daten haben, ordnungsgemäße AVVs nach Art. 28 DSGVO?”

Prüfer wollen sehen, dass Sie Ihre eigene Lieferkette im Griff haben. Cloud-Anbieter, SaaS-Tools, IT-Dienstleister – für alle brauchen Sie einen AVV.

5. Notfallplan / Incident Response

“Verfügt Ihr Unternehmen über einen dokumentierten Notfallplan für Sicherheitsvorfälle? Wann wurde dieser zuletzt getestet?”

Der Notfallplan muss kein Buch sein. Aber er muss existieren: Wer wird informiert, welche Schritte greifen, wie schnell melden Sie den Vorfall an den betroffenen Kunden?

Aus der Praxis: Zwei Fälle, die zeigen, wie real das Thema ist

Fall 1 – Industriezulieferer, 150 Mitarbeitende: Ein mittelständisches Unternehmen, das Komponenten für kritische Infrastrukturen produziert. Selbst nicht unter NIS2. Aber die Kunden – öffentliche Auftraggeber und Großkonzerne – schon. Eines Tages kam der Fragebogen: zwei Seiten, 38 Fragen, Nachweise verlangt. Weil wir vorher bereits eine umfassende Richtliniensammlung mit dem Unternehmen aufgebaut hatten, konnte es das Lieferantenaudit sauber bestehen. Die Geschäftsbeziehung zum Großkunden? Gesichert.

Fall 2 – Videoproduktionsfirma, 12 Mitarbeitende: Ein kleines Unternehmen, das Unternehmensvideos produziert. Niemand dort hätte gedacht, dass NIS2 sie betrifft. Dann meldete sich ein großer Gesundheitsdienstleister – einer ihrer wichtigsten Kunden – und verlangte eine Sicherheitsbewertung. Videos produzieren heißt: Zugang zu internen Systemen, sensiblen Informationen, manchmal sogar Patientendaten in Hintergrundaufnahmen. Die Prüfung kam, und sie musste bestanden werden.

Es trifft auch die kleineren Unternehmen, die nicht direkt unter NIS2 fallen – aber aufgrund der Lieferkette ein wichtiger Bestandteil der Unternehmen sind, die unter das Gesetz fallen.

Nils OehmichenDatenschutzberater bei frag.hugo

Beide Fälle zeigen dasselbe Muster: Nicht die eigene Unternehmensgröße entscheidet, sondern die Kundenstruktur. Wer für regulierte Unternehmen arbeitet, wird geprüft. Punkt.

So bereiten Sie sich vor: 5 konkrete Schritte

1. Bestandsaufnahme: Welche Ihrer Kunden fallen unter NIS2 oder KRITIS? Schauen Sie sich die Sektorenliste des BSI an. Wenn auch nur ein relevanter Kunde dabei ist, sollten Sie aktiv werden.
2. Richtlinien erstellen: Sie brauchen mindestens: eine IT-Sicherheitsrichtlinie, eine Datenschutzrichtlinie, ein Zugriffskonzept und einen Notfallplan. Das klingt nach viel, ist aber mit Unterstützung in 4–6 Wochen machbar.
3. TOMs dokumentieren: Schreiben Sie auf, was Sie bereits tun. Firewall? Dokumentieren. Regelmäßige Backups? Dokumentieren. Verschlüsselte Festplatten? Dokumentieren. Oft ist die Lücke nicht die Maßnahme, sondern die Dokumentation.
4. Mitarbeitende schulen: Führen Sie eine Schulung zu Informationssicherheit und Datenschutz durch. Dokumentieren Sie Datum, Inhalt und Teilnehmende. Das ist einer der häufigsten Stolpersteine im Audit.
5. AVVs und Verträge prüfen: Stellen Sie sicher, dass mit allen Ihren Dienstleistern ordnungsgemäße Auftragsverarbeitungsverträge bestehen. Lücken hier fallen im Audit sofort auf.

Ihr nächster Schritt

Sie wollen nicht warten, bis der Fragebogen kommt? Klug. Denn wer vorbereitet ist, besteht nicht nur das Audit – sondern nutzt die Vorbereitung als Wettbewerbsvorteil. Immer mehr Auftraggeber bevorzugen Zulieferer, die ihre Cybersicherheit nachweisen können.

Hugo Shield unterstützt Sie dabei, Ihre NIS2-Lieferketten-Compliance strukturiert aufzubauen. Vom Self-Assessment über die Richtliniensammlung bis zum fertigen Nachweispaket für Ihre Kunden.

Oder sprechen Sie direkt mit uns: Kostenloses Erstgespräch buchen – 30 Minuten, ohne Verkaufsdruck, mit konkretem Fahrplan für Ihre Situation.

Wenn Sie generell Unterstützung beim Datenschutz brauchen: Unser externer DSB-Service deckt DSGVO und NIS2-Vorbereitung ab 149 €/Monat ab.

Häufige Fragen (FAQ)

Was ist ein NIS2-Lieferantenaudit?

Ein NIS2-Lieferantenaudit ist eine systematische Prüfung der Cybersicherheitsmaßnahmen eines Zulieferers oder Dienstleisters. NIS2-pflichtige Unternehmen sind gesetzlich verpflichtet, ihre Lieferkette auf Sicherheitsstandards zu überprüfen (§ 30 Abs. 2 Nr. 4 NIS2UmsuCG). Das Audit erfolgt meist über einen standardisierten Fragebogen mit Nachweispflicht.

Muss ich als kleines Unternehmen ein Lieferantenaudit bestehen?

Wenn Sie Zulieferer oder Dienstleister eines NIS2-pflichtigen Unternehmens sind – ja. Die eigene Unternehmensgröße spielt keine Rolle. Entscheidend ist, ob Ihre Kunden unter NIS2 fallen und Sie als Teil ihrer Lieferkette prüfen müssen. Selbst eine 12-Personen-Firma kann betroffen sein.

Welche Strafen drohen, wenn ich das Audit nicht bestehe?

Ihnen als Zulieferer drohen keine direkten Bußgelder nach NIS2. Aber: Ihr Kunde darf die Geschäftsbeziehung beenden oder einschränken, wenn Sie die geforderten Sicherheitsnachweise nicht liefern können. In der Praxis bedeutet das Auftragsverlust – und das kann existenzbedrohend sein.

Bis wann muss ich vorbereitet sein?

Das NIS2UmsuCG ist seit Dezember 2025 in Kraft – ohne Übergangsfrist. Das heißt: Ihre Kunden sind bereits jetzt verpflichtet, ihre Lieferkette zu prüfen. Die Fragebögen kommen nicht irgendwann, sie kommen jetzt. Je früher Sie vorbereitet sind, desto besser.

Brauche ich eine ISO 27001-Zertifizierung?

Nein, eine Zertifizierung ist für Zulieferer in der Regel nicht vorgeschrieben. Was Sie brauchen, sind dokumentierte Sicherheitsmaßnahmen: Richtlinien, TOMs, Schulungsnachweise, AVVs und ein Notfallplan. Das entspricht im Kern den Anforderungen, ist aber deutlich schlanker und günstiger umzusetzen als eine formale ISO-Zertifizierung.