AI Regulatory Intelligence — by YRproject

sachliche Einordnung · nachvollziehbar bis zur Primärquelle

Compliance-Plattform Zusammenarbeiten LinkedIn NL·EN·DE
Erläuterung

Mein Kunde fällt unter NIS2 und verlangt von mir Maßnahmen — muss das sein?

Verabschiedet 2026-06-16 · ≈ 2 Min. Lesezeit · Dirk Baaijen

NIS2 verpflichtet betroffene Organisationen, die Risiken in ihrer Lieferkette zu beherrschen. Als Lieferant fallen Sie meist nicht selbst unter das Gesetz, aber Ihr Kunde darf Anforderungen vertraglich weitergeben; eine Ablehnung kann bedeuten, dass Sie den Auftrag verlieren.

Kurze Antwort: Ihr Kunde, der unter NIS2 fällt, ist gesetzlich verpflichtet, die Sicherheit seiner Lieferkette zu beherrschen, und darf dafür Anforderungen an Sie stellen. Als gewöhnlicher Lieferant fallen Sie in der Regel nicht selbst unmittelbar unter NIS2, aber die Anforderungen erreichen Sie über den Vertrag. Die Erfüllung ist für Sie also keine gesetzliche Pflicht, aber häufig eine Voraussetzung, um den Kunden zu behalten.

Was NIS2 von Ihrem Kunden verlangt

NIS2 — Richtlinie (EU) 2022/2555 — verpflichtet wesentliche und wichtige Einrichtungen, angemessene und verhältnismäßige Maßnahmen zu ergreifen, um die Risiken für ihre Netz- und Informationssysteme zu beherrschen. Artikel 21 nennt dabei ausdrücklich die Sicherheit der Lieferkette, einschließlich der Sicherheitsaspekte der Beziehungen zwischen der Einrichtung und ihren unmittelbaren Lieferanten oder Diensteanbietern. Die Richtlinie verlangt von der betroffenen Organisation also, ihre eigenen Lieferkettenrisiken zu betrachten und ihnen Rechnung zu tragen — auch in ihren Beschaffungs- und Vertragsentscheidungen.

Das ist die Rechtsgrundlage hinter der Anforderung, die Sie erhalten: Ihr Kunde setzt seine eigene Pflicht in der Kette durch. Die Richtlinie legt diese Pflicht der Einrichtung selbst auf, nicht unmittelbar jedem Lieferanten.

Fallen Sie selbst unter NIS2?

NIS2 gilt für Organisationen in den in den Anhängen der Richtlinie genannten Sektoren (wie Energie, Verkehr, digitale Infrastruktur, Lebensmittel und bestimmte Fertigung), die oberhalb der Schwelle für mittlere Unternehmen liegen. Fallen Sie als Lieferant selbst in diese Sektoren und über diese Größe, können Sie unmittelbar unter das Gesetz fallen — mit eigenen Pflichten. Die Richtlinie wird je Mitgliedstaat in nationales Recht umgesetzt; der genaue Anwendungsbereich und die Ausnahmen ergeben sich aus dieser nationalen Umsetzung und der zugehörigen Aufsicht.

Fallen Sie nicht darunter, entsteht Ihre Pflicht nicht aus dem Gesetz, sondern aus dem Vertrag. Die Anforderung Ihres Kunden ist dann eine kommerzielle, vertragliche Anforderung — keine unmittelbare gesetzliche Pflicht für Sie.

Was bedeutet das praktisch?

Drei nüchterne Schlussfolgerungen. Erstens: Die Anforderung ist legitim und wird häufiger wiederkehren, weil Ihr Kunde selbst dafür in die Verantwortung genommen wird. Zweitens: Beurteilen Sie, ob Sie selbst unter NIS2 fallen — das ändert, ob das "Müssen" gesetzlich oder vertraglich ist. Drittens: Selbst ohne eigene gesetzliche Pflicht ist Mitwirken oft sinnvoll, denn eine Ablehnung kann bedeuten, dass der Kunde einen Lieferanten wählt, der die geforderten Maßnahmen sehr wohl nachweisen kann. Welche Maßnahmen angemessen und verhältnismäßig sind, hängt von Ihrer Rolle in der Kette und der Art der Dienstleistung ab; die Richtlinie verlangt Verhältnismäßigkeit, keine identischen Anforderungen für alle.

Lesen Sie auch: Transport & Logistik. Machen Sie den Scan.

Quellen

  1. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
    Richtlinie (EU) 2022/2555 (NIS2); siehe Art. 21 zu Risikomanagementmaßnahmen, einschließlich Sicherheit der Lieferkette.
  2. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
    Europäische Kommission, Erläuterung der NIS2-Richtlinie und ihres Anwendungsbereichs.

Share on LinkedIn

Lesen Sie auch

W

NIS2: der Wegweiser für Cybersicherheit und Unternehmensführung

NIS2 macht Cybersicherheit zur Führungsverantwortung für wesentliche und wichtige Einrichtungen — auch Verkehr und Logistik. Dieser Wegweiser bündelt, wer darunterfällt, welche Maßnahmen und Meldepflichten gelten, die Leitungshaftung und die Lieferkettenpflichten.

U

Cybersicherheit in Seehäfen: NIS2 und der Cyber Resilience Act

Seehäfen fallen unter NIS2 (Richtlinie (EU) 2022/2555): Risikomanagementmaßnahmen, Verantwortung der Leitungsorgane und Meldepflicht. Der Cyber Resilience Act (Verordnung (EU) 2024/2847) stellt Sicherheitsanforderungen an digitale Produkte in Hafenketten.

U

NIS2: Welche Maßnahmen muss ich mindestens treffen?

NIS2 verlangt angemessene Risikomanagementmaßnahmen — von Risikoanalyse, Back-ups und Sicherheit der Lieferkette bis zu Zugriffsverwaltung, Schulung und Verschlüsselung — sowie Leitungsverantwortung. Eine praktische Checkliste für Transport und Logistik.

Dirk Baaijen

Über diese Wissensdatenbank

Zusammengestellt und gepflegt von YRproject — Programm- und Projektsteuerung an der Schnittstelle von digitaler Transformation, KI und Regulierung. Jede sachliche Aussage ist bis zur Primärquelle nachvollziehbar. Hinter YRproject steht Dirk Baaijen Über & Methode →

Ein Projekt oder Programm? Mit YRproject arbeiten →

Das monatliche Briefing

KI-Regulierung in fünf Minuten: was sich geändert hat, was kommt und was es bedeutet. Kein Spam, jederzeit abbestellbar.

Ihre Adresse wird nur hierfür verwendet und auf eigenen Servern gespeichert.