NIS2 trifft den Mittelstand über die Lieferkette: der Fragebogen Ihres Großkunden

Sie sind zu klein für NIS2? Wahrscheinlich. Und trotzdem liegt er vielleicht bald auf Ihrem Tisch: der Sicherheitsfragebogen eines Großkunden, acht Seiten, Rückgabefrist drei Wochen, und am Ende die Unterschrift der Geschäftsführung. Willkommen in der Lieferketten-Realität der EU-Richtlinie NIS2.

Warum Ihr Kunde plötzlich Ihre IT prüft

NIS2 verpflichtet betroffene Unternehmen, mittlere und große Betriebe bestimmter Sektoren, nicht nur die eigene IT abzusichern, sondern auch die Risiken ihrer Lieferkette zu managen. Heißt konkret: Wer betroffene Kunden beliefert, bekommt deren Pflichten vertraglich weitergereicht, als Fragebogen, Sicherheitsanhang zum Rahmenvertrag oder Auditklausel. Ob Sie selbst unter die Richtlinie fallen, spielt dabei keine Rolle.

Verweigern ist selten eine Option: Wer nicht oder erkennbar schlecht antwortet, fliegt bei der nächsten Lieferantenbewertung aus der Auswahl, leise und ohne Diskussion.

Was typischerweise gefragt wird

Die Fragebögen ähneln sich erstaunlich, denn sie spiegeln die NIS2-Maßnahmenkataloge:

• Zugriffsschutz: Gibt es Multi-Faktor-Authentifizierung? Wie werden Administratorzugänge geschützt?
• Datensicherung: Existieren getrennte, getestete Backups mit dokumentierten Wiederherstellungstests?
• Schwachstellen- und Patch-Management: Wie schnell werden Sicherheitsupdates eingespielt?
• Vorfallmanagement: Gibt es einen Notfallplan, Meldewege und definierte Verantwortliche?
• Mitarbeiter: Werden Beschäftigte regelmäßig sensibilisiert oder geschult?
• Risikomanagement und Nachweise: Sind Maßnahmen dokumentiert, gibt es Richtlinien?

Auffällig: Nichts davon ist exotisch. Es ist die Grundausstattung ordentlich betriebener IT, nur eben nachweisbar statt mündlich.

Der gefährlichste Fehler: schönfärben

Die Versuchung ist groß, überall "Ja" anzukreuzen, schließlich hängt der Auftrag dran. Davon raten wir dringend ab: Falsche Angaben fallen spätestens beim Audit oder im Schadensfall auf, und dann steht mehr auf dem Spiel als ein Auftrag. Die bessere Reihenfolge: ehrliche Bestandsaufnahme, Lücken priorisiert schließen, dann antworten, mit Belegen statt Bauchgefühl. Eine strukturierte IT-Sicherheitsanalyse liefert genau diese Grundlage.

Aus der Pflicht einen Vorteil machen

Hier liegt die eigentliche Chance: Die meisten Ihrer Mitbewerber tun sich mit diesen Fragebögen genauso schwer. Wer als kleiner Lieferant schnell, fundiert und belegbar antworten kann, wird vom Risiko zum Vorzeige-Partner, ein Verkaufsargument, das nichts mit dem Preis zu tun hat.

Die Bausteine dafür, von MFA über getestete Backups bis zum IT-Notfallplan, richten wir ein und dokumentieren sie so, dass der nächste Fragebogen in Stunden statt Wochen beantwortet ist. Mehr dazu auf unserer Seite zur IT-Compliance, oder direkt im kostenlosen Erstgespräch.