NIS-2 im digitalen Sektor: Was auf Serviceprovider, Cloud- und SaaS-Anbieter zukommt
Sie betreiben digitale Infrastruktur oder bieten digitale Dienste an – und plötzlich landen bei Ihrem Vertrieb oder Customer Support immer öfter Security‑Fragebögen, RFPs oder Audit‑Anfragen auf dem Tisch? Häufig steckt NIS‑2 oder ISO 27001 dahinter: Ihre Kunden müssen Vorgaben erfüllen und geben Anforderungen an ihre Lieferkette, also an ihre Dienstleister, weiter. Wir klären, wie Unternehmen im digitalen Sektor NIS-2-ready werden können und welche Nachweise sie ihren Kunden liefern können sollten.
NIS-2-Betroffenheit im digitalen Sektor: Betrifft uns NIS-2 direkt oder „nur“ über Kunden?
NIS-2 gilt nicht automatisch für alle digitalen Dienste. Ob NIS-2 Sie direkt trifft, hängt in der Praxis vor allem davon ab, was Sie anbieten (z. B. Hosting/Cloud-Betrieb, SaaS, Managed Services) und welche Rolle Sie dabei übernehmen (Betreiber, Anbieter, Subdienstleister). Daneben sind auch Unternehmenskennzahlen wichtig für die allgemeine Feststellung der Betroffenheit. Sektorunabhängige Informationen zu formalen Betroffenheitskriterien finden Sie auf der zentralen Themenseite zur NIS-2-Richtlinie.
Wann sind Anbieter digitaler Infrastruktur oder digitaler Dienste direkt betroffen?
Direkt betroffen sind Sie, wenn Ihr Unternehmen selbst einen der in NIS-2 explizit genannten digitalen Leistungen erbringt und die Schwellenwerte erreicht (ab 50 Mitarbeitende oder 10 Mio. € Umsatz). Dazu zählen als besonders wichtige Einrichtungen (Anhang I): Anbieter von Cloud-Computing (IaaS, PaaS, SaaS), Rechenzentrumsdienste, Content-Delivery-Networks, DNS-Dienste, TLD-Registrierungsstellen, Vertrauensdienste sowie Managed Service und Managed Security Service Provider. Als wichtige Einrichtungen (Anhang II) nennt NIS-2 zudem Betreiber von Online-Marktplätzen, Suchmaschinen und sozialen Netzwerken. Für einige Kategorien wie DNS-Dienste oder Vertrauensdienste gilt die Regulierung sogar größenunabhängig.
Entscheidend ist: Nicht jedes IT-Unternehmen ist betroffen, sondern nur, wer einen dieser konkreten Dienste als eigenes Angebot am Markt betreibt.
Wann liegt im digitalen Sektor indirekte Betroffenehit vor?
Indirekt betroffen sind Sie, wenn Sie zwar keinen regulierten Dienst selbst betreiben, aber als Zulieferer oder Dienstleister in der Lieferkette einer direkt betroffenen Einrichtung stehen. Denn NIS-2 verpflichtet regulierte Unternehmen, Cybersicherheitsanforderungen vertraglich an ihre Lieferkette weiterzugeben. In der Praxis bedeutet das: Auch ohne eigene NIS-2-Pflicht werden Ihre Kunden Nachweise zu Sicherheitsmaßnahmen, Zertifizierungen oder Auditierbarkeit von Ihnen einfordern.
Key Facts:
Sind wir direkt oder indirekt betroffen?
Direkt betroffen
- Wir bieten einen NIS-2-relevanten digitalen Dienst selbst an oder betreiben ihn (z. B. Cloud-Computing, Rechenzentrum, CDN, Managed Services/Managed Security Services, Online-Marktplatz, Online-Suchmaschine, soziales Netzwerk)
und
erfüllen die formalen Kriterien als „wichtige“ oder „besonders wichtige“ Einrichtung.
Indirekt betroffen
- Unsere Kunden zählen zu „wichtigen“ oder „besonders wichtigen“ Einrichtungen und fordern von uns Nachweise.
- Wir betreiben IT-Services für Kunden (z. B. Hosting, Betrieb, Admin-Zugriff) oder sind tief in deren Prozesse eingebunden.
- Wir verarbeiten sensible oder geschäftskritische Daten im Auftrag (z. B. als Auftragsverarbeiter/Subprozessor).
- Wir sind Teil einer Lieferkette, in der Sicherheitsanforderungen „durchgereicht“ werden (RFPs, Fragebögen, Audits).
Quick Check: Ihre Betroffenheit schnell geklärt
Sie sind nicht sicher, ob Sie direkt oder indirekt von NIS-2 betroffen sind? Wir können gemeinsam mit Ihnen in einem Quick Check klären, wo Sie stehen.
Welche Nachweise fragen Kunden typischerweise ab?
In RFPs, Security-Fragebögen und Audits fragen Kunden gezielt nach Punkten, die sie im Rahmen der Lieferketten-Steuerung für ihre eigenen NIS-2-Nachweise benötigen.
Diese Nachweise werden fast immer angefragt
- Backup-Richtlinien oder -Konzepte
- Rollen und Verantwortlichkeiten im Incident-Fall
- Risikomanagement und Maßnahmenplan
- Incident-Management und Meldewege (inkl. Reaktionszeiten und Schnittstelle zum Kunden)
- Lieferanten-Management
- regelmäßige technische Audits (z. B. Schwachstellenmanagement/Pentests)
- Awareness/Schulungen (nicht nur Management)
Wenn diese Nachweise als Paket vorliegen, sinkt der Aufwand im Vertrieb – und die Chance auf Enterprise-Kunden steigt.
Mini-Checkliste: Sind wir bereit für NIS-2-Anfragen im digitalen Sektor?
Neben den allgemeinen Anforderungen, die NIS-2 für direkt und indirekt betroffene Unternehmen mit sich bringt (siehe Hauptseite), sollten Anbieter digitaler Dienste spezifische relevante Themen im Griff haben. Vieles davon ist bestenfalls schon in einem ISMS gemäß ISO 27001 umgesetzt.
Wenn Sie diese Punkte in Ihrem Unternehmen schon umgesetzt haben, sind Sie gut auf Anfragen zu NIS-2 vorbereitet:
- Wir können das Shared-Responsibility-Modell für unseren Dienst in 1 Seite erklären.
- Für Multi-Tenant-Betrieb haben wir Mandantentrennung, Zugriffsrechte und Admin-Prozesse dokumentiert.
- Logging/Monitoring ist geregelt (inkl. Aufbewahrung), relevante Events können wir nachvollziehen.
- Wir haben klare Backup-, Restore- und Notfalltests (RTO/RPO) für Verfügbarkeit.
- Wir steuern Subdienstleister/Lieferanten inkl. Sicherheitsanforderungen und Änderungen.
- Für technische Schwachstellen gibt es regelmäßige Scans, Patch-Prozess und bei Bedarf Pentest-Nachweise.
- Wir haben einen kundentauglichen Incident-Prozess (Meldeweg, Zeiten, Kommunikation).
Wie Sie Maßnahmen für NIS-2-Readiness nach Kundenbedarf priorisieren
Ein kurzer Blick aus Kundensicht hilft, die Prioritäten richtig zu setzen: Jede typische Frage aus RFPs, Security‑Fragebögen oder Audits hat eine konkrete Antwort, die Sie als Anbieter digitaler Dienste wiederverwendbar vorbereiten können. Prüfen Sie für Ihr Unternehmen, welche dieser Aussagen Sie so schon an Ihre Kunden weitergeben könnten und wo Sie noch Handlungsbedarf haben.
Beispiele für Antwortbausteine, die NIS-2-Readiness signalisieren
| Kunde fragt ab | Unsere Antwort |
|---|---|
| Gibt es ein ISMS (oder einen ISO‑27001‑Projektplan) – und wann planen Sie eine Zertifizierung? | Wir haben bereits ein Projekt aufgesetzt, um unser ISMS gem. ISO 27001 aufzubauen. Eine Zertifizierung wollen wir im nächsten Jahr umsetzen. |
| Wie sind Admin‑Zugriffe geregelt und wie erfolgt die Mandantetrennung? | Wir nutzen MFA und dedizierte persönliche Admin‑Konten, arbeiten mit klaren Rollen und Freigabeprozessen. Die Mandantentrennung ist in unserem Mandantenkonzept dokumentiert, inklusive einer kurzen Übersicht für Kundenanfragen. |
| Wie erkennen und managen Sie Sicherheitsvorfälle? | Wir überwachen relevante Events, haben feste Eskalationswege und einen Incident‑Ablaufplan. Meldewege, Reaktions- und Kommunikation im Ernstfall sind definiert, damit Kunden wissen, wann sie welche Information bekommen. |
| Wie sieht Ihr Verfügbarkeitskonzept aus? | Wir haben definierte RTO/RPO‑Ziele, testen Backup und Restore regelmäßig und führen Notfalltests durch. Maßnahmen für Resilienz (z. B. Kapazität, Schutz vor Ausfällen) sind ebenfalls etabliert und dokumentiert. |
| Wie steuern Sie Subdienstleister/Subprozessoren (Auswahl, Änderungen, Nachweise)? | Wir führen eine aktuelle Subprozessor‑Liste, legen Sicherheitsanforderungen vertraglich fest und geben diese an unsere Lieferanten weiter. Lieferantenaudits und Nachweise werden regelmäßig durchgeführt. |
| Wie gehen Sie mit Schwachstellen um? | Wir betreiben ein festes Cybbersecurity‑Programm mit regelmäßigen Schwachstellen-Scans und Penetrationstests, definierten Patch‑Fristen und festgelegtem Umgang mit Findings. Das gilt auch für unsere Webapplikation(en) und API(s). |
| Sind Mitarbeitende sensibilisiert? | Wir schulen Mitarbeitende regelmäßig, dokumentieren Teilnahme und halten schulen auf Richtlinien-Inhalte. Für Kunden können wir unsere Mitarbeiter-Richtlinie und Schulungsnachweise bereitstellen. |
Schnelle Nachweise vs. NIS-2-Umsetzung
Wenn Sie heute schon viele Anforderungen durch Nachweise belegen können, bedeutet das nicht, dass Sie nicht weiter aktiv werden müssen. Sie werden mit Sicherheit auf Kundenfragen stoßen, die Lücken in Ihrem aktuellen Sicherheitskonzept aufdecken. Mehr Informationen zu einer kompletten NIS-2-Umsetzung im Rahmen eines umfassenden Projektes finden Sie auf der Seite zum Projektplan für NIS-2.
FAQ
Fragen zur NIS-2-Richtlinie im digitalen Sektor schnell beantwortet
Bereit für die nächsten Schritte zur Umsetzung der NIS-2-Richtlinie?
Schauen Sie sich weiter in unserer Ressourcen-Sammlung zur NIS-2-Umsetzung um: Von einem Basis-Überblick zur NIS-2-Richtlinie auf der Themen-Hauptseite über die detaillierte Darstellung der Zusammenhänge zwischen NIS-2 und ISO 27001 bis zu Hinweisen zur erfolgreichen Projektplanung werden die wichtigsten Fragen beantwortet.
Für einen aktuellen Überblick zur NIS-2-Implementierung in Deutschland besuchen Sie unser Webinar und stellen dort auch gleich Ihre Fragen an unseren Referenten.
Sobald Sie bereit sind, mit Ihrer NIS-2-Umsetzung zu starten, schauen Sie gerne auf unseren Leistungsseiten rein, um zu erfahren, wie wir Sie als erfahrener Dienstleister konkret unterstützen können.
Zum Weiterlesen
Hauptseite
NIS-2-Richtlinie: Ihre Pflichten verstehen – Ihren Praxis-Fahrplan entwickeln
Sie hören überall von NIS-2, aber Sie wissen nicht, ob Ihr Unternehmen wirklich betroffen ist? Und was genau von Ihnen verlangt wird und wie Sie die Umsetzung der NIS-2-Richtlinie neben dem Tagesgeschäft schaffen sollen, ist noch unklar? Dann finden Sie hier einen verständlichen Überblick, lernen die wichtigsten NIS-2-Anforderungen kennen und erhalten einen konkreten Praxis-Fahrplan. So können Sie einschätzen, wo Sie heute stehen, welche Schritte jetzt Priorität haben und wie Sie NIS-2 nutzen, um Sicherheit und Compliance in Ihrem Unternehmen gezielt voranzubringen.
NIS-2 und ISO 27001: Wie ein ISMS Ihnen die Umsetzung erleichtert – ohne doppelte Arbeit
Viele Unternehmen stehen mit NIS-2 vor denselben Fragen: Was müssen wir konkret tun, wie weisen wir das nach – und wie vermeiden wir doppelte Arbeit neben dem Tagesgeschäft? Ein ISMS nach ISO 27001 kann hier zum „Ordnungssystem“ für NIS-2 werden: Rollen und Verantwortlichkeiten werden klar, Risiken und Maßnahmen werden strukturiert gesteuert und Nachweise liegen an einem Ort vor. In diesem Artikel zeigen wir, wie Sie NIS-2-Anforderungen gezielt in ein ISMS integrieren können, statt zwei getrennte Welten zu pflegen.
NIS-2-Projektplan: So setzen Unternehmen die Anforderungen strukturiert und pragmatisch um
In Ihrem Unternehmen ist mit Sicherheit bekannt: NIS-2 ist für uns relevant. Wenn Sie Ihre Betroffenheit von der NIS-2-Richtlinie geklärt haben, sind auch Ihre Pflichten und Anforderungen klar. Die nächsten Fragen lauten jetzt: Wo fangen wir an? Wer muss eingebunden werden? Wie lange dauert das? Wer unterstützt uns? Der Weg zu einem überschaubaren NIS-2-Projektplan muss zu unterschiedlichen Ausgangslagen passen (mit/ohne ISMS, Dienstleister vs. produzierender Mittelstand, mit/ohne OT) und für jedes Unternehmen individuell ausgestaltet werden, aber einige Stationen des Weges sind immer gleich.
Webinare
Keine Panik vor NIS-2: Betroffenheit feststellen, Umsetzung starten!
Für Geschäftsführung & IT-Leitung: In 45 Minuten schaffen Sie eine belastbare Entscheidungsgrundlage: Betroffenheit klären, Risiken priorisieren, Umsetzung starten. Ohne Paragrafendschungel – mit klaren Kriterien, praxiserprobten Vorlagen und einer kompakten 90-Tage-Roadmap.
- Geschäftsführung: Sie erkennen, ob Handlungsbedarf besteht, welche Pflichten & Risiken relevant sind und welche Schritte jetzt Priorität haben – inklusive Ansatz für Ressourcen & Budget.
IT-Leitung: Sie erhalten klare Betroffenheitskriterien, die Top-5 Maßnahmen für den Start, einen 90-Tage-Plan mit Verantwortlichkeiten und Vorlagen, die Sie sofort einsetzen können.
NIS-2: Updates, Stand und Implementierung
Steigende Anforderungen bei begrenzten Ressourcen fordern viele mittelständische Betriebe heraus. Erfahren Sie in diesem Webinar, wie Sie mit effizienten Lösungen Cybersecurity stärken und Compliance-Anforderungen erfolgreich erfüllen.
- Überblick NIS-2-Richtlinie: Zielsetzung, Anwendungsbereich und Abgrenzung zur NIS-1
- Betroffene Sektoren und Unternehmen: Wer ist betroffen? Einordnung als wesentliche vs. wichtige Einrichtung
- Aktueller Umsetzungsstand in Deutschland: NIS-2-Umsetzungsgesetz (NIS-2UmsuCG), Zeitplan und behördliche Zuständigkeiten
- Konkrete Anforderungen an Cybersicherheit: Risikomanagement, Incident Response, Business Continuity, Supply Chain Security
- Meldepflichten und Fristen: Was muss wann an wen gemeldet werden?
- Sanktionen und persönliche Haftung: Bußgelder, Unternehmenssanktionen und Verantwortung der Geschäftsführung
- Praktische Implementierung: Roadmap, Quick Wins und Integration in bestehende Management-Systeme
Fragen und Diskussion: Raum für Ihre individuellen Anliegen
Unsere Leistungen: Wie wir Sie bei Ihrer NIS-2-Umsetzung unterstützen können
NIS-2-Begleitung
Von der Erstberatung und dem Betroffenheits-Check für Ihr Unternehmen über die Gap-Analyse bis zur individuell skalierten Umsetzung begleiten wir Sie als erfahrener Dienstleister durch Ihr NIS-2-Projekt – pragmatisch, praxisnah und branchenbezogen.
ISO 27001 Begleitung
Wir unterstützen Unternehmen beratend bei der Einführung eines ISMS mit Ziel der ISO 27001 Zertifizierung. Bei bereits bestehendem ISMS führen wir Audits durch. Wir stellen externe Informationssicherheitsbeauftragte und bieten Schulungen von ISMS-Teams und weiteren Mitarbeitenden an.
Informationssicherheitsaudit (ISMS-Audit)
Von Vorlagen in Form von Richtlinien und Checklisten für Audits über notwendige Schulungen von ISBs bis zu Dienstleisteraudits und interner Audits zur Überwachung einzelner Bereiche oder des gesamten Unternehmens: wir helfen Ihnen, Ihr ISMS nachweisbar wirksam und funktionsfähig zu halten.
Cybersecurity
Wir bieten umfassende Cybersecurity-Leistungen an – immer auf Ihr Unternehmen und Ihren konkreten Bedarf zugeschnitten. Wir führen IT-Schwachstellenanalysen und Penetrationstests durch und identifizieren und schließen Sicherheitslücken in Ihrer IT-Infrastruktur. Mit praxisnahen und individualisierten Phishing-Kampagnen sensibilisieren wir Ihre Mitarbeitenden nachhaltig für Angriffsrisiken.
Unsere Experten für Ihre NIS-2-Umsetzung
Jetzt kostenloses Erstgespräch vereinbaren
Nehmen Sie einfach schriftlichen Kontakt mit uns auf oder rufen Sie uns an.
Tel: 05221 87292-0
E-Mail: t.kraft@audatis.de
Sascha Knicker
Lead Consultant Informationssicherheit
Thomas Kraft
Consultant Informationssicherheit