audatis MANAGER SHOP
Kontakt
Jetzt kostenlos testen
Hilfe und Support

NIS-2 für IT-Dienstleister, Systemhäuser und MSPs: Was auf die IT-Lieferkette zukommt

NIS‑2 ist momenten das Thema der IT-Branche und als IT-Systemhaus, IT‑Dienstleister oder Managed Service Provider (MSP) stellt sich zuerst eine Frage: Trifft Sie das selbst oder „nur“ über Ihre Kunden? Entscheidend ist Ihre Rolle im Kundenbetrieb: Mit Admin‑Zugriffen, Fernwartung, Changes und Incident‑Reaktion sind Sie Teil der IT-Lieferkette. Die Folge: Kunden erwarten nachvollziehbare Prozesse und belastbare Nachweise zu Ihrer Sicherheitsorganisation/Ihrem ISMS. Ordnen Sie Ihre Betroffenheit klar ein und setzen Sie wichtige Maßnahmen um, schon bevor Ihre Kunden Nachweise zur Einhaltung und Umsetzung von NIS-2 abfragen. 

decorative decorative decorative

Warum IT-Dienstleister, IT-Systemhäuser und MSPs oft indirekt von NIS-2 betroffen sind

Für IT‑Dienstleister und MSPs definiert weniger die Branche als vielmehr die Betriebsnähe den Grad der NIS-2-Betroffenheit: Je näher Sie an Kernsystemen Ihrer Kunden arbeiten, desto eher werden Sie in deren NIS‑2‑Pflichten „mitgedacht“. Eine indirekte NIS-2-Betroffenheit ergibt sich häufig aus ganz typischen Zuständigkeiten und Tätigkeiten, die Sie aus ihrer Praxis sicher kennen. 

Typische NIS-2-relevante Kriterien

  • Admin‑Zugriffe auf Kundensysteme: Sie verwalten privilegierte Konten, Firewalls, Server, M365/Azure oder Endpoints.
  • Fernwartung und Tools: RMM/Remote‑Tools, Skripte, Automationen oder Jump‑Hosts sind im Einsatz und müssen sauber abgesichert und nachvollziehbar sein.
  • Change‑ und Patch‑Verantwortung: Sie führen Changes aus, patchen Systeme oder steuern Wartungsfenster – inklusive Freigaben und Rollback.
  • Monitoring und Logging: Sie überwachen Systeme, bearbeiten Alerts oder betreiben (Teil‑)SOC‑Leistungen; Kunden erwarten nachvollziehbare Logs und Reaktionsprozesse.
  • Incident‑Reaktion: Sie sind in Eskalationen eingebunden, reagieren auf Vorfälle oder stellen Wiederherstellung sicher.
  • Subdienstleister und Tool‑Lieferkette: Sie nutzen Unterauftragnehmer oder Tools/Plattformen (Backup, EDR, SOC), die Kunden in der Lieferkette transparent sehen möchten.Wann sind Anbieter digitaler Infrastruktur oder digitaler Dienste direkt betroffen?

Key Facts: 
Sind wir direkt oder indirekt betroffen?

Direkt betroffen

  • Wir betreiben eigene digitale Dienste als Produkt (z. B. Managed Security Service/SOC, Plattform-/Cloud-Betrieb) und bieten diese standardisiert am Markt an.
     

  • Wir übernehmen durchgehend die Verantwortung für die Verfügbarkeit und Sicherheit eines kritischen digitalen Betriebs (nicht nur „Projekt/Support“), mit eigener 24/7-Betriebsorganisation.

     

Indirekt betroffen

  • Unsere Kunden sind direkt NIS-2-pflichtig („wichtige“/„besonders wichtige“ Einrichtungen) und geben NIS-2 Anforderungen an ihre Lieferkette weiter.
  • In Verträgen/RFPs tauchen aktuell Begriffe wie „NIS-2“, „ISMS, „Penetrationstest, „Audit“, „Lieferkette“, „wichtige/besonders wichtige Einrichtung“ auf.
  • Kunden verlangen Audit-Rechte, feste Incident-Meldezeiten oder ein IT-Sicherheitskonzept als Standardanhang.
  • Kunden fordern Nachweise zu Unterauftragnehmern/Tool-Anbietern (z. B. RMM, Backup, EDR) inklusive aktueller Liste und Change-Info.
  • Beschaffung/Compliance des Kunden will regelmäßige Lieferanten-Audits (Fragebögen, Reviews) als laufenden Prozess – nicht nur einmalig.

 

Generelle Informationen zu formalen Betroffenheitskriterien (Unternehmensgröße, Umsatz, Sektorzugehörigkeit) und der allgemeinen Unterscheidung zwischen direkter und indirekter Betroffenheit finden Sie auf der zentralen Themenseite zur NIS-2-Richtlinie.

Quick Check: Ihre Betroffenheit schnell geklärt

Sie sind nicht sicher, ob Sie direkt oder indirekt von NIS-2 betroffen sind? Wir können gemeinsam mit Ihnen in einem Quick Check klären, wo Sie stehen. 

Beratungstermin vereinbaren
decorativedecorativedecorative

Zum Seitenanfang

Welche Nachweise fragen Kunden typischerweise ab?

In RFPs, Security-Fragebögen und Audits fragen Kunden gezielt nach Punkten, die sie im Rahmen der Lieferketten-Steuerung für ihre eigenen NIS-2-Nachweise benötigen.

Diese Nachweise werden fast immer angefragt

  • Admin-Zugriffe und Berechtigungskonzept
  • Fernwartung und Remote-Tools und deren Nachvollziehbarkeit
  • Change- und Patch-Prozesse
  • Logging, Monitoring und Alarmierung
  • Incident-Reaktion und Kundenkommunikation
  • Schwachstellenmanagement und Penetrationstests
  • Subdienstleister/Tool-Lieferkette
  • Backup/Restore und Notfall

Wenn diese Punkte schon vorbereitet sind, sparen Sie Zeit in Projekten – und beantworten Kundenanfragen schneller, konsistenter und mit weniger Abstimmungsaufwand.

decorativedecorativedecorative

Mini-Checkliste: Gut vorbereitet auf NIS-2-Anfragen Ihrer Kunden

Wenn Sie mehrere Punkte schon abhaken können, sind Sie für typische NIS-2-bezogene Kundenanforderungen deutlich besser vorbereitet – vor allem dort, wo IT-Dienstleister und IT-Systemhäuser operativ am Kundensystem arbeiten.

Wenn Sie diese Punkte in Ihrem Unternehmen schon umgesetzt haben, sind Sie gut auf Anfragen zu NIS-2 vorbereitet:

  • Privilegierte Zugriffe: MFA, getrennte Admin-Konten und ein einfacher Freigabeprozess sind etabliert.
  • Fernzugriff: Remote-Tools sind freigegeben, abgesichert und nachvollziehbar (z. B. Session-Protokollierung).
  • Änderungen und Patches: Change- und Patch-Prozess ist dokumentiert, inklusive Wartungsfenstern und Rollback.
  • Logging und Monitoring: Logquellen, Aufbewahrung und Zuständigkeiten für Alerts sind klar geregelt.
  • Vorfälle: Es gibt einen Incident-Ablaufplan mit Meldeweg, Reaktionszeiten und Kundenkommunikation.
  • Lieferkette: Unterauftragnehmer und zentrale Tools (RMM, PSA, Backup, SOC) sind transparent, Anforderungen und Reviews sind definiert.
     
decorative decorative decorative

Zum Seitenanfang

Wie Sie Maßnahmen für NIS-2-Readiness nach Kundenbedarf priorisieren

Ein kurzer Blick aus Kundensicht hilft, die Prioritäten richtig zu setzen: Jede typische Frage aus RFPs, Security‑Fragebögen oder Audits hat eine konkrete Antwort, die Sie als IT-Dienstleister/Systemhaus oder MSP wiederverwendbar vorbereiten können. Das signalisiert Ihren Kunden gleich: „Wir sind gut auf NIS-2 vorbereitet“. Prüfen Sie für Ihr Unternehmen, welche dieser Aussagen Sie so schon an Ihre Kunden weitergeben könnten und wo Sie noch Handlungsbedarf haben. 

 

decorativedecorativedecorative

Beispiele für Antwortbausteine, die NIS-2-Readiness signalisieren

Kunde fragt ab Unsere Antwort
Wie werden Admin-Rechte vergeben – und wie werden sieprotokolliert und regelmäßig geprüft? Wir arbeiten mit MFA und getrennten Admin-Konten. Vergaben laufen über definierte Freigaben, Admin-Aktionen werden protokolliert und Berechtigungen regelmäßig überprüft.
Wie ist Fernwartung abgesichert (Remote-/RMM-Tooling, Jump-Host, Session-Logging)? Fernzugriffe erfolgen nur über freigegebene Tools mit MFA. Sessions sind nachvollziehbar (Protokollierung/Logging), und es gibt klare Regeln für Start, Dauer, Freigabe und Beendigung.
Wie laufen Changes und Patches ab (Wartungsfenster, Freigaben, Rollback, Fristen)? Wir haben einen dokumentierten Change-/Patch-Prozess mit Freigaben, Wartungsfenstern und Rollback-Plan. Patch-Fristen und Prioritäten sind festgelegt und werden nachweisbar umgesetzt.
Welche Logs werden erfasst, wie lange wird aufbewahrt, wer reagiert auf Alerts? Wir erfassen relevante Logquellen gemäß Scope, definieren Aufbewahrungszeiten und reagieren nach festgelegten Regeln auf Alerts. Verantwortlichkeiten und Eskalationswege sind dokumentiert.
Wie reagieren Sie auf Sicherheitsvorfälle (Meldeweg, Zeiten, Eskalation, Kommunikation)? Es gibt einen Incident-Ablaufplan mit Meldeweg, Reaktionszeiten und Eskalation. Die Kundenkommunikation ist geregelt (Kontaktpunkte, Zeitfenster, Informationsumfang) und wird in Übungen getestet.
Wie gehen Sie mit Schwachstellen um (Scans, Patch-Backlog, Findings, Pentests/Tests)? Wir betreiben ein Schwachstellenmanagement mit regelmäßigen Scans, klaren Fristen für Patches und einem Prozess für Findings. Wenn vereinbart, liefern wir Testnachweise (z. B. Pentest-Zusammenfassungen).
Welche Subdienstleister/Tool-Anbieter nutzen Sie – und wie steuern Sie diese? Wir führen eine aktuelle Liste der Unterauftragnehmer und Tools im Scope (z. B. Backup, EDR, SOC). Sicherheitsanforderungen, Änderungen und Reviews sind als wiederkehrender Prozess organisiert.
Wie ist Backup/Restore und Notfall organisiert (RTO/RPO, Restore-Tests)? Wenn Backup/BCM in unserer Verantwortung liegen, sind RTO/RPO definiert, Restore-Tests werden regelmäßig durchgeführt und Notfallabläufe sind dokumentiert.
   

Schnelle Nachweise vs. NIS-2-Umsetzung

Wenn Sie heute schon viele Anforderungen durch Nachweise belegen können, bedeutet das nicht, dass Sie nicht weiter aktiv werden müssen. Sie werden mit Sicherheit auf Kundenfragen stoßen, die Lücken in Ihrem aktuellen Sicherheitskonzept aufdecken. Mehr Informationen zu einer kompletten NIS-2-Umsetzung im Rahmen eines umfassenden Projektes finden Sie auf der Seite zum Projektplan für NIS-2.

 

FAQ

Fragen zur NIS-2-Richtlinie für die IT-Lieferkette kurz beantwortet

Meist indirekt: Kunden müssen ihre Lieferkette absichern und geben ihre Sicherheitsanforderungen an Sie weiter. Direkt trifft es Sie nur in bestimmten Fällen, wenn Sie selbst einen relevanten digitalen Dienst betreiben.
Sie sehen es oft an Vertragsklauseln und Mails: „NIS-2“, „Lieferkette“, Audit-Rechte, fest vorgegebene Meldezeiten bei Vorfällen oder regelmäßige Lieferanten-Überprüfungen auf Security. Analysieren Sie für mehr Klarheit Ihre Kunden auf Betroffenheit.
Ganz typisch sind Zugriffsregeln (MFA), Fernwartung, Logging und Monitoring, Incident-Ablauf, Change-/Patch-Management, Backup- und Restore-Routinen, Schwachstellenmanagement und Subdienstleister-Steuerung.
NIS-2-Lieferkettenrisiken starten oft genau dort, wo Dienstleister Admin-Zugriff auf Kundensysteme haben müssen. Wichtig sind dann MFA, getrennte Admin-Konten, Freigaben und Protokolle. Kunden wollen sehen, wer wann worauf zugreifen durfte.
Oft ja, weil Kunden durch NIS-2 Vorfälle nachvollziehen können müssen. Wichtige Kriterien: welche Logquellen sind relevant, wie lange muss aufbewahrt werden, wer hat Zugriff und wer reagiert wirklich auf Alerts.
Als Basis: ja. In der Praxis fragen Kunden aber nach zusätzlichen Nachweisen, zum Beispiel zu Zugriffen, Changes, zeitlichen Fristen bei Vorfällen, Tests und Ihrer Lieferkette.
Legen Sie ein kleines „Security-Paket“ als Nachweise an: 1–2 Seiten Überblick, Zuständigkeiten, Incident-Ablauf, Regeln bei Arbeiten an Kundensystemen, Subdienstleister-Liste sowie Pentest-Nachweise. Priorisieren Sie parallel aktiv die größten Gaps.

Zum Seitenanfang

Bereit für die nächsten Schritte zur Umsetzung der NIS-2-Richtlinie?

Schauen Sie sich weiter in unserer Ressourcen-Sammlung zur NIS-2-Umsetzung um: Von einem Basis-Überblick zur NIS-2-Richtlinie auf der Themen-Hauptseite über die detaillierte Darstellung der Zusammenhänge zwischen NIS-2 und ISO 27001 bis zu Hinweisen zur erfolgreichen Projektplanung werden die wichtigsten Fragen beantwortet. 

Für einen aktuellen Überblick zur NIS-2-Implementierung in Deutschland besuchen Sie unser Webinar und stellen dort auch gleich Ihre Fragen an unseren Referenten. 

Sobald Sie bereit sind, mit Ihrer NIS-2-Umsetzung zu starten, schauen Sie gerne auf unseren Leistungsseiten rein, um zu erfahren, wie wir Sie als erfahrener Dienstleister konkret unterstützen können.

 

Zum Weiterlesen

 

Hauptseite
NIS-2-Richtlinie: Ihre Pflichten verstehen – Ihren Praxis-Fahrplan entwickeln

Sie hören überall von NIS-2, aber Sie wissen nicht, ob Ihr Unternehmen wirklich betroffen ist? Und was genau von Ihnen verlangt wird und wie Sie die Umsetzung der NIS-2-Richtlinie neben dem Tagesgeschäft schaffen sollen, ist noch unklar? Dann finden Sie hier einen verständlichen Überblick, lernen die wichtigsten NIS-2-Anforderungen kennen und erhalten einen konkreten Praxis-Fahrplan. So können Sie einschätzen, wo Sie heute stehen, welche Schritte jetzt Priorität haben und wie Sie NIS-2 nutzen, um Sicherheit und Compliance in Ihrem Unternehmen gezielt voranzubringen. 

Jetzt weiterlesen 

NIS-2 und ISO 27001: Wie ein ISMS Ihnen die Umsetzung erleichtert – ohne doppelte Arbeit

Viele Unternehmen stehen mit NIS-2 vor denselben Fragen: Was müssen wir konkret tun, wie weisen wir das nach – und wie vermeiden wir doppelte Arbeit neben dem Tagesgeschäft? Ein ISMS nach ISO 27001 kann hier zum „Ordnungssystem“ für NIS-2 werden: Rollen und Verantwortlichkeiten werden klar, Risiken und Maßnahmen werden strukturiert gesteuert und Nachweise liegen an einem Ort vor. In diesem Artikel zeigen wir, wie Sie NIS-2-Anforderungen gezielt in ein ISMS integrieren können, statt zwei getrennte Welten zu pflegen.

Jetzt weiterlesen
 

NIS-2-Projektplan: So setzen Unternehmen die Anforderungen strukturiert und pragmatisch um

In Ihrem Unternehmen ist mit Sicherheit bekannt: NIS-2 ist für uns relevant. Wenn Sie Ihre Betroffenheit von der NIS-2-Richtlinie geklärt haben, sind auch Ihre Pflichten und Anforderungen klar. Die nächsten Fragen lauten jetzt: Wo fangen wir an? Wer muss eingebunden werden? Wie lange dauert das? Wer unterstützt uns? Der Weg zu einem überschaubaren NIS-2-Projektplan muss zu unterschiedlichen Ausgangslagen passen (mit/ohne ISMS, Dienstleister vs. produzierender Mittelstand, mit/ohne OT) und für jedes Unternehmen individuell ausgestaltet werden, aber einige Stationen des Weges sind immer gleich.

Jetzt weiterlesen

Webinare

 

NIS-2 Webinar Referent und TitelNIS-2 Webinar Referent und TitelNIS-2 Webinar Referent und Titel

Keine Panik vor NIS-2: Betroffenheit feststellen, Umsetzung starten!

Für Geschäftsführung & IT-Leitung: In 45 Minuten schaffen Sie eine belastbare Entscheidungsgrundlage: Betroffenheit klären, Risiken priorisieren, Umsetzung starten. Ohne Paragrafendschungel – mit klaren Kriterien, praxiserprobten Vorlagen und einer kompakten 90-Tage-Roadmap.

  • Geschäftsführung: Sie erkennen, ob Handlungsbedarf besteht, welche Pflichten & Risiken relevant sind und welche Schritte jetzt Priorität haben – inklusive Ansatz für Ressourcen & Budget.

  • IT-Leitung: Sie erhalten klare Betroffenheitskriterien, die Top-5 Maßnahmen für den Start, einen 90-Tage-Plan mit Verantwortlichkeiten und Vorlagen, die Sie sofort einsetzen können.

     

Zur Veranstaltungsseite

decorativedecorativedecorative

NIS-2: Updates, Stand und Implementierung

Steigende Anforderungen bei begrenzten Ressourcen fordern viele mittelständische Betriebe heraus. Erfahren Sie in diesem Webinar, wie Sie mit effizienten Lösungen Cybersecurity stärken und Compliance-Anforderungen erfolgreich erfüllen.

  • Überblick NIS-2-Richtlinie: Zielsetzung, Anwendungsbereich und Abgrenzung zur NIS-1
  • Betroffene Sektoren und Unternehmen: Wer ist betroffen? Einordnung als wesentliche vs. wichtige Einrichtung
  • Aktueller Umsetzungsstand in Deutschland: NIS-2-Umsetzungsgesetz (NIS-2UmsuCG), Zeitplan und behördliche Zuständigkeiten
  • Konkrete Anforderungen an Cybersicherheit: Risikomanagement, Incident Response, Business Continuity, Supply Chain Security
  • Meldepflichten und Fristen: Was muss wann an wen gemeldet werden?
  • Sanktionen und persönliche Haftung: Bußgelder, Unternehmenssanktionen und Verantwortung der Geschäftsführung
  • Praktische Implementierung: Roadmap, Quick Wins und Integration in bestehende Management-Systeme

  • Fragen und Diskussion: Raum für Ihre individuellen Anliegen

     

Zur Veranstaltungsseite

Unsere Leistungen: Wie wir Sie bei Ihrer NIS-2-Umsetzung unterstützen können

 

NIS-2-Begleitung

Von der Erstberatung und dem Betroffenheits-Check für Ihr Unternehmen über die Gap-Analyse bis zur individuell skalierten Umsetzung begleiten wir Sie als erfahrener Dienstleister durch Ihr NIS-2-Projekt – pragmatisch, praxisnah und branchenbezogen.
 
 

Zur Leistungsseite

ISO 27001 Begleitung

Wir unterstützen Unternehmen beratend bei der Einführung eines ISMS mit Ziel der ISO 27001 Zertifizierung. Bei bereits bestehendem ISMS führen wir Audits durch. Wir stellen externe Informationssicherheitsbeauftragte und bieten Schulungen von ISMS-Teams und weiteren Mitarbeitenden an.
 

Zur Leistungsseite

Informationssicherheitsaudit (ISMS-Audit)

Von Vorlagen in Form von Richtlinien und Checklisten für Audits über notwendige Schulungen von ISBs bis zu Dienstleisteraudits und interner Audits zur Überwachung einzelner Bereiche oder des gesamten Unternehmens: wir helfen Ihnen, Ihr ISMS nachweisbar wirksam und funktionsfähig zu halten.
 

Zur Leistungsseite

Cybersecurity

Wir bieten umfassende Cybersecurity-Leistungen an – immer auf Ihr Unternehmen und Ihren konkreten Bedarf zugeschnitten. Wir führen IT-Schwachstellenanalysen und Penetrationstests durch und identifizieren und schließen Sicherheitslücken in Ihrer IT-Infrastruktur. Mit praxisnahen und individualisierten Phishing-Kampagnen sensibilisieren wir Ihre Mitarbeitenden nachhaltig für Angriffsrisiken.

Zur Leistungsseite

Unsere Experten für Ihre NIS-2-Umsetzung

Jetzt kostenloses Erstgespräch vereinbaren

Nehmen Sie einfach schriftlichen Kontakt mit uns auf oder rufen Sie uns an.

Tel: 05221 87292-0

E-Mail: t.kraft@audatis.de

 

Termin vereinbaren

Sascha KnickerSascha KnickerSascha Knicker

Sascha Knicker
Lead Consultant Informationssicherheit

Thomas KraftThomas KraftThomas Kraft

Thomas Kraft
Consultant Informationssicherheit