audatis MANAGER SHOP
Kontakt
Jetzt kostenlos testen
Hilfe und Support

NIS-2 im produzierenden Mittelstand: Direkte Betroffenheit und Pflichten als Zulieferer

NIS-2 betrifft den Mittelstand oft schneller, als es auf den ersten Blick wirkt: entweder direkt, weil Sektor und Unternehmensgröße passen, oder indirekt, weil Kunden in der Lieferkette plötzlich Nachweise verlangen. Wenn Sie produzieren, kommt ein weiterer Faktor dazu: Betriebstechnik (OT) in der Fertigung und die Frage, wie ausfallsicher und steuerbar Ihre Prozesse wirklich sind. Entscheidend ist jetzt, die Betroffenheit sauber einzuordnen und im ersten Schritt einen praxistauglichen Minimalstandard aufzubauen – damit Sie auditsicher, lieferfähig und handlungsfähig bleiben.

decorative decorative decorative

Direkte und indirekte Betroffenheit im Mittelstand – so ordnen Sie Ihr Unternehmen schnell ein

Für produzierende Unternehmen lässt sich die direkte Betroffenheit anhand der konkreten Kriterien der NIS-2-Richtlinie (Link zum Hub-Artikel) eingrenzen, speziell der Sektor-Zugehörigkeit und der Unternehmenskennzahlen. Direkte Betroffenheit bedeutet für produzierende Unternehmen, dass neben der IT-Struktur auch die Betriebstechnik (OT) pflichtgemäß in Hinblick auf Cyberrisiken betrachtet werden muss und entsprechende Maßnahmen getroffen werden müssen.

Aber auch wenn ein Unternehmen nicht direkt unter NIS-2 fällt, kann NIS-2 sehr schnell im Tagesgeschäft ankommen: indirekt über seine Kunden. Sind diese direkt betroffene Unternehmen, müssen sie Risiken in der Lieferkette steuern und Nachweise einfordern. Pflichten werden an Zulieferer weitergereicht, die dann Maßnahmen zur Sicherung ihrer IT- und OT-Infrastruktur umsetzen müssen, um wettbewerbsfähig zu bleiben.

Key Facts: 
Sind wir direkt oder indirekt betroffen?

Direkt betroffen

  • Wir sind Teil eines Sektors, der für Versorgung, Sicherheit oder Gesundheit besonders relevant ist. In der Fertigung betrifft das oft Unternehmen, deren Produkte oder Produktionsleistung für andere kritische Leistungen notwendig sind (Beispiele: Energie- oder Versorgungsnähe, bestimmte Transport- und Logistikketten, gesundheitsnahe Lieferketten, Grundversorgung der Bevölkerung).
     
  • Wir gehören aufgrund unserer Unternehmenskennzahlen in den von NIS-2 direkt betroffenen Kreis von Unternehmen. Die Schwellenwerte entscheiden über die Einordnung als „wichtige" oder „besonders wichtige" Einrichtung.

Indirekt betroffen

  • Wir haben Kunden, die zu einem NIS-2-regulierten Sektor gehören und ihre Lieferkette steuern müssen.
  • Die vorvertragliche Vorqualifizierung wird merklich strenger: Sicherheitsfragebögen kommen früher im Prozess, oft schon vor der Angebotsabgabe.
  • Verträge werden konkreter: Auditrechte, Anforderungen an Unterauftragnehmer, Meldewege bei Sicherheitsvorfällen und Nachweisfristen wandern in Rahmenverträge.
  • Widerstandsfähigkeit wird häufiger abgefragt: Kunden wollen wissen, wie schnell Sie nach einem Vorfall wieder produzieren und liefern können (Wiederanlauf, Backup, Ersatzprozesse).
  • OT rückt in den Fokus: Externe Wartung, Fernzugriffe und Cloud-Anbindungen von Maschinen werden genauer hinterfragt, weil sie direkte Angriffsflächen schaffen.

 

Generelle Informationen zu formalen Betroffenheitskriterien (Unternehmensgröße, Umsatz, Sektorzugehörigkeit) und der allgemeinen Unterscheidung zwischen direkter und indirekter Betroffenheit finden Sie auf der zentralen Themenseite zur NIS-2-Richtlinie.

Quick Check: Ihre Betroffenheit schnell geklärt

Sie sind nicht sicher, ob Sie direkt oder indirekt von NIS-2 betroffen sind? Wir können gemeinsam mit Ihnen in einem Quick Check klären, wo Sie stehen. 

Beratungstermin vereinbaren
decorativedecorativedecorative

Zum Seitenanfang

Welche Nachweise fragen Kunden bei Zulieferern typischerweise ab?

In RFPs, Security-Fragebögen und Audits fragen Kunden gezielt nach Punkten, die sie im Rahmen der Lieferketten-Steuerung für ihre eigenen NIS-2-Nachweise benötigen.

Danach wird häufig gefragt

  • Benannter Ansprechpartner für Informationssicherheit (Verantwortlicher, Stellvertretung, Eskalationsweg)
  • Abgrenzung kritischer Systeme und Daten (inkl. OT-relevante Anlagen, Schnittstellen zu IT)
  • Zugriffskontrolle: MFA, Rollen, Admin-Regeln sowie geregelte Fernzugriffe (auch für OT-Wartung)
  • Umgang mit Sicherheitsvorfällen: Erkennung, Reaktion, Kundenkommunikation, klare Zuständigkeiten
  • Patch- und Schwachstellenprozess (inkl. Umgang mit Ausnahmen und Wartungsfenstern in der Produktion)
  • Notfallfähigkeit: Backup und Wiederanlauf, Prioritäten für Produktionsprozesse, „wie schnell sind wir wieder lieferfähig?"
  • Lieferkette: kritische Dienstleister und Unterauftragnehmer (IT, OT, Cloud/Fernwartung) inkl. Anforderungen und Nachweisführung
  • Schulungen und Sensibilisierung für Schlüsselrollen (Produktion, Instandhaltung, IT, Einkauf)

Wenn diese Punkte als „Standardpaket" vorbereitet sind, sinkt der Aufwand pro Kundenanfrage spürbar.

decorativedecorativedecorative

Mini-Checkliste: Gut vorbereitet auf NIS-2-Anfragen Ihrer Kunden

Mit der Umsetzung von einigen Basismaßnahmen können Sie Lieferkettenfragen von Kunden souverän und pragmatisch bedienen. Prüfen Sie, welche Checkpoints Ihr Unternehmen schon abhaken kann und wo Sie noch Lücken schließen müssen.

Wenn Sie diese Punkte in Ihrem Unternehmen schon umgesetzt haben, sind Sie gut auf Anfragen zu NIS-2 vorbereitet:

  • Wir haben einen benannten Verantwortlichen für Informationssicherheit und einen einfachen Eskalationsweg.
  • Wir können in 1–2 Seiten erklären, welche Systeme kritisch sind (IT und OT) und wie wir sie absichern.
  • Zugriffe auf kritische Systeme sind rollenbasiert, mit MFA und nachvollziehbar.
  • IT- und OT-Systeme sind im Hinblick auf den Erhalt der Produktionsfähigkeit segmentiert.
  • OT-Zugriffe (z. B. Wartung/Fernzugriff) sind geregelt: freigegebene Wege, klare Freigaben und Protokollierung.
  • Wir haben einen Incident-Ablauf (inkl. Kundenkommunikation) und wissen, wer im Ernstfall entscheidet.
  • Backup und Wiederherstellung für zentrale Systeme sind geregelt und mindestens einmal getestet (inkl. wichtiger OT-Konfigurationen, wo möglich).
  • Wir kennen unsere kritischen Dienstleister und haben Anforderungen sowie Ansprechpartner dokumentiert.
  • Wir haben bereits ein ISMS (z. B. nach ISO 27001) oder haben eine ISMS-Vorbereitung gestartet, damit wir Anforderungen nachhaltig und wiederholbar erfüllen können.
     
decorative decorative decorative

Zum Seitenanfang

Wie Sie Maßnahmen für NIS-2-Readiness nach Kundenbedarf priorisieren

Ein kurzer Blick aus Kundensicht hilft, die Prioritäten richtig zu setzen: Jede typische Frage aus RFPs, Security‑Fragebögen oder Audits hat eine konkrete Antwort, die Sie als mittelständischer Zulieferer wiederverwendbar vorbereiten können. Das signalisiert Ihren Kunden gleich: „Wir sind gut auf NIS-2 vorbereitet“. Prüfen Sie für Ihr Unternehmen, welche dieser Aussagen Sie so schon an Ihre Kunden weitergeben könnten und wo Sie noch Handlungsbedarf haben. 

 

decorativedecorativedecorative

Beispiele für Antwortbausteine, die NIS-2-Readiness signalisieren

Kunde fragt ab Unsere Antwort
Wer sind die Ansprechpartner für Informationssicherheit. Wir haben Verantwortlichen, Stellvertretung und einen erreichbaren Eskalationskontakt benannt. Zuständigkeiten und Vertretungsregel sind intern dokumentiert und werden regelmäßig geprüft.
Nutzen Sie Fernwartung in der Produktion oder für Maschinen? Wenn ja, wie ist sie abgesichert? Fernwartung ist nur über freigegebene Wege erlaubt, wird vorab freigegeben, zeitlich begrenzt und protokolliert. Admin-Zugriffe sind getrennt, rollenbasiert und mit MFA abgesichert.
Wie informieren Sie uns bei einem Sicherheitsvorfall, der unsere Lieferkette betreffen könnte? Wir haben einen Incident-Ablauf mit Meldeweg, Zeitfenstern und Ansprechpartnern. Für Lieferkettenvorfälle ist ein Kommunikationsplan definiert, damit Sie schnell eine belastbare Erstinfo erhalten.
Wie gehen Sie mit Schwachstellen und Patches um, wenn Updates nur in Wartungsfenstern möglich sind? Wir priorisieren nach Kritikalität, planen Wartungsfenster, dokumentieren Ausnahmen und setzen kompensierende Maßnahmen um, bis Updates möglich sind. Der Status ist nachweisbar nachvollziehbar
Wie stellen Sie Wiederanlauf sicher, wenn zentrale Systeme oder Anlagen ausfallen? Für kritische Prozesse gibt es Wiederanlauf- und Notfallabläufe. Backup und Wiederherstellung sind geregelt und werden getestet; für OT sind relevante Konfigurationen und Wiederherstellungsschritte berücksichtigt, wo möglich
Welche kritischen Dienstleister oder Unterauftragnehmer setzen Sie ein (IT, OT, Cloud/Fernwartung)? Wir führen eine aktuelle Liste kritischer Partner im Geltungsbereich, inklusive Ansprechpartner, Leistungsumfang und Sicherheitsanforderungen. Änderungen werden nachvollziehbar dokumentiert und bei Bedarf mit Ihnen geteilt.
   

Schnelle Nachweise vs. NIS-2-Umsetzung

Wenn Sie heute schon viele Anforderungen durch Nachweise belegen können, bedeutet das nicht, dass Sie nicht weiter aktiv werden müssen. Sie werden mit Sicherheit auf Kundenfragen stoßen, die Lücken in Ihrem aktuellen Sicherheitskonzept aufdecken. Mehr Informationen zu einer kompletten NIS-2-Umsetzung im Rahmen eines umfassenden Projektes finden Sie auf der Seite zum Projektplan für NIS-2.

 

FAQ

Fragen zur NIS-2-Richtlinie für die IT-Lieferkette kurz beantwortet

Möglich, wenn Sektor und Größenordnung passen. Für viele Mittelständler ist aber zuerst die indirekte Pflicht über Kundenverträge entscheidend. Details und Schwellenwerte: siehe NIS-2-Startseite.
Meist Nachweise zu Zugriffen, Sicherheitsvorfällen, Patch- und Schwachstellenprozess, Notfallfähigkeit und Lieferkette. Oft als Fragebogen, Audit-Recht oder Vertragsklausel.
Nicht automatisch. Wenn Anforderungen regelmäßig kommen, lohnt eine Roadmap Richtung ISMS. Für den Start reicht oft ein guter Minimalstandard plus klare Nachweise.
Einen Verantwortlichen benennen, kritische Systeme festhalten, Zugriffe absichern, Incident-Ablauf definieren, Backup und Restore-Test durchführen und ein kurzes Security-Factsheet für Kunden erstellen.
1–2 Seiten: Verantwortlicher, Geltungsbereich, wichtigste Maßnahmen, Ansprechpartner bei Sicherheitsvorfällen, Backup/Notfall, Patch-Rhythmus, Liste kritischer Dienstleister. Kurz, aktuell, wiederverwendbar.
Ob Prozesse wirklich gelebt werden: Zugriffe, Freigaben, Protokolle, Reaktionsfähigkeit bei Sicherheitsvorfällen, dokumentierte Nachweise und klare Verantwortlichkeiten.
Starten Sie mit einem schlanken Minimalstandard. Danach priorisieren Sie nach Risiko und Kundenanforderungen, statt alles gleichzeitig zu machen.

Zum Seitenanfang

Bereit für die nächsten Schritte zur Umsetzung der NIS-2-Richtlinie?

Schauen Sie sich weiter in unserer Ressourcen-Sammlung zur NIS-2-Umsetzung um: Von einem Basis-Überblick zur NIS-2-Richtlinie auf der Themen-Hauptseite über die detaillierte Darstellung der Zusammenhänge zwischen NIS-2 und ISO 27001 bis zu Hinweisen zur erfolgreichen Projektplanung werden die wichtigsten Fragen beantwortet. 

Für einen aktuellen Überblick zur NIS-2-Implementierung in Deutschland besuchen Sie unser Webinar und stellen dort auch gleich Ihre Fragen an unseren Referenten. 

Sobald Sie bereit sind, mit Ihrer NIS-2-Umsetzung zu starten, schauen Sie gerne auf unseren Leistungsseiten rein, um zu erfahren, wie wir Sie als erfahrener Dienstleister konkret unterstützen können.

 

Zum Weiterlesen

 

Hauptseite
NIS-2-Richtlinie: Ihre Pflichten verstehen – Ihren Praxis-Fahrplan entwickeln

Sie hören überall von NIS-2, aber Sie wissen nicht, ob Ihr Unternehmen wirklich betroffen ist? Und was genau von Ihnen verlangt wird und wie Sie die Umsetzung der NIS-2-Richtlinie neben dem Tagesgeschäft schaffen sollen, ist noch unklar? Dann finden Sie hier einen verständlichen Überblick, lernen die wichtigsten NIS-2-Anforderungen kennen und erhalten einen konkreten Praxis-Fahrplan. So können Sie einschätzen, wo Sie heute stehen, welche Schritte jetzt Priorität haben und wie Sie NIS-2 nutzen, um Sicherheit und Compliance in Ihrem Unternehmen gezielt voranzubringen. 

Jetzt weiterlesen 

NIS-2 und ISO 27001: Wie ein ISMS Ihnen die Umsetzung erleichtert – ohne doppelte Arbeit

Viele Unternehmen stehen mit NIS-2 vor denselben Fragen: Was müssen wir konkret tun, wie weisen wir das nach – und wie vermeiden wir doppelte Arbeit neben dem Tagesgeschäft? Ein ISMS nach ISO 27001 kann hier zum „Ordnungssystem“ für NIS-2 werden: Rollen und Verantwortlichkeiten werden klar, Risiken und Maßnahmen werden strukturiert gesteuert und Nachweise liegen an einem Ort vor. In diesem Artikel zeigen wir, wie Sie NIS-2-Anforderungen gezielt in ein ISMS integrieren können, statt zwei getrennte Welten zu pflegen.

Jetzt weiterlesen
 

NIS-2-Projektplan: So setzen Unternehmen die Anforderungen strukturiert und pragmatisch um

In Ihrem Unternehmen ist mit Sicherheit bekannt: NIS-2 ist für uns relevant. Wenn Sie Ihre Betroffenheit von der NIS-2-Richtlinie geklärt haben, sind auch Ihre Pflichten und Anforderungen klar. Die nächsten Fragen lauten jetzt: Wo fangen wir an? Wer muss eingebunden werden? Wie lange dauert das? Wer unterstützt uns? Der Weg zu einem überschaubaren NIS-2-Projektplan muss zu unterschiedlichen Ausgangslagen passen (mit/ohne ISMS, Dienstleister vs. produzierender Mittelstand, mit/ohne OT) und für jedes Unternehmen individuell ausgestaltet werden, aber einige Stationen des Weges sind immer gleich.

Jetzt weiterlesen

Webinare

 

NIS-2 Webinar Referent und TitelNIS-2 Webinar Referent und TitelNIS-2 Webinar Referent und Titel

Keine Panik vor NIS-2: Betroffenheit feststellen, Umsetzung starten!

Für Geschäftsführung & IT-Leitung: In 45 Minuten schaffen Sie eine belastbare Entscheidungsgrundlage: Betroffenheit klären, Risiken priorisieren, Umsetzung starten. Ohne Paragrafendschungel – mit klaren Kriterien, praxiserprobten Vorlagen und einer kompakten 90-Tage-Roadmap.

  • Geschäftsführung: Sie erkennen, ob Handlungsbedarf besteht, welche Pflichten & Risiken relevant sind und welche Schritte jetzt Priorität haben – inklusive Ansatz für Ressourcen & Budget.

  • IT-Leitung: Sie erhalten klare Betroffenheitskriterien, die Top-5 Maßnahmen für den Start, einen 90-Tage-Plan mit Verantwortlichkeiten und Vorlagen, die Sie sofort einsetzen können.

     

Zur Veranstaltungsseite

decorativedecorativedecorative

NIS-2: Updates, Stand und Implementierung

Steigende Anforderungen bei begrenzten Ressourcen fordern viele mittelständische Betriebe heraus. Erfahren Sie in diesem Webinar, wie Sie mit effizienten Lösungen Cybersecurity stärken und Compliance-Anforderungen erfolgreich erfüllen.

  • Überblick NIS-2-Richtlinie: Zielsetzung, Anwendungsbereich und Abgrenzung zur NIS-1
  • Betroffene Sektoren und Unternehmen: Wer ist betroffen? Einordnung als wesentliche vs. wichtige Einrichtung
  • Aktueller Umsetzungsstand in Deutschland: NIS-2-Umsetzungsgesetz (NIS-2UmsuCG), Zeitplan und behördliche Zuständigkeiten
  • Konkrete Anforderungen an Cybersicherheit: Risikomanagement, Incident Response, Business Continuity, Supply Chain Security
  • Meldepflichten und Fristen: Was muss wann an wen gemeldet werden?
  • Sanktionen und persönliche Haftung: Bußgelder, Unternehmenssanktionen und Verantwortung der Geschäftsführung
  • Praktische Implementierung: Roadmap, Quick Wins und Integration in bestehende Management-Systeme

  • Fragen und Diskussion: Raum für Ihre individuellen Anliegen

     

Zur Veranstaltungsseite

Unsere Leistungen: Wie wir Sie bei Ihrer NIS-2-Umsetzung unterstützen können

 

NIS-2-Begleitung

Von der Erstberatung und dem Betroffenheits-Check für Ihr Unternehmen über die Gap-Analyse bis zur individuell skalierten Umsetzung begleiten wir Sie als erfahrener Dienstleister durch Ihr NIS-2-Projekt – pragmatisch, praxisnah und branchenbezogen.
 
 

Zur Leistungsseite

ISO 27001 Begleitung

Wir unterstützen Unternehmen beratend bei der Einführung eines ISMS mit Ziel der ISO 27001 Zertifizierung. Bei bereits bestehendem ISMS führen wir Audits durch. Wir stellen externe Informationssicherheitsbeauftragte und bieten Schulungen von ISMS-Teams und weiteren Mitarbeitenden an.
 

Zur Leistungsseite

Informationssicherheitsaudit (ISMS-Audit)

Von Vorlagen in Form von Richtlinien und Checklisten für Audits über notwendige Schulungen von ISBs bis zu Dienstleisteraudits und interner Audits zur Überwachung einzelner Bereiche oder des gesamten Unternehmens: wir helfen Ihnen, Ihr ISMS nachweisbar wirksam und funktionsfähig zu halten.
 

Zur Leistungsseite

Cybersecurity

Wir bieten umfassende Cybersecurity-Leistungen an – immer auf Ihr Unternehmen und Ihren konkreten Bedarf zugeschnitten. Wir führen IT-Schwachstellenanalysen und Penetrationstests durch und identifizieren und schließen Sicherheitslücken in Ihrer IT-Infrastruktur. Mit praxisnahen und individualisierten Phishing-Kampagnen sensibilisieren wir Ihre Mitarbeitenden nachhaltig für Angriffsrisiken.

Zur Leistungsseite

Unsere Experten für Ihre NIS-2-Umsetzung

Jetzt kostenloses Erstgespräch vereinbaren

Nehmen Sie einfach schriftlichen Kontakt mit uns auf oder rufen Sie uns an.

Tel: 05221 87292-0

E-Mail: t.kraft@audatis.de

 

Termin vereinbaren

Sascha KnickerSascha KnickerSascha Knicker

Sascha Knicker
Lead Consultant Informationssicherheit

Thomas KraftThomas KraftThomas Kraft

Thomas Kraft
Consultant Informationssicherheit