NIS-2 für Software-Lieferanten: Pflichten in der Lieferkette
Seit Dezember 2025 gilt NIS-2 in Deutschland — die Pflichten reichen über die Lieferkette bis zu Ihren Software-Lieferanten. Was Entscheider wissen müssen.
Seit dem 6. Dezember 2025 gilt in Deutschland das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) — ohne Übergangsfrist. Rund 29.500 Unternehmen fallen damit unter neue, verbindliche Pflichten zur Informationssicherheit. Die meisten Diskussionen drehen sich um die direkt betroffenen Firmen. Der Punkt, der in der Praxis am häufigsten übersehen wird, ist ein anderer: NIS-2 reicht über die Lieferkette hinaus — bis zu Ihren Software-Lieferanten. Wer Software einkauft oder entwickeln lässt, ist betroffen, auch wenn das eigene Unternehmen gar nicht auf der Liste der regulierten Einrichtungen steht.
Dieser Beitrag richtet sich an Entscheider im Mittelstand, nicht an Compliance-Juristen. Er ordnet ein, was NIS-2 konkret für Software-Projekte und die Auswahl von Dienstleistern bedeutet — und woran Sie einen Partner erkennen, der die Anforderungen erfüllt, statt sie zum Risiko in Ihrer Bilanz zu machen.
Kein Rechtsrat. Dieser Artikel ist eine fachliche Einordnung aus Entwicklersicht, keine Rechtsberatung. Ob und wie NIS-2 Ihr Unternehmen betrifft, klären Sie verbindlich mit Ihrer Rechtsabteilung oder dem BSI.
Was NIS-2 ist — und seit wann es gilt
NIS-2 ist eine EU-Richtlinie (EU 2022/2555), die das Sicherheitsniveau kritischer und wichtiger Einrichtungen anheben soll. In deutsches Recht gegossen wurde sie über das NIS2UmsuCG, das im Kern das BSI-Gesetz (BSIG) erweitert. Seit dem 6. Dezember 2025 ist es in Kraft — und anders als bei früheren Gesetzen gibt es keine Schonfrist: Die Pflichten gelten sofort.
Die wichtigsten Eckdaten in Kürze:
- Wer betroffen ist: Unternehmen mit mindestens 50 Beschäftigten oder 10 Mio. € Jahresumsatz, die in einem von 18 Sektoren tätig sind — von Energie, Gesundheit und Verkehr über digitale Infrastruktur und die Verwaltung von IKT-Diensten bis zu Produktion, Chemie und Forschung.
- Zwei Klassen: besonders wichtige Einrichtungen (bwE) mit den strengsten Auflagen und wichtige Einrichtungen (wE) mit etwas geringeren.
- Registrierung beim BSI: Die Frist lief am 6. März 2026 ab. Eine verspätete Registrierung bleibt nötig — fehlende Registrierung ist ein eigener Bußgeldtatbestand.
- Meldepflichten: erhebliche Sicherheitsvorfälle binnen 24 Stunden (Frühwarnung), 72 Stunden (Meldung) und einem Monat (Abschlussbericht).
- Geschäftsführer-Haftung (§ 38 BSIG): Die Leitung muss die Risikomanagement-Maßnahmen billigen und überwachen — und haftet persönlich. NIS-2 ist damit Chefsache, kein reines IT-Thema.
- Bußgelder (§ 65 BSIG): bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (bwE) bzw. 7 Mio. € oder 1,4 % (wE).
Das Herzstück der operativen Pflichten ist § 30 BSIG: zehn Risikomanagement-Bereiche, die jede betroffene Einrichtung umsetzen muss — von Risikoanalyse, Vorfallsbehandlung und Backup-Management über Kryptografie und Multifaktor-Authentifizierung bis zu Lieferkettensicherheit. Genau dieser letzte Punkt ist der, der Software-Projekte direkt erfasst.
Der blinde Fleck: die Lieferkette
Die meisten Unternehmen prüfen bei NIS-2 zuerst die eigene IT: Sind unsere Systeme abgesichert, haben wir MFA, Backups, einen Notfallplan? Das ist richtig — aber unvollständig. § 30 verlangt ausdrücklich Maßnahmen gegen Bedrohungen aus der Lieferkette. Und Software ist Teil dieser Lieferkette.
Konkret heißt das: Eine betroffene Einrichtung muss die Sicherheit ihrer direkten Lieferanten und Dienstleister bewerten und steuern — nicht die gesamte Kette bis zum letzten Sub-Sub-Auftragnehmer, aber eben die unmittelbaren Partner. Dazu zählt, wer Ihre Software baut, betreibt oder wartet.
Daraus folgt ein Effekt, der in der Praxis entscheidend ist — der Kaskadeneffekt:
Auch wenn Ihr Software-Lieferant selbst nicht unter NIS-2 fällt, gibt Ihre eigene Pflicht die Anforderungen an ihn weiter. Sie können NIS-2 nicht an einen Dienstleister delegieren — die Verantwortung bleibt bei Ihnen.
Das betrifft zwei Gruppen gleichzeitig:
- Betroffene Unternehmen, die Software einkaufen oder entwickeln lassen, müssen ihre Software-Lieferanten künftig systematisch prüfen und vertraglich binden.
- Software-Dienstleister — unabhängig von ihrer eigenen Betroffenheit — werden zunehmend aufgefordert, ihre Sicherheitsreife nachzuweisen. Wer das nicht kann, fliegt aus Ausschreibungen.
Ein wichtiger Unterschied dabei: Das Gesetz trennt Lieferanten (die ein Produkt liefern — etwa eine Software-Komponente, ein fertiges Stück Code) von Dienstleistern (die eine Leistung erbringen — etwa Entwicklung, Betrieb, Wartung mit Zugriff auf Ihre Systeme). Bei Dienstleistern zählt vor allem der Zugriff auf Systeme und Daten; bei Lieferanten die Integrität des gelieferten Produkts — Stichwort Supply-Chain-Angriffe über kompromittierte Updates. Ein individueller Software-Partner ist meist beides.
Was das für Ihre Software-Projekte bedeutet
Wenn Ihr Unternehmen unter NIS-2 fällt, ist Ihr Software-Partner ein direkter Lieferant im Sinne des Gesetzes. Das verändert die Zusammenarbeit an drei Stellen.
Erstens: Bewertung. Sie müssen risikobasiert einschätzen, wie kritisch ein Lieferant ist. Ein Dienstleister mit Vollzugriff auf Ihre Produktionsdatenbank ist kritischer als ein Anbieter eines isolierten Hilfstools. Die kritischen Partner gehören priorisiert geprüft.
Zweitens: Vertrag. Sicherheitsanforderungen gehören in den Vertrag — nachvollziehbar, nicht als Floskel. In der Praxis sehen wir zunehmend Lieferanten-Fragebögen, Audit-Rechte und konkrete Klauseln zu Themen wie:
| Was Auftraggeber heute abfragen | Worum es geht |
|---|---|
| Zugriffs- und Berechtigungskonzept | Wer kommt an Ihre Systeme und Daten? |
| Schwachstellen- und Patch-Prozess | Wie schnell werden Lücken geschlossen? |
| Vorfalls- und Meldefähigkeit | Kann der Partner Ihre 24-/72-Stunden-Fristen unterstützen? |
| Sichere Entwicklung (Secure SDLC) | Code-Review, Abhängigkeits-Scans, Tests |
| Lieferketten-Transparenz | Welche Komponenten und Dritt-Dienste stecken drin? |
Drittens: Nachweis. Es reicht nicht, dass ein Partner sicher arbeitet — er muss es auch belegen können. Wer auf einen Fragebogen keine belastbaren Antworten liefert, wird selbst zum dokumentierten Risiko in Ihrer Compliance-Akte.
Woran Sie einen NIS-2-tauglichen Software-Partner erkennen
Die gute Nachricht: Was NIS-2 in der Lieferkette verlangt, deckt sich weitgehend mit dem, was ohnehin gute Engineering-Praxis ist. Ein Partner, der sauber arbeitet, erfüllt die meisten Anforderungen, ohne dass ein Compliance-Theater nötig wäre. Achten Sie auf fünf Punkte:
- Sichere Entwicklung als Standard, nicht als Aufpreis. Code-Reviews, automatisierte Abhängigkeits- und Schwachstellen-Scans, Tests als Quality-Gate. Wie sich solche Gates automatisieren lassen, haben wir am Beispiel von Claude Code Hooks beschrieben.
- Diszipliniertes Geheimnis- und Zugriffsmanagement. Keine Passwörter im Code, klare Rechtevergabe nach dem Least-Privilege-Prinzip, zentrale Secret-Verwaltung — etwa über Azure Key Vault.
- Patch- und Schwachstellenmanagement mit Tempo. Bekannte Lücken in Abhängigkeiten werden zeitnah geschlossen, nicht ausgesessen. Ein Partner sollte sagen können, wie schnell und auf welchem Weg.
- Vorfalls- und Meldefähigkeit. Im Ernstfall muss Ihr Dienstleister Sie nicht nur informieren, sondern aktiv unterstützen, Ihre gesetzlichen Meldefristen einzuhalten.
- Nachweisfähigkeit. Dokumentierte Prozesse, beantwortbare Fragebögen, nachvollziehbare Architektur. Wer sauber baut und es sauber dokumentiert, besteht das Lieferanten-Audit ohne Drama.
Diese fünf Punkte sind kein Zufall — sie sind die Themen, die wir bei Tech42 in jedem Projekt ohnehin als Standard fahren. NIS-2 macht sie jetzt vom „nice to have” zur vertraglichen Anforderung.
Was jetzt zu tun ist
Für Entscheider, die das Thema strukturiert angehen wollen, ist die Reihenfolge klar:
- Eigene Betroffenheit klären. Sektor und Größe prüfen — fallen Sie unter bwE, wE oder gar nicht? Im Zweifel rechtlich absichern.
- Software-Lieferanten inventarisieren. Wer baut, betreibt oder wartet Ihre Software? Welche SaaS-Dienste und kritischen Komponenten hängen daran?
- Risikobasiert priorisieren. Nicht jeder Lieferant ist gleich kritisch — konzentrieren Sie sich zuerst auf die mit tiefem Zugriff.
- Anforderungen vertraglich verankern. Sicherheits- und Nachweispflichten in neue und bestehende Verträge aufnehmen.
- Bei neuen Partnern Sicherheitsreife mitwählen. Den Preis kennt jeder — fragen Sie auch nach Secure SDLC, Patch-Prozess und Meldefähigkeit.
Fazit
NIS-2 ist seit Dezember 2025 keine Zukunftsmusik mehr, sondern geltendes Recht mit persönlicher Haftung der Geschäftsführung. Der Teil, der am leichtesten unterschätzt wird, ist die Lieferkette: Ihre Software-Partner sind Teil Ihrer Compliance, ob sie selbst reguliert sind oder nicht. Wer hier auf Partner mit echter Sicherheitsreife setzt, verwandelt eine lästige Pflicht in einen Stabilitätsvorteil — und muss beim nächsten Lieferanten-Audit nicht improvisieren.
Wie Software-Compliance und gute Entwicklung zusammenspielen, beleuchten wir auch mit Blick auf den EU AI Act für den Mittelstand. Und wer gerade ohnehin einen Software-Partner auswählt, findet in unseren sechs Kriterien für einen KI-fähigen Software-Partner eine praktische Checkliste.
Tech42 baut individuelle Softwareentwicklung für den Mittelstand — mit sicherer Entwicklung, sauberem Geheimnis-Management und nachweisbaren Prozessen als Standard, nicht als Aufpreis. Wenn Sie einen Software-Partner suchen, der die Anforderungen Ihrer Lieferkette von sich aus erfüllt, buchen Sie gern ein kostenloses Erstgespräch.
Weiterlesen
Verwandte Artikel
-
23. Mai 2026
EU AI Act für Custom Software im Mittelstand — was 2026 wirklich zählt
Welche KI-Funktionen im Mittelstand unter den EU AI Act fallen, welche Pflichten seit Februar 2025 schon gelten und was ab August 2026 dazukommt.
Artikel lesen -
29. Mai 2026
Festpreis, Time & Material oder hybrid? Die Entscheidungsmatrix
Festpreis, Time & Material oder hybrid — welches Modell für Ihr Software-Projekt? Eine ehrliche Entscheidungsmatrix nach Scope, Risiko und Budgetsicherheit.
Artikel lesen -
24. Mai 2026
Wie evaluiert man einen KI-Software-Partner 2026? Sechs Kriterien
Sechs Kriterien für die Auswahl eines Software-Partners 2026 — von KI-Kompetenz über Datenschutz bis Skalierbarkeit. Praxisleitfaden für Entscheider.
Artikel lesen
