Die NIS-2-Richtlinie richtet sich direkt nur an bestimmte, meist größere Unternehmen aus definierten Sektoren. Trotzdem bekommen immer mehr kleine und mittlere Zulieferbetriebe im Saarland, gerade in der Automobil- und Stahlindustrie, unerwartet Post von ihren Großkunden: Fragebögen zur IT-Sicherheit, Nachweisforderungen, manchmal sogar vertragliche Zusatzklauseln. Der Grund liegt in der Lieferkette selbst.

Warum auch nicht direkt betroffene Betriebe angefragt werden

Große, direkt NIS-2-pflichtige Unternehmen müssen die Sicherheit ihrer gesamten Lieferkette bewerten, nicht nur ihre eigenen Systeme. Das bedeutet in der Praxis: Ein Automobilzulieferer, der selbst nicht unter die Richtlinie fällt, wird trotzdem zum Sicherheitsnachweis aufgefordert, weil sein Großkunde diesen Nachweis für die eigene Compliance benötigt.

Was Großkunden typischerweise abfragen

Der pragmatische Weg für kleine Zulieferbetriebe

Ein vollständiges Informationssicherheits-Managementsystem ist für die meisten kleinen Betriebe weder realistisch noch notwendig, um solche Anfragen zu bestehen. Entscheidend ist, dass die grundlegenden Bausteine vorhanden und dokumentiert sind:

Ersteinschätzung statt Aktionismus

Bevor größere Investitionen in Sicherheitsmaßnahmen erfolgen, lohnt sich eine nüchterne Ersteinschätzung: Welche konkreten Anforderungen stellt der jeweilige Großkunde tatsächlich, und welche Lücken bestehen wirklich? Das verhindert sowohl Untätigkeit als auch teure Überreaktion.

Zur Vertiefung: Das NIS2 Survival Kit von Dr. Holger Reibold bietet einen praxisnahen Leitfaden mit Sofortmaßnahmen, Checklisten und Vorlagen zur rechtssicheren Umsetzung, auch für Betriebe, die nur mittelbar über ihre Kunden betroffen sind.

Zeitplan realistisch einschätzen

Wird ein Fragebogen vom Großkunden verschickt, ist oft eine Rückmeldefrist von wenigen Wochen gesetzt, was bei kleinen Betrieben schnell Druck erzeugt. Wichtig ist, nicht in Aktionismus zu verfallen, sondern die Anfrage strukturiert zu beantworten: Welche Punkte sind bereits erfüllt, welche lassen sich kurzfristig nachweisen, und wo ist eine ehrliche Aussage zum aktuellen Stand mit einem konkreten Zeitplan zur Umsetzung sinnvoller als eine beschönigte Antwort. Großkunden reagieren in aller Regel verständnisvoller auf einen glaubwürdigen Fahrplan als auf Zusagen, die sich später als nicht belastbar erweisen.

Wie IT-Notruf-Saar unterstützt

Über das Compliance-Paket bietet IT-Notruf-Saar Zulieferbetrieben im Saarland eine NIS-2-Ersteinschätzung, hilft bei der Beantwortung von Kunden-Fragebögen und begleitet die schrittweise Umsetzung der wichtigsten Nachweise, ohne unnötige Bürokratie aufzubauen.

NIS-2-Anfrage von einem Großkunden erhalten?

Rückmeldung innerhalb einer Stunde, an Werktagen.

Soforthilfe anfragen →