Die NIS-2-Richtlinie richtet sich direkt nur an bestimmte, meist größere Unternehmen aus definierten Sektoren. Trotzdem bekommen immer mehr kleine und mittlere Zulieferbetriebe im Saarland, gerade in der Automobil- und Stahlindustrie, unerwartet Post von ihren Großkunden: Fragebögen zur IT-Sicherheit, Nachweisforderungen, manchmal sogar vertragliche Zusatzklauseln. Der Grund liegt in der Lieferkette selbst.
Warum auch nicht direkt betroffene Betriebe angefragt werden
Große, direkt NIS-2-pflichtige Unternehmen müssen die Sicherheit ihrer gesamten Lieferkette bewerten, nicht nur ihre eigenen Systeme. Das bedeutet in der Praxis: Ein Automobilzulieferer, der selbst nicht unter die Richtlinie fällt, wird trotzdem zum Sicherheitsnachweis aufgefordert, weil sein Großkunde diesen Nachweis für die eigene Compliance benötigt.
Was Großkunden typischerweise abfragen
- Vorhandensein eines dokumentierten Informationssicherheits-Managementsystems oder zumindest grundlegender Sicherheitsrichtlinien.
- Nachweis über regelmäßige Backups und einen Notfallplan für IT-Ausfälle.
- Bestätigung, dass Mitarbeitende zu IT-Sicherheit und Phishing sensibilisiert werden.
- Angaben zu eingesetzten IT-Dienstleistern und deren vertraglicher Anbindung.
- Meldewege und Reaktionszeiten bei sicherheitsrelevanten Vorfällen.
Der pragmatische Weg für kleine Zulieferbetriebe
Ein vollständiges Informationssicherheits-Managementsystem ist für die meisten kleinen Betriebe weder realistisch noch notwendig, um solche Anfragen zu bestehen. Entscheidend ist, dass die grundlegenden Bausteine vorhanden und dokumentiert sind:
- Funktionierende, getestete Backups nach der 3-2-1-Regel.
- Ein knapper, aber schriftlicher Notfallplan für IT-Ausfälle und Sicherheitsvorfälle.
- Eine grundlegende Bestandsaufnahme der eingesetzten Systeme und Dienstleister.
- Nachweisbare, wenn auch einfache, Sensibilisierung des Teams.
Ersteinschätzung statt Aktionismus
Bevor größere Investitionen in Sicherheitsmaßnahmen erfolgen, lohnt sich eine nüchterne Ersteinschätzung: Welche konkreten Anforderungen stellt der jeweilige Großkunde tatsächlich, und welche Lücken bestehen wirklich? Das verhindert sowohl Untätigkeit als auch teure Überreaktion.
Zeitplan realistisch einschätzen
Wird ein Fragebogen vom Großkunden verschickt, ist oft eine Rückmeldefrist von wenigen Wochen gesetzt, was bei kleinen Betrieben schnell Druck erzeugt. Wichtig ist, nicht in Aktionismus zu verfallen, sondern die Anfrage strukturiert zu beantworten: Welche Punkte sind bereits erfüllt, welche lassen sich kurzfristig nachweisen, und wo ist eine ehrliche Aussage zum aktuellen Stand mit einem konkreten Zeitplan zur Umsetzung sinnvoller als eine beschönigte Antwort. Großkunden reagieren in aller Regel verständnisvoller auf einen glaubwürdigen Fahrplan als auf Zusagen, die sich später als nicht belastbar erweisen.
Wie IT-Notruf-Saar unterstützt
Über das Compliance-Paket bietet IT-Notruf-Saar Zulieferbetrieben im Saarland eine NIS-2-Ersteinschätzung, hilft bei der Beantwortung von Kunden-Fragebögen und begleitet die schrittweise Umsetzung der wichtigsten Nachweise, ohne unnötige Bürokratie aufzubauen.
NIS-2-Anfrage von einem Großkunden erhalten?
Rückmeldung innerhalb einer Stunde, an Werktagen.