NIS-2 Lieferkette: Pflichten für IT-Dienstleister betroffener Unternehmen

Die NIS-2-Lieferkette beschreibt die Sicherheitsanforderungen, die ein NIS-2-reguliertes Unternehmen über Verträge an seine IT- und KI-Dienstleister weitergibt. Rechtliche Grundlage ist Artikel 21 der NIS-2-Richtlinie (EU) 2022/2555: Betroffene Einrichtungen müssen Risiken in ihrer Lieferkette bewerten und absichern. Genau dadurch geraten auch Dienstleister in die Pflicht, die selbst gar nicht unter den Anwendungsbereich fallen, aber betroffene Unternehmen beliefern.

• Wer ist gemeint? Nicht primär die Agentur selbst, sondern ihr betroffener Kunde. Dieser muss seine Zulieferer absichern und reicht die Anforderungen vertraglich weiter.
• Worauf stützt es sich? Auf Artikel 21 (Risikomanagementmaßnahmen inklusive Lieferkettensicherheit) sowie Artikel 20 und Rezital 137 (Verantwortung der Leitungsorgane).
• Was ist die Folge? IT- und KI-Dienstleister müssen nachweisbare technische und organisatorische Maßnahmen liefern, auch ohne formal Adressat des Gesetzes zu sein.

Warum nicht regulierte Dienstleister trotzdem betroffen sind

NIS-2 reguliert Einrichtungen in definierten Sektoren ab bestimmten Größenschwellen. Eine spezialisierte KI- oder Webagentur fällt in der Regel nicht selbst unter den Anwendungsbereich. Der Hebel liegt eine Ebene höher: Artikel 21 der Richtlinie verpflichtet wesentliche und wichtige Einrichtungen ausdrücklich, die Sicherheit ihrer Lieferkette und der Beziehungen zu ihren direkten Anbietern und Dienstleistern in ihr Risikomanagement einzubeziehen.

Konkret heißt das: Das regulierte Unternehmen muss die Sicherheitspraxis seiner Lieferanten bewerten, Anforderungen definieren und deren Einhaltung sicherstellen. Da es diese Pflicht nur erfüllen kann, wenn die Lieferanten mitziehen, gibt es die Anforderungen vertraglich weiter. Auf diesem Weg wird ein nicht regulierter Dienstleister faktisch an dieselben Standards gebunden, die für seinen Kunden gelten. Die Verpflichtung entsteht also nicht durch das Gesetz direkt, sondern durch den Vertrag mit dem betroffenen Unternehmen.

Strategisch verschärft wird das durch die Haftungslogik der Richtlinie. Artikel 20 verlangt, dass das Leitungsorgan die Risikomanagementmaßnahmen billigt und ihre Umsetzung überwacht. Rezital 137 stellt klar, dass die Verantwortung auch greifen kann, wenn das Leitungsorgan seinen Governance-Pflichten nicht nachgekommen ist, und zwar selbst ohne einen erfolgreichen Angriff. Die Verantwortung knüpft damit an die Pflichtverletzung, nicht an den eingetretenen Schaden. Für die Praxis bedeutet das: Geschäftsführungen betroffener Unternehmen haben ein hartes Eigeninteresse daran, ihre Lieferanten sauber zu prüfen und vertraglich zu binden, weil das Versäumnis auf sie zurückfällt.

Der Rechtsrahmen in DACH: gleiches Ziel, unterschiedliche Umsetzung

NIS-2 ist eine Richtlinie und muss national umgesetzt werden. Für DACH-Lieferketten gelten daher unterschiedliche Bezugsrahmen, die ein Dienstleister kennen sollte.

• Deutschland: Das Umsetzungsgesetz NIS2UmsuCG wurde am 13. November 2025 vom Bundestag verabschiedet, am 5. Dezember 2025 verkündet und ist am 6. Dezember 2025 ohne Übergangsfrist in Kraft getreten. Der Anwendungsbereich weitet sich von rund 4.500 auf etwa 29.500 betroffene Unternehmen aus. Das BSI-Registrierungsportal öffnete am 6. Januar 2026, die Frist zur Erstregistrierung lief am 6. März 2026 aus. Die Lieferketten-Pflichten sind in der nationalen Fassung über das BSIG verankert.
• Österreich: Das NISG 2026 wurde am 12. Dezember 2025 im Nationalrat beschlossen, am 23. Dezember 2025 kundgemacht und tritt neun Monate später am 1. Oktober 2026 in Kraft. Der Anwendungsbereich umfasst rund 4.000 Unternehmen in 18 Sektoren. Charakteristisch ist der Systemwechsel zu Selbsteinstufung und Selbstdeklaration statt eines behördlichen Bescheids sowie die Errichtung eines Bundesamts für Cybersicherheit im BMI. Wesentliche Einrichtungen müssen Cybersicherheit auf Ebene des Leitungsorgans verankern.
• Schweiz: Die Schweiz ist nicht NIS-2-gebunden, betreibt aber mit dem revidierten Informationssicherheitsgesetz ein paralleles Regime. Betreiber kritischer Infrastrukturen müssen seit 1. April 2025 erhebliche Cyberangriffe innerhalb von 24 Stunden an das Bundesamt für Cybersicherheit (BACS) melden. Schweizer Töchter fallen über EU-Mutter- oder Kundenbeziehungen häufig faktisch in den NIS-2-Lieferkettenkontext.

Im regulierten Finanzsektor existiert mit DORA (Verordnung (EU) 2022/2554) ein verwandtes, schärferes Modell für das Drittparteienrisiko: Die Artikel 28 bis 30 regeln das IKT-Drittparteienrisiko mit verbindlichen Vertragsanforderungen wie Audit-Rechten, Exit-Klauseln und Sub-Processor-Kontrollen. Am 18. November 2025 haben die europäischen Aufsichtsbehörden erstmals 19 kritische IKT-Drittanbieter designiert, darunter AWS, Microsoft Azure und Google Cloud. Wer Finanzunternehmen beliefert, sollte wissen, dass dort die Lieferketten-Anforderungen vertraglich noch deutlich strenger ausfallen.

Was eine KI-Agentur oder ein IT-Dienstleister konkret liefern muss

Die vertragliche Weitergabe von Pflichten ist kein abstraktes Konstrukt, sondern übersetzt sich in prüfbare Nachweise. Die folgende Tabelle ordnet typische Anforderungen aus dem Risikomanagement-Katalog von Artikel 21 dem jeweils Verantwortlichen und der konkreten Maßnahme zu.

Für KI-Dienstleister kommt eine Besonderheit hinzu: Die eigene Lieferkette enthält oft Modell- und Cloud-Anbieter als Unterauftragnehmer. Wer ein LLM über eine API einbindet, schiebt damit einen weiteren Subprozessor in die Kette des Kunden. Diese Subprozessoren müssen offengelegt und im Rahmen des eigenen Sicherheitskonzepts mitbewertet werden, denn der betroffene Kunde trägt die Verantwortung für die gesamte Kette. Im DACH-Umfeld ist der AIC4 (AI Cloud Service Compliance Criteria Catalogue) des BSI der relevante Referenzpunkt, wenn KI-Leistungen über einen Cloud-Service erbracht werden; er erweitert den BSI-C5 um KI-spezifische Kontrollen.

Praxisbeispiel: Wie sich die Pflicht in einer Ausschreibung niederschlägt

Ein konkretes, typisiertes Szenario aus dem Mittelstand verdeutlicht den Mechanismus. Ein DACH-Industrieunternehmen mit rund 1.200 Beschäftigten qualifiziert sich als wichtige Einrichtung unter NIS-2. Es vergibt den Aufbau eines KI-gestützten Kundenportals an eine externe Agentur.

Pseudocode der Pflichtenkette:

```
Auftraggeber (wichtige Einrichtung)
-> erfüllt Art. 21: Risikomanagement inkl. Lieferkette
-> Bedingung: jeder Dienstleister muss Sicherheits-Baseline nachweisen
IF Agentur.zertifiziert(ISO_27001) == false:
Agentur füllt Sicherheitsfragebogen aus
Agentur akzeptiert Vertragsklauseln (TOM, MFA, IR, Subprozessor-Liste)
Agentur.offenlegen(Subprozessoren = [Cloud-Provider, LLM-Provider])
-> Auftraggeber prüft, dokumentiert, überwacht (Art. 20)
```

In der Praxis erhält die Agentur also nicht nur ein Pflichtenheft für Design und Funktion, sondern auch einen Sicherheitsanhang. Sie muss ihr Informationssicherheits-Managementsystem darstellen, ihre Unterauftragnehmer benennen, ein Incident-Response-Vorgehen zusichern und ein Audit-Recht einräumen. Eine Agentur, die diese Nachweise sofort vorlegen kann, kommt durch die Vorprüfung; eine Agentur ohne entsprechende Struktur scheidet oft schon vor dem fachlichen Pitch aus. Aus einer reinen Compliance-Last des Auftraggebers wird damit ein Auswahlkriterium für Lieferanten.

Risikobewertung von Zulieferern: der Blick des Auftraggebers

Aus Sicht des betroffenen Unternehmens ist die Zulieferer-Bewertung kein einmaliger Akt, sondern ein fortlaufender Prozess. Typische Bestandteile sind die Einstufung der Kritikalität eines Dienstleisters (welchen Zugriff hat er auf Systeme und Daten?), die Prüfung der Sicherheitsnachweise, die vertragliche Verankerung der Anforderungen und die regelmäßige Überwachung. Je tiefer ein Dienstleister in kritische Prozesse eingebunden ist, desto strenger fällt die Prüfung aus. Ein KI-Dienstleister, der produktiv auf Kundendaten zugreift oder Workflows automatisiert, wird strenger bewertet als ein Lieferant ohne Datenzugang.

Für Dienstleister ergibt sich daraus eine klare Konsequenz: Wer Transparenz über die eigene Sicherheitsarchitektur und die eigene Subprozessor-Kette herstellt, reduziert die Prüfungslast des Kunden und macht sich als Partner attraktiver. Im DACH-BFSI-Umfeld erreichen Anbieter ohne anerkannte Nachweise wie ISO/IEC 27001, SOC 2, BSI C5 oder AIC4 typischerweise nicht die finale Auswahlrunde.

Für Agenturen und B2B-Entscheider

Für Agenturen und IT-Dienstleister im DACH-Raum verschiebt NIS-2 die Wettbewerbslogik: Nachweisbare Informationssicherheit ist kein Hygienefaktor mehr, sondern Zugangsvoraussetzung zu Aufträgen betroffener Unternehmen. Wer ein ISMS aufbaut, seine Subprozessor-Kette dokumentiert und Standards wie ISO/IEC 27001 oder den AIC4 bedient, gewinnt einen belastbaren Vorsprung in Ausschreibungen. Für B2B-Entscheider auf der Auftraggeberseite gilt umgekehrt: Die Lieferanten-Prüfung gehört zur eigenen Pflichterfüllung und sollte frühzeitig in Beschaffungsprozesse eingebaut werden. Als KI- und Digitalagentur in Wien unterstützt Blck Alpaca dabei, KI-Projekte so aufzusetzen, dass sie in das Lieferketten-Risikomanagement betroffener Unternehmen passen, von der transparenten Subprozessor-Dokumentation bis zur sauberen Schnittstelle für Meldepflichten.

Hinweis: Dieser Beitrag dient der fachlichen Orientierung und ist keine Rechtsberatung. Die konkrete Betroffenheit, die genaue Auslegung von Artikel 21, vertragliche Klauseln, Fristen und mögliche Sanktionen sind mit qualifizierten Berater:innen in der jeweiligen Jurisdiktion zu klären.