Betroffenheit klären
Direkt betroffen oder nur vertraglich? Das bestimmt den Umfang.
Betroffenheit prüfenLieferketten-Nachweis
NIS2 trifft auch Zulieferer.
Wer fragt, was verlangt wird — und wann.
| Wer fragt | Was verlangt wird | Wann |
|---|---|---|
| OEM / Großkunde | Strukturierter Sicherheits-Fragebogen zur Lieferkette | Bei Ausschreibung oder Onboarding |
| Cyberversicherer | Nachweise für Underwriting und Verlängerung | Zur Police-Erneuerung |
| Vertragsklausel | Zusicherung + laufender Nachweis der Maßnahmen | Bei Vertragsabschluss |
| Audit-Anfrage | Belege auf Anforderung, oft mit kurzer Frist | Anlassbezogen |
Was in einem OEM-Fragebogen wirklich steht.
Die Fragebögen unterscheiden sich im Detail, fragen aber fast immer dieselben acht Bereiche ab — es sind dieselben Themen wie die zehn §30-Maßnahmen: Informationssicherheit organisiert und dokumentiert · Zugriffskontrolle und Mehr-Faktor-Authentisierung · Patch- und Schwachstellen-Management · Backup und Wiederanlauf · Erkennung und Meldung von Vorfällen · Sicherheit bei eigenen Unterlieferanten · Awareness und Schulung der Mitarbeitenden · physische und Umgebungssicherheit. Für jeden Bereich wollen Kunden keine Absichtserklärung, sondern einen Beleg: Was gilt bei Ihnen, wo steht es, seit wann, wer ist verantwortlich.
Was passiert, wenn Sie nicht liefern können.
Kein Bußgeld vom BSI — aber handfeste geschäftliche Folgen: Sie fallen aus der Ausschreibung, das Onboarding stockt, die Versicherung verteuert sich oder eine Vertragsklausel wird verletzt. Der Nachweis entscheidet zunehmend darüber, ob Sie Lieferant bleiben.
Das minimale Nachweis-Paket.
Kein 80-seitiges Sicherheitskonzept. Ein knappes, prüffähiges Paket reicht — und überzeugt mehr: eine strukturierte Übersicht Ihrer §30-relevanten Maßnahmen · je Maßnahme ein konkreter Beleg · ein Stand-Datum · ein benannter Ansprechpartner. Aktuell gehalten, nicht einmal abgelegt.
In vier Schritten vorbereitet.
Maßnahmen zuordnen
Die §30-Themen auf das mappen, was Ihr Microsoft 365 ohnehin leistet.
Pflichten-Matrix ansehenBelege sammeln
Je Maßnahme ein Artefakt mit Datum und Verantwortlichem.
Aktuell halten
Ein fester Termin pro Quartal genügt.
Aufwand und Kosten.
Für die meisten Zulieferer ist der Hauptaufwand interne Zeit, nicht externes Honorar — die Belege stammen aus Systemen, die Sie schon betreiben. Rechnen Sie für ein erstes Paket mit einigen Personentagen verteilt über Ihr IT- und Qualitäts-Team. Externe Beratung lohnt sich nur für echte Grenzfälle.
Nächster Schritt.
Klären Sie zuerst die eigene Betroffenheit und ordnen Sie dann die relevanten §30-Maßnahmen in der Pflichten-Matrix ein.
FAQ
Muss ich Nachweise liefern, wenn ich nicht direkt betroffen bin?
Ja, wenn ein regulierter Kunde es vertraglich verlangt. Die Vertragspflicht gilt unabhängig von Ihrer eigenen direkten Betroffenheit.
Reicht ein einmalig ausgefüllter Fragebogen?
Selten. Verträge verlangen zunehmend einen laufenden Nachweis — der Stand muss aktuell bleiben, nicht nur zum Onboarding stimmen.
Brauche ich eine Zertifizierung (ISO 27001, TISAX)?
Nicht zwingend. Manche Kunden akzeptieren strukturierte Selbstauskünfte mit Belegen. Fragen Sie, was konkret verlangt wird, bevor Sie ein Zertifizierungsprojekt starten.
Was, wenn ich selbst Unterlieferanten habe?
Dann geben Sie die relevanten Anforderungen weiter — dieselbe Logik gilt eine Ebene tiefer.