← Zurück zur Startseite

Was kostet NIS-2-Compliance für mittelständische Lieferanten?

Was kostet ein NIS-2-konformer Lieferantenbericht wirklich? Hier findest du belastbare Zahlen — und wo sich externe Hilfe rechnet.

Die kurze Antwort

Für einen Mittelständler (20–250 Mitarbeitende), der nicht direkt unter §30 BSIG fällt, aber Kunden in NIS-2-Sektoren beliefert, liegt der realistische Aufwand für die erste Kundenanfrage bei 3.000 bis 15.000 EUR an internem Aufwand plus optional 500 bis 5.000 EUR externe Unterstützung. Danach sinkt der Aufwand pro weiterem Kunden deutlich.

Aufwand & Kosten im Detail

1. Erste Bestandsaufnahme

PositionAufwandKosten (intern, 80 EUR/h)
Asset-Inventar erstellen8–20 h640–1.600 EUR
Bestehende Richtlinien sammeln4–10 h320–800 EUR
Gap-Analyse durchführen16–40 h1.280–3.200 EUR
Summe28–70 h2.240–5.600 EUR

2. Erstbeantwortung eines Lieferantenfragebogens

PositionAufwandKosten
Fragen verstehen & strukturieren4–8 h320–640 EUR
Antworten formulieren12–24 h960–1.920 EUR
Review & Freigabe4–8 h320–640 EUR
Summe20–40 h1.600–3.200 EUR

3. Externe Unterstützung (optional)

  • Soforthilfe-Paket (690 EUR): Strukturierte Antworten in 5 Werktagen
  • Quick-Check (1.490 EUR): + Gap-Analyse + Empfehlungen
  • Premium (2.490 EUR): + Management-Summary + 90-Tage-Roadmap
  • Klassische Beratungstagessätze: 1.200–2.000 EUR/Tag

4. Tooling

Tool-Kategorietypische Kosten p.a.
Passwort-Manager50–200 EUR/User
MFA-Lösung30–80 EUR/User
Backup-Service500–3.000 EUR
EDR/AV30–60 EUR/Endpoint
Awareness-Training5–20 EUR/User/Jahr

5. Laufende Pflege

Nach der Erstausstattung fallen typischerweise 2.000–6.000 EUR pro Jahr für interne Pflege an: Updates der Richtlinien, jährliche Wiederholung der Selbstauskünfte, neue Kundenfragebögen.

Wo lohnt sich externe Hilfe?

  • Erster Fragebogen mit harter Deadline — internes Team ist überlastet
  • Unklare Anforderungen — Kunde verwendet sektorspezifischen Spezialfragebogen
  • Mehrere Fragebögen gleichzeitig — Skaleneffekte nutzen
  • Aufbau einer Antwort-Wissensbasis — einmaliger Aufwand mit großem Hebel

Wo lohnt sich Eigenarbeit?

  • Routinepflege nach dem ersten Setup
  • Aktualisierung der Antworten bei vorhandener Vorlage
  • Mitarbeiterschulung mit fertigen Tools (Bsp.: KnowBe4, SoSafe)

Falsche Sparbremsen

  • "Wir machen das nächstes Quartal" — Kunden geben oft 14 Tage Frist
  • "Wir kopieren von einer Vorlage aus dem Internet" — Kunden erkennen Generika sofort
  • "Wir lassen den Praktikanten den Fragebogen ausfüllen" — Falschangaben sind vertraglich teuer

Häufige Fragen

Muss ich als 30-Personen-Firma überhaupt etwas tun?

Wenn ein Kunde aus NIS-2-Sektor euch einen Fragebogen schickt: ja. Die Pflicht entsteht vertraglich, nicht gesetzlich.

Kann ich die Kosten an meinen Kunden weiterreichen?

In manchen Branchen üblich (Audit-Pauschalen), in den meisten nicht. Sicherheit gilt zunehmend als Marktzugangsvoraussetzung.

Sind ISO 27001 oder TISAX die billigere Lösung?

Nicht für kleine Firmen — eine ISO-27001-Zertifizierung kostet meist 25.000–80.000 EUR über drei Jahre. Strukturierte Antworten reichen oft.

Was ist der häufigste versteckte Kostenfaktor?

Die Mehrfacheinholung interner Informationen — ohne Wissensbasis fragt der Antworter jedes Mal IT, HR und Geschäftsführung erneut.

Wie lange ist eine NIS-2-Antwort gültig?

12 Monate ist Standard. Bei wesentlichen Änderungen (neuer Cloud-Provider, neue Standorte) früher aktualisieren.

Gibt es Förderprogramme?

Manche Bundesländer fördern KMU-Cybersicherheit (z. B. Mittelstand-Digital-Zentrum). Für reine Antworten meist nicht zuschussfähig.

Lohnt sich eine Wissensbasis schon ab dem zweiten Kunden?

Ja — der Aufwand pro Folgekunde sinkt von 20–40 Stunden auf 4–8 Stunden, sobald 80 % der Antworten standardisiert sind.

Bereit für den nächsten Schritt?

Wir bereiten deine NIS-2-Antworten strukturiert vor — orientiert an §30 BSIG. Keine Floskeln, keine Rechtsberatung.