Du hast einen NIS-2-Fragebogen erhalten — was jetzt?
Immer mehr deutsche Mittelständler bekommen von ihren Kunden — oft große, regulierte Unternehmen aus den NIS-2-Sektoren — einen sogenannten Lieferantenfragebogen zugeschickt. Der Hintergrund: §30 BSIG verpflichtet betroffene Unternehmen, ihre Lieferkette auf IT-Sicherheitsrisiken zu prüfen. Konkret heißt das: Sie müssen wissen, wie ihre Lieferanten mit Themen wie Zugriffskontrolle, Backup, Incident-Response oder Lieferantenmanagement umgehen.
Schritt 1: Ruhe bewahren — und prüfen, was wirklich verlangt wird
Lieferantenfragebögen sehen oft erschlagend aus. 80 bis 200 Fragen sind keine Seltenheit, viele davon mit Verweisen auf ISO 27001, BSI IT-Grundschutz oder NIST CSF. Wichtig zu wissen: Du musst keine Zertifizierung vorweisen, um den Fragebogen ehrlich zu beantworten. Was erwartet wird, ist Transparenz über deinen tatsächlichen Sicherheitsstand — nicht Perfektion.
Schritt 2: Die typischen Themenblöcke erkennen
Fast jeder NIS-2-Lieferantenfragebogen deckt diese Bereiche ab:
- Risikomanagement — Wie identifiziert ihr IT-Risiken?
- Asset-Inventar — Welche IT-Systeme nutzt ihr und wo stehen sie?
- Zugriffskontrolle — Wie sind Berechtigungen geregelt? MFA?
- Datensicherung & Wiederherstellung — Backup-Strategie, Testintervalle
- Incident-Response — Wer macht was bei einem Sicherheitsvorfall?
- Lieferanten- & Drittparteienmanagement — Eure eigenen Sub-Auftragsverarbeiter
- Schulungen & Awareness — Wie oft, welche Inhalte
- Kryptografie — Verschlüsselung in Ruhe und in Übertragung
- Physische Sicherheit — Zutritt, Schutz vor Diebstahl
Schritt 3: Ehrlich beantworten — nicht beschönigen
Falsche Angaben können vertraglich und haftungsrechtlich teuer werden. Wenn ihr ein bestimmtes Kontrollziel nicht erfüllt, ist das in Ordnung — solange ihr es transparent dokumentiert und einen realistischen Plan zur Schließung der Lücke beilegt. Kunden bewerten in der Regel den Reifegrad und die Roadmap, nicht den absoluten Erfüllungsgrad.
Schritt 4: Standardisieren statt jedes Mal neu
Wer mehrere Kunden hat, bekommt mehrere Fragebögen — meist in unterschiedlichen Formaten. Eine eigene Antwort-Wissensbasis spart enorm viel Zeit. Pro Themenblock einmal sauber dokumentieren, dann nur noch kundenspezifisch anpassen.
Schritt 5: Externe Hilfe holen, wenn es eng wird
Wenn du den Fragebogen mit einer harten Deadline bekommst (typisch: 14 Tage) und im Tagesgeschäft eingespannt bist, ist externe Unterstützung sinnvoll. Wir bei nis2-antwortpaket.de bereiten genau diese Antworten strukturiert vor — basierend auf den Pflichtbereichen aus §30 BSIG.
Häufige Fragen
Muss ich als KMU NIS-2-Anforderungen erfüllen, wenn ich nur Lieferant bin?
Du fällst meist nicht direkt unter NIS-2, aber dein Kunde ist über §30 BSIG verpflichtet, seine Lieferkette zu prüfen. Vertraglich kann dich das treffen.
Was passiert, wenn ich Fragen nicht ehrlich beantworten kann?
Lücken ehrlich dokumentieren und einen Maßnahmenplan beifügen ist deutlich besser als beschönigte Antworten — und vertraglich abgesichert.
Wie lange dauert die Beantwortung typischerweise?
Beim ersten Fragebogen 20–40 Stunden interner Aufwand. Mit standardisierten Antworten danach 4–8 Stunden pro Kunde.
Brauche ich eine ISO-27001-Zertifizierung?
Nein. Die meisten Kunden akzeptieren strukturierte Antworten mit Reifegrad-Einschätzung und Roadmap auch ohne Zertifikat.
Was kostet ein professioneller Lieferantenbericht?
Bei uns ab 690 EUR (Soforthilfe). Quick-Check 1.490 EUR. Premium mit Management-Summary 2.490 EUR.
Wer haftet bei falschen Angaben?
Üblicherweise der Unterzeichnende des Fragebogens — also dein Unternehmen. Deshalb: ehrliche Antworten und sauber dokumentierte Lücken.
Wie unterscheidet sich §30 BSIG von NIS-2?
§30 BSIG ist die deutsche Umsetzung von NIS-2 und beschreibt Mindestpflichten der Risiko- und Lieferkettensicherheit.
Bereit für den nächsten Schritt?
Wir bereiten deine NIS-2-Antworten strukturiert vor — orientiert an §30 BSIG. Keine Floskeln, keine Rechtsberatung.