SaaSFort
NIS2 Lieferkette supply-chain BSIG Compliance SaaS DACH

NIS2 Lieferkettensicherheit für SaaS-Anbieter

§30 BSIG verpflichtet NIS2-Unternehmen zur Prüfung ihrer SaaS-Lieferkette. So liefern Sie als Anbieter den Nachweis — bevor Ihr Kunde ihn verlangt.

ST
SaaSFort Team
· 5 min di lettura

Ihr größter Kunde schickt Ihnen eine E-Mail: „Im Rahmen unserer NIS2-Compliance müssen wir die Sicherheitslage aller SaaS-Anbieter in unserer Lieferkette bewerten. Bitte senden Sie uns bis Freitag entsprechende Nachweise.” Sie haben keinen fertigen Bericht. Kein NIS2-Mapping. Keine aktuelle Scan-Dokumentation. Die Uhr tickt.

Das passiert gerade tausendfach in Deutschland. Seit dem 6. Dezember 2025 gilt das NIS2UmsuCG. §30 Abs. 2 Nr. 4 BSIG verpflichtet betroffene Unternehmen, die Sicherheit ihrer Zulieferer und Dienstleister aktiv zu steuern. Wer seine Lieferanten nicht systematisch bewertet, hat eine offene Flanke — und das BSI prüft aktiv.

Für SaaS-Anbieter bedeutet das: Ihre Kunden werden Nachweise verlangen. Wer sie liefert, behält den Vertrag. Wer nicht, verliert ihn.

Was §30 BSIG von Ihren Kunden verlangt

§30 Abs. 2 Nr. 4 BSIG fordert „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.” Laut cloudmagazin.com: „SaaS ohne NIS2-Konformität = direktes Haftungsrisiko für Kunden.”

Konkret müssen Ihre Kunden:

  1. Inventar führen — alle SaaS-Dienste erfassen, die Daten verarbeiten
  2. Sicherheitslage bewerten — jeden Anbieter auf NIS2-Konformität prüfen
  3. Vertraglich absichern — Sicherheitsanforderungen in Verträgen verankern
  4. Kontinuierlich überwachen — nicht nur beim Onboarding, sondern laufend
  5. Notfallpläne haben — für Sicherheitsvorfälle bei Anbietern

Die Geschäftsführung haftet persönlich für die Umsetzung dieser Maßnahmen. Das erhöht den Druck auf Einkaufsabteilungen, Nachweise einzufordern — schnell und dokumentiert.

Warum SaaS die größte Compliance-Lücke ist

Ein deutsches Mittelstandsunternehmen nutzt durchschnittlich 47 SaaS-Tools. Das NIS2-Compliance-Programm deckt typischerweise 5–10 „kritische” Anbieter ab — ERP, Cloud-Hosting, E-Mail. Die restlichen 37–42 Tools? Niemand hat geprüft.

Drei Gründe, warum SaaS im blinden Fleck liegt:

Dezentrale Beschaffung. Marketing bucht ein Analytics-Tool. HR nutzt ein Recruiting-SaaS. Der Vertrieb setzt ein Proposal-Tool ein. Keine dieser Entscheidungen läuft über die IT-Sicherheit. Wenn das Compliance-Team für NIS2 alle Anbieter erfassen muss, tauchen plötzlich Dutzende unbekannte Tools auf.

Kein Standard-Nachweis. ISO 27001 deckt nicht alle NIS2-Anforderungen ab — insbesondere Meldepflichten und Geschäftsleitungspflichten fehlen. SOC 2 allein reicht ebenfalls nicht. Kunden brauchen NIS2-spezifische Nachweise, und die meisten SaaS-Anbieter haben sie nicht.

Fehlende Sichtbarkeit. Ihr Kunde kann Ihre interne Sicherheit nicht prüfen. Was er prüfen kann: Ihre externe Sicherheitslage — TLS-Konfiguration, Security Headers, DNS-Sicherheit, E-Mail-Authentifizierung. Genau die Prüfpunkte, die ein externer Scan in 60 Sekunden liefert.

Was Enterprise-Kunden als Nachweis erwarten

Laut isms.online müssen SaaS-Anbieter folgende Nachweiskategorien abdecken:

Nachweis-KategorieWas erwartet wirdWie Sie es liefern
Externe SicherheitslageAktueller Scan-Bericht mit Note (A-F)SaaSFort-Scan — 60 Prüfungen, unter 60 Sekunden
NIS2-KontrollmappingZuordnung der Ergebnisse zu Art. 21(2)NIS2-Compliance-PDF — kostenlos
Vulnerability ManagementScan-Frequenz, Behebungsfristen, Disclosure-PolicyWöchentliche Scans + CI/CD-Integration
Incident Response24-Stunden-Meldepflicht, EskalationspfadeEigene Policy + NIS2-konforme Fristen
Sub-Processor-KetteSicherheitsstatus eigener ZuliefererThird-Party Risk Management Dokumentation
ZertifizierungenISO 27001, SOC 2, BSI GrundschutzZertifikate + ergänzender externer Scan-Nachweis

Der entscheidende Punkt: ISO 27001 allein genügt nicht als NIS2-Nachweis. Laut secjur.com deckt eine ISO-27001-Zertifizierung nicht die NIS2-spezifischen Meldepflichten und Geschäftsleitungspflichten ab. Sie brauchen beides — Zertifizierung plus NIS2-spezifische Dokumentation.

Praxis-Szenario: Deal gewonnen vs. Deal verloren

SaaS-Anbieter A erhält die Compliance-Anfrage eines Enterprise-Kunden. Kein Scan-Bericht vorhanden. Kein NIS2-Mapping. Der CTO verbringt zwei Wochen damit, manuell einen Sicherheitsbericht zusammenzustellen. Der Kunde entscheidet sich für einen anderen Anbieter, der in 24 Stunden geliefert hat.

SaaS-Anbieter B hat vorgesorgt:

  1. Wöchentliche SaaSFort-Scans laufen automatisch — aktueller Bericht immer verfügbar
  2. NIS2-Compliance-PDF wird per API generiert — alle 10 Maßnahmen nach Art. 21(2) gemappt
  3. Security Evidence Package liegt als ZIP bereit — Scan-Bericht, NIS2-Export, Incident-Response-Summary, Sub-Processor-Liste

Antwortzeit: unter einer Stunde. Kosten: €9/Monat für SaaSFort Starter. Vergleichen Sie das mit einem Beratergutachten zu €200–500/Stunde.

5 Schritte zum fertigen Lieferketten-Nachweis

1. Externe Sicherheitslage dokumentieren (Tag 1)

Kostenloser Scan — 60 Prüfungen in 21 Kategorien, A-F Note. Zeigt sofort, was ein externer Auditor sehen würde. Kein Account nötig. Das Ergebnis wird Ihr erstes Compliance-Dokument.

2. NIS2-Compliance-PDF generieren (Tag 1)

SaaSFort bildet alle Ergebnisse auf die 10 Maßnahmen nach Artikel 21(2) ab. Das PDF zeigt pro Kontrollmaßnahme: Compliance-Prozentsatz, Status-Badge (konform/teilweise/nicht konform), betroffene Prüfpunkte und Behebungshinweise.

3. Kritische Lücken schließen (Woche 1–2)

Beheben Sie zuerst, was Ihre Note unter C drückt: abgelaufene TLS-Zertifikate, fehlende Security Headers (HSTS, CSP), offene Admin-Pfade, fehlende SPF/DKIM/DMARC-Records. Die häufigsten Befunde bei deutschen SaaS-Unternehmen lassen sich in Tagen, nicht Monaten, beheben.

4. Evidence Package zusammenstellen (Woche 2)

Erstellen Sie ein fertiges ZIP-Paket nach der Ordnerstruktur für Audit-Nachweise:

  • /01_externe-sicherheit/ — Scan-Bericht + NIS2-PDF
  • /02_zertifizierungen/ — ISO 27001, SOC 2 (falls vorhanden)
  • /03_policies/ — Incident Response, Vulnerability Management
  • /04_sub-processors/ — Liste + Sicherheitsstatus
  • README.pdf — Inhaltsverzeichnis mit Gültigkeitsdaten

5. Automatisierung einrichten (ab Woche 2)

Einmalige Nachweise veralten. Richten Sie wöchentliche automatische Scans ein oder integrieren Sie SaaSFort in Ihre CI/CD-Pipeline. Jeder Deploy generiert frische Nachweise — genau das, was §30 BSIG unter „laufender Überwachung” versteht.

FAQ

Muss ich als SaaS-Anbieter selbst NIS2-konform sein?

Nur wenn Sie als „wichtige” oder „besonders wichtige Einrichtung” eingestuft sind (z.B. digitale Infrastruktur, IKT-Dienste ab 50 Mitarbeitern/€10 Mio. Umsatz). Aber: Ihre Kunden, die NIS2-betroffen sind, müssen Ihre Sicherheitslage bewerten — und Sie müssen die Nachweise liefern. Bei 29.000 betroffenen EU-Einrichtungen ist die Wahrscheinlichkeit hoch, dass mindestens ein Kunde betroffen ist.

Reicht eine ISO 27001 als Nachweis für die Lieferkette?

Nein. ISO 27001 deckt viele Sicherheitskontrollen ab, aber nicht die NIS2-spezifischen Anforderungen: Meldepflichten (24h Frühwarnung), Geschäftsführerhaftung nach §38, und das explizite Kontrollmapping auf Artikel 21(2). Sie brauchen ISO 27001 plus NIS2-spezifische Dokumentation.

Was passiert, wenn ich die Nachweise nicht liefern kann?

Ihr Kunde riskiert Bußgelder bis €10 Mio. für unzureichende Lieferkettensicherheit. Das Ergebnis: vertragliche Konsequenzen für Sie — Vertragsstrafen, SLA-Verschärfungen oder Kündigung. Im schlimmsten Fall verlieren Sie den Kunden an einen Wettbewerber, der die Nachweise liefern kann.

Wie schnell erwarten Kunden eine Antwort?

Laut SaaSFort-Analyse von Enterprise-Beschaffungsprozessen: 48 Stunden für eine erste Einschätzung, 2 Wochen für ein vollständiges Evidence Package. Anbieter, die in 24 Stunden liefern, gewinnen laut Vanta 2024 Trust Report 67% häufiger den Deal als solche, die Wochen brauchen.

Wie unterscheidet sich NIS2-Lieferkette von DORA?

DORA gilt spezifisch für den Finanzsektor und stellt strengere Anforderungen: verpflichtende Vertragsklauseln, Konzentrationsrisikobewertung und Exit-Strategien. Wenn Sie an Finanzunternehmen verkaufen, brauchen Sie DORA-Compliance zusätzlich zu NIS2.

Bereiten Sie Ihren Lieferketten-Nachweis vor. Kostenloser Scan — 60 Prüfungen, A-F Note, unter 60 Sekunden. Dann NIS2-Compliance-PDF generieren — Ihr erster Nachweis für §30 BSIG. Das vollständige Framework finden Sie in unserem SaaS Security Playbook 2026.

Condividi questo articolo
LinkedIn Post

Dalla lettura all'azione

Scansionate il vostro dominio gratuitamente. Primi risultati in meno di 10 secondi — senza registrazione.

Scansione gratuita

Continua a leggere

NIS2Geschäftsführerhaftung

NIS2 Geschäftsführerhaftung: §38 BSIG für SaaS-CEOs

§38 BSIG macht Geschäftsführer persönlich haftbar für Cybersicherheit. Kein Verzicht. Bußgelder bis €10 Mio. Was SaaS-CEOs tun müssen.

Leggi articolo
NIS2BSI

NIS2-Registrierung verpasst? Bußgelder und Sofortmaßnahmen

18.500 Unternehmen haben die BSI-Registrierungsfrist am 6. März 2026 verpasst. Bußgelder bis 500.000 € drohen. So handeln Sie jetzt richtig.

Leggi articolo
NIS2Compliance

NIS2 SaaS Vendor Compliance Checklist 2026

NIS2 enforcement starts October 2026. Enterprise buyers require supply chain security evidence. Get the 12-point checklist with DDQ response templates.

Leggi articolo
Torna a tutti gli articoli