Zulieferer einer NIS-2-Einrichtung sind nicht automatisch NIS-2-Einrichtungen
Art. 2 NIS 2 entscheidet den Anwendungsbereich danach, was Sie sind, nicht an wen Sie verkaufen. Kundenbeziehungen ziehen Sie nicht hinein. Was bei Ihnen ankommt, sind die Pflichten Ihres Kunden über dessen Beschaffungsvertrag nach Art. 21 Abs. 2 Buchstabe d.
Die kurze Version
Ob NIS 2 für Ihr Unternehmen gilt, entscheidet allein Art. 2 der Richtlinie. Zwei Tests. Ihr Sektor muss in Anhang I oder II stehen. Und Sie müssen die Größenschwelle erreichen (mittleres Unternehmen nach Empfehlung 2003/361/EG, mit einigen Ausnahmen unabhängig von der Größe in Art. 2 Abs. 2 bis 4). Wer Ihre Kunden sind, ist kein Teil des Tests.
Der Verkauf an eine NIS-2-Einrichtung bringt Sie also nicht in den Anwendungsbereich. Sie werden nur dann selbst zur NIS-2-Einrichtung, wenn Ihr eigener Sektor und Ihre eigene Größe Art. 2 aus eigener Kraft erfüllen. Wenn nicht, bleiben Sie draußen, selbst wenn jeder Kunde auf Ihrer Liste drin ist.
Was tatsächlich die Lieferkette hinunter wandert, ist vertraglich, nicht gesetzlich. Art. 21 Abs. 2 Buchstabe d sagt NIS-2-Einrichtungen, dass sie die Sicherheit ihrer unmittelbaren Lieferanten steuern müssen. Das Werkzeug dafür ist der Beschaffungsvertrag: Klauseln, Fragebögen, Nachweisanforderungen. Sie spüren den Druck, weil Ihr Kunde die Antwort will, nicht weil eine Behörde mit Ihnen spricht.
Richtlinie (EU) 2022/2555 (NIS 2), Artikel 2 Absatz 1
Diese Richtlinie gilt für öffentliche oder private Einrichtungen der in den Anhang I oder II genannten Art, die nach Artikel 2 des Anhangs der Empfehlung 2003/361/EG als mittlere Unternehmen gelten oder die Schwellenwerte für mittlere Unternehmen nach Absatz 1 jenes Artikels überschreiten und ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben.
Der Anwendungsbereich hängt an zwei Tatsachen über die Einrichtung selbst: dem Sektor in Anhang I oder II und der Größenschwelle. Kundenbeziehungen, Verträge und die Stellung in einer Lieferkette stehen nicht im Text und erweitern den Anwendungsbereich nicht. Art. 2 Abs. 2 bis 4 ergänzen einige Ausnahmen unabhängig von der Größe für bestimmte Einrichtungsarten, keine davon wird durch eine Lieferantenrolle ausgelöst.
NIS 2 Art. 21 Abs. 2 Buchstabe d + Durchführungsverordnung (EU) 2024/2690 §5
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Dienstleistern.
Art. 21 Abs. 2 Buchstabe d legt die Pflicht auf die NIS-2-Einrichtung (den Käufer), nicht auf den Lieferanten. CIR 2024/2690 §5 macht daraus eine Lieferantensicherheitsrichtlinie mit schriftlichen Auswahlkriterien und einem Lieferantenrisikoregister. Der Lieferant tut, was im Vertrag steht. Die Behörde spricht nur mit dem Käufer.
BSIG §30 (Deutschland)
Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden. Diese Maßnahmen umfassen unter anderem die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Dienstleistern.
Deutschland übernimmt Art. 21 Abs. 2 Buchstabe d fast eins zu eins in §30 BSIG. Die Pflicht trifft die Einrichtung im Anwendungsbereich. Sie erklärt deren Lieferanten nicht zu Adressaten. Andere Mitgliedstaaten transponieren denselben Art. 21 mit derselben käuferseitigen Mechanik (NL Cyberbeveiligingswet, AT NISG, FR Nachfolgegesetz zur LPM).
Steht Ihr Sektor in Anhang I oder II?
Anhang I (besonders kritisch): Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Service-Management, öffentliche Verwaltung, Weltraum. Anhang II (kritisch): Post, Abfall, Chemikalien, Lebensmittel, Herstellung von Medizinprodukten und Maschinen, digitale Anbieter, Forschung. Wenn Ihr Geschäft in keinem dieser Sektoren sitzt, sind Sie draußen, egal an wen Sie verkaufen. Eine kleine Druckerei, die ein Krankenhaus beliefert, bleibt eine Druckerei.
Sind Sie ein mittleres Unternehmen oder größer?
Schwelle ist die KMU-Definition aus Empfehlung 2003/361/EG: mindestens 50 Beschäftigte und mindestens 10 Mio. Euro Jahresumsatz oder Bilanzsumme, oder darüber. Liegen Sie darunter, sind Sie draußen, es sei denn, eine der Ausnahmen unabhängig von der Größe in Art. 2 Abs. 2 bis 4 erfasst Sie trotzdem (z. B. Sie sind alleiniger Anbieter eines unverzichtbaren Dienstes, qualifizierter Vertrauensdiensteanbieter oder DNS-Diensteanbieter).
Schließt Sie eine Bereichsausnahme aus?
Selbst wenn Test 1 und 2 ja sind, kann Art. 2 Abs. 7 bis 11 Sie herausnehmen (nationale Sicherheit, öffentliche Sicherheit, Verteidigung, Strafverfolgung), oder ein spezielleres EU-Gesetz geht vor (Finanzunternehmen nach DORA überspringen Art. 21 und Art. 23, registrieren sich aber nach Art. 27). Eine Lieferantenrolle gegenüber einer NIS-2-Einrichtung ist nie eine Ausnahme, die hineinzieht. Sie ist auch nie ein Auslöser, der hineinzieht.
Anwendungsbereich je Einrichtung
Art. 2 knüpft die Richtlinie an eine konkrete Einrichtung an, basierend auf deren eigenen Merkmalen. Es gibt keinen abgeleiteten Anwendungsbereich. DORA funktioniert genauso (Finanzunternehmen nach Art und Größe). Die CER-Richtlinie funktioniert genauso (kritische Einrichtungen nach Sektor). Der CRA funktioniert genauso (Hersteller von Produkten mit digitalen Elementen). Jedes Instrument bestimmt seinen Anwendungsbereich danach, was die regulierte Partei ist, nicht wen sie beliefert.
Verträge geben weiter, das Gesetz nicht
Art. 21 Abs. 2 Buchstabe d macht den Käufer für die Steuerung seines Lieferantenrisikos verantwortlich. Das Werkzeug des Käufers ist der Vertrag. Lieferanten spüren also kommerziellen Druck, keinen aufsichtsrechtlichen. Die Verhältnismäßigkeitsklausel in Art. 21 Abs. 1 bestimmt, wie viele Nachweise der Käufer fordern darf: Ein Hochrisiko-Softwareanbieter bekommt einen tieferen Fragebogen, ein einfaches Büro-SaaS einen leichteren. Ihre Aufgabe als Lieferant ist es, diese Anfragen als kaufmännische Bedingungen zu lesen, nicht als Anordnungen einer Behörde.
BSI und BMI: §28 und §30 BSIG trennen Käufer und Lieferant
§28 BSIG nennt die Einrichtungsarten im Anwendungsbereich und wendet das Größenkriterium auf die Einrichtung selbst an. §30 BSIG (die Lieferkettenpflicht) macht eine konkrete besonders wichtige oder wichtige Einrichtung für ihre Lieferantenbeziehungen verantwortlich. Keine der beiden Vorschriften zieht einen nicht qualifizierten Lieferanten in den Anwendungsbereich. Der BSI-Betroffenheitsprüfer prüft Sektor und Größe der Einrichtung, die den Test ausführt, nicht ihrer Kunden.
ENISA: Anwendungsbereich nach Art. 2, Lieferantenrisiko nach Art. 21
Die ENISA-Implementierungshinweise zu NIS 2 behandeln den Anwendungsbereich und die Lieferkettenmaßnahme als getrennte Fragen. Der Anwendungsbereich folgt aus Anhang I oder II plus Größe. Lieferantensicherheit ist eine der Kontrollen, die die Einrichtung im Anwendungsbereich als Teil ihres eigenen Risikomanagements führt. Sie zieht Lieferanten nicht in NIS 2 hinein. Das ENISA-Register nach Art. 27 erfasst nur Einrichtungen, die selbst im Anwendungsbereich liegen.
Andere Mitgliedstaaten wenden denselben Test je Einrichtung an
Das niederländische Cyberbeveiligingswet, das österreichische NISG und die französische Umsetzung (Nachfolgegesetz zur LPM für die Zivilbereiche) lesen Art. 2 gleich. Ein niederländischer Abfalldienstleister, der einen belgischen Energieversorger beliefert, fällt nur dann unter NIS 2, wenn Abfallwirtschaft zu seinen eigenen Tätigkeiten zählt und er die Größenschwelle in den Niederlanden erreicht. Nationale Behörden können die Richtlinie nicht per Landesgesetz auf Unternehmen ausdehnen, die nicht selbst qualifizieren.
Unser Kunde ist im Anwendungsbereich, also sind wir es auch.
Nein. Art. 2 Abs. 1 wendet die Richtlinie auf Sie selbst an, basierend auf Ihrem Sektor und Ihrer Größe. Der Status Ihres Kunden ist nicht Teil des Tests. Sie müssen unter Umständen die vertraglichen Sicherheitsklauseln einhalten, die der Kunde Ihnen vorlegt. Das macht Sie nicht zur NIS-2-Einrichtung. Das macht Sie zum Vertragspartner.
NIS 2 reicht in die Lieferkette durch.
Nein. Verträge reichen durch. Die Richtlinie nicht. Art. 21 Abs. 2 Buchstabe d macht den Käufer für die Sicherheit seiner unmittelbaren Lieferanten verantwortlich. Der Käufer überträgt das in Beschaffungsverträge. Sie schulden dem Käufer (vertraglich), nicht der Behörde (nach NIS 2). Dasselbe gilt für Vorlieferanten: Nur die unmittelbare Beziehung liegt im Anwendungsbereich von Art. 21 Abs. 2 Buchstabe d, nicht der Lieferant des Lieferanten.
Unser Kunde sagt, wir müssen uns bei der nationalen Behörde registrieren.
Nein. Die Registrierung nach Art. 27 gilt nur für Einrichtungen, die selbst nach Art. 2 im Anwendungsbereich liegen (mit Sonderregeln für DNS-Anbieter, Cloud-Anbieter, MSP und einige weitere). Ein Kunde kann für Sie keine Registrierungspflicht erfinden. Fragen Sie den Käufer, welche Anhang-Position und welche Größenschwelle er für Sie heranzieht. Liegt die Antwort nicht in Art. 2, existiert die Pflicht nicht.
Als Käufer (NIS-2-Einrichtung) ist Ihre Aufgabe nach Art. 21 Abs. 2 Buchstabe d und CIR §5: eine Lieferantensicherheitsrichtlinie mit Auswahlkriterien aufzusetzen, ein Lieferantenrisikoregister zu führen und verhältnismäßige Sicherheitsklauseln in die Verträge mit Ihren unmittelbaren Lieferanten zu schreiben. Sie bewerten und steuern. Sie delegieren das nicht an die Behörde. CIR §5 sagt ausdrücklich, dass Sie risikoangemessene Nachweisformen wählen dürfen: ISO 27001, SOC 2, Pentest-Berichte, Secure-Development-Erklärungen. Art. 21 Abs. 1 erlaubt es, die Nachweistiefe an das tatsächliche Lieferantenrisiko anzupassen. Ein Hochrisiko-Softwareanbieter bekommt eine tiefere Anfrage als das Unternehmen, das Ihre Visitenkarten druckt.
Als Lieferant einer NIS-2-Einrichtung wenden Sie den Art.-2-Test zuerst auf sich selbst an. Bestehen Sie ihn nicht, sind Sie keine NIS-2-Einrichtung. Ihr Kunde wird Ihnen trotzdem vertragliche Sicherheitspflichten zusenden. Lesen Sie diese als kaufmännische Bedingungen: Verhandeln Sie Umfang, Nachweistiefe, Auditrechte und Meldefristen. Bestehen Sie Art. 2 aus eigener Kraft, registrieren Sie sich nach Art. 27 und erfüllen Art. 21 und Art. 23 aus eigenem Recht, unabhängig davon, was ein einzelner Kunde verlangt.
Für Käufer macht die Plattform aus der Pflicht nach Art. 21 Abs. 2 Buchstabe d und CIR §5 ein Werkzeug, das funktioniert: ein Lieferantenregister mit Risikostufen, eine Klauselbibliothek, einen Nachweis-Workflow und ein Lieferantenportal, in dem Ihre Lieferanten die Fragebögen beantworten. Sie führen das Register. Ihr Lieferant sieht nur die Fragen, die an ihn gehen.
Für Lieferanten erlaubt das Lieferantenportal, den Sicherheitsfragebogen einmal zu beantworten und die Antwort über mehrere Kunden hinweg wiederzuverwenden. Das Portal macht den kaufmännischen Charakter der Anfrage sichtbar: Sie antworten auf die Beschaffungsrichtlinie Ihres Kunden, nicht auf eine Behörde. Stellen Sie fest, dass Sie selbst nach Art. 2 im Anwendungsbereich liegen, deckt dieselbe Plattform Ihr eigenes NIS-2-Pflichtenregister von der Käuferseite ab.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 2 (Anwendungsbereich), Anhang I und Anhang II (Sektoren), Artikel 21 Absatz 2 Buchstabe d (Lieferkettensicherheit) und Artikel 21 Absatz 3.
- Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024, §5 (Lieferkettensicherheit).
- Empfehlung 2003/361/EG, Artikel 2 des Anhangs (Definition des mittleren Unternehmens: mindestens 50 Beschäftigte und mindestens 10 Mio. Euro Jahresumsatz oder Bilanzsumme).
- BSIG §28 (Einrichtungsarten und Größenkriterien) und §30 (Risikomanagementmaßnahmen einschließlich Lieferkettensicherheit), Umsetzung von Art. 2 und 21 NIS 2.
- ENISA-Implementierungshinweise zu NIS 2 und Spezifikation des Einrichtungsregisters nach Art. 27.