NIS2 und Lieferkette — Warum Ihre Zulieferer jetzt Security Awareness brauchen

April 2026

NIS2 endet nicht an den Grenzen Ihres Unternehmens. Die Richtlinie verpflichtet betroffene Unternehmen, Cybersicherheitsrisiken in ihrer gesamten Lieferkette zu berücksichtigen. In der Praxis bedeutet das: Ihre Zulieferer, Dienstleister und Partner werden Teil Ihres Risikomanagements — ob sie wollen oder nicht.

Was NIS2 zur Lieferkettensicherheit sagt

Artikel 21 der NIS2-Richtlinie listet die Sicherheit der Lieferkette explizit als Pflichtmaßnahme auf. Betroffene Unternehmen müssen sicherstellen, dass auch ihre direkten Dienstleister und Zulieferer ein angemessenes Sicherheitsniveau einhalten.

Das NISG 2026 in Österreich setzt dies mit der Anforderung um, dass Risikomanagementmaßnahmen die „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern" berücksichtigen müssen.

Für die Praxis heißt das: Wenn ein Auftraggeber unter NIS2 fällt, wird er von seinen Zulieferern zunehmend Nachweise über Sicherheitsmaßnahmen verlangen — einschließlich Mitarbeiterschulungen.

Das Problem: KMU-Zulieferer ohne Security-Budget

Das typische Szenario sieht so aus: Ein Produktionsbetrieb mit 30 Mitarbeitenden liefert Komponenten an ein größeres Unternehmen, das unter NIS2 fällt. Der Zulieferer hat keine eigene IT-Abteilung, kein LMS, kein Security-Budget. Die Mitarbeitenden arbeiten in der Fertigung, nicht am Schreibtisch. Ein klassisches Enterprise-Security-Training — 60 Minuten am Desktop, auf Englisch, mit Fachjargon — geht an der Realität komplett vorbei.

Trotzdem wird der Auftraggeber fragen: „Wie stellen Sie sicher, dass Ihre Mitarbeitenden grundlegende Cybersicherheitsrisiken kennen?" Und „Wir haben kein Budget dafür" ist keine Antwort, die eine Lieferantenbeziehung stärkt.

Drei Lösungsansätze für die Lieferkette

Der erste Ansatz ist ein kostenloses Basistraining. Zulieferer können ihre Mitarbeitenden auf ein frei zugängliches Training verweisen, das die ENISA-empfohlenen Kernthemen abdeckt. Ohne Registrierung als Unternehmen, ohne Kosten, ohne IT-Aufwand. Das Training funktioniert am Smartphone — wichtig für Mitarbeitende ohne Firmen-Laptop.

Der zweite Ansatz sind gesponserte Zugänge. Größere Unternehmen können ihren Zulieferern Zugang zu einem strukturierten Trainingsprogramm verschaffen — als Teil der Lieferantenbeziehung. Das ist keine Großzügigkeit, sondern Risikomanagement: Ein geschulter Zulieferer ist ein sichererer Zulieferer.

Der dritte Ansatz kombiniert Training mit Phishing-Simulationen. Eine realistische Phishing-Kampagne zeigt, wie gut Mitarbeitende des Zulieferers tatsächlich auf Angriffe reagieren. Der Benchmark-Report dient beiden Seiten als Nachweis — dem Zulieferer für seine eigene Dokumentation, dem Auftraggeber für sein Lieferketten-Risikomanagement.

Dokumentation gegenüber dem Auftraggeber

Wenn ein Auftraggeber fragt „Wie schulen Sie Ihre Mitarbeitenden in Cybersicherheit?", braucht der Zulieferer eine konkrete Antwort. Idealerweise besteht diese aus einem Schulungsnachweis, der die Teilnahme dokumentiert, einem Zertifikat pro Mitarbeiter und einem Überblick über die behandelten Themen.

Diese Dokumente werden zunehmend Teil der Lieferantenqualifizierung — ähnlich wie Nachweise über Qualitätsmanagement oder Arbeitssicherheit. Wer sie proaktiv vorlegen kann, hat einen Vorteil gegenüber Wettbewerbern, die erst auf Nachfrage reagieren.

Ein Wettbewerbsvorteil für Zulieferer

Für KMU, die als Zulieferer arbeiten, ist Security Awareness nicht nur eine Pflicht — es ist eine Chance zur Differenzierung. Ein Zulieferer, der proaktiv Schulungsnachweise vorlegt und zeigen kann, dass seine Belegschaft auf Phishing-Angriffe vorbereitet ist, positioniert sich als verlässlicher Partner.

In einer Welt, in der Cyberangriffe über die Lieferkette zunehmen und NIS2 die Verantwortung auf Auftraggeber ausdehnt, wird Cybersicherheit zum Auswahlkriterium bei der Lieferantenbewertung.