NIS-2 Lieferkette: Pflichten für Werkleiter 2025
NIS-2 Lieferkette nach Artikel 21: Was Werkleiter konkret tun müssen, welche Zulieferer erfasst sind und wie physische Schnittstellen abzusichern sind.
Die NIS-2-Richtlinie hat die Lieferkette zur Chefsache gemacht. Werkleiter, die bisher Zulieferer-Sicherheit dem Einkauf überlassen haben, tragen seit 2024 ein persönliches Haftungsrisiko. Die Pflicht ist nicht delegierbar. Wer einen Wartungsdienstleister auf das Gelände lässt, übernimmt dessen Sicherheitslücken in das eigene Compliance-Dossier.
Dieser Text richtet sich an Werkleiter wesentlicher und wichtiger Einrichtungen nach NIS-2. Er nennt Zahlen, Fristen und konkrete Schritte. Marketing-Versprechen finden Sie hier nicht.
NIS-2 Lieferkette: Was Artikel 21 konkret verlangt
Artikel 21 Absatz 2 Buchstabe d der NIS-2-Richtlinie nennt Lieferkettensicherheit als eigenständige Risikomanagementmaßnahme. Die Pflicht steht gleichrangig neben Patch-Management, Zugriffskontrolle und Vorfallsbehandlung.
Der Geltungsbereich ist weiter als oft angenommen. Erfasst sind direkte Zulieferer, Dienstleister mit physischem Zugang zum Werksgelände und Anbieter sicherheitsrelevanter Komponenten. Ein Reinigungsdienst mit Generalschlüssel fällt darunter. Eine Spedition mit täglicher Tor-Einfahrt fällt darunter. Ein IT-Wartungsunternehmen mit Fernzugang fällt darunter.
Die Pflicht ist nicht delegierbar. Der Betreiber haftet, auch wenn der Zulieferer ausfällt. Das BSI ist die zuständige Aufsichtsbehörde und prüft den Nachweis. Das Risikomanagement muss dokumentiert, jährlich überprüft und gegenüber dem BSI nachweisbar sein. Stichproben reichen nicht. Es braucht ein laufendes Register.
Physische Zutrittskontrolle am Werksperimeter ist Teil der Lieferkettenabsicherung. Wer NIS-2 rein als IT-Thema versteht, verfehlt den halben Pflichtenkreis. Tore, Laderampen und Wartungsschleusen sind die unterschätzten Vektoren.
Nächster Schritt: NIS-2 Compliance Überblick lesen, bevor Sie das Lieferantenregister anlegen.
Welche Zulieferer fallen unter die NIS-2-Pflicht
Die Frage ist nicht, wer Vertragspartner ist. Die Frage ist, wer physischen oder digitalen Zugang hat.
Wartungsfirmen mit Schlüssel- oder Badge-Zugang zum Werksgelände sind erfasst. Das gilt für Aufzugstechniker ebenso wie für Klimaanlagen-Service. Speditionen mit regelmäßigen Tor-Einfahrten zählen als Risikoschnittstelle, besonders bei Nachtanlieferungen ohne Werkschutz-Begleitung.
Reinigungsdienste in Nachtschichten ohne Begleitung sind dokumentationspflichtige Kontaktpunkte. Sie haben Zugang zu Büros, Servern und Produktionshallen, oft zwischen 22 und 6 Uhr. IT-Dienstleister mit Fernzugang oder Vor-Ort-Wartung gehören in das Lieferkettenregister, auch wenn der Vertrag über die Konzern-IT läuft.
Subunternehmer von Zulieferern müssen vertraglich gleichgestellt sein. Sonst entsteht eine Kontrolllücke. Wenn die Reinigungsfirma kurzfristig Personal von einem Subunternehmer einsetzt, bleibt die Pflicht beim Werkleiter. Vertragsklauseln zur Weitergabe der Sicherheitsanforderungen sind hier nicht optional.
Nächster Schritt: Lieferantenliste aus dem Einkauf anfordern und nach Zugangsart filtern.
Lieferketten-Risikobewertung: Sieben operative Schritte
Schritt 1: Vollständige Liste aller Zulieferer mit physischem oder digitalem Zugang erstellen. Die Liste umfasst typisch 80 bis 200 Einträge pro Werk. [Quelle einfügen]
Schritt 2: Klassifikation nach Kritikalität. Drei Dimensionen: Produktionsstopp-Relevanz, Datenzugriff, Zutrittsumfang. Eine 3x3-Matrix reicht.
Schritt 3: Vertragsklauseln zu Sicherheitsstandards, Audit-Recht und Meldepflichten einfügen. Bei Bestandsverträgen über Nachtragsvereinbarung, bei Neuverträgen direkt im Anhang.
Schritt 4: Physische Übergabepunkte (Tore, Laderampen, Wartungsschleusen) technisch absichern. Hier laufen Vertrag und Realität zusammen. Ohne lückenlose Dokumentation an der Übergabe ist die Vertragsklausel wertlos.
Schritt 5: Vorfallmeldungen aus der Lieferkette in das eigene Reporting an das BSI integrieren. Die 24-Stunden-Frist nach NIS-2 beginnt mit Kenntnis des Betreibers, nicht des Zulieferers (NIS-2-Richtlinie Art. 23).
Schritt 6: Jährliches Audit mindestens der kritischsten 20 Prozent der Zulieferer. Vor-Ort-Termin, nicht Fragebogen.
Schritt 7: Ergebnisse in das Risikoregister überführen und der Geschäftsleitung schriftlich vorlegen. Die Vorlage ist Teil der Entlastung.
Nächster Schritt: KRITIS-Dachgesetz Checkliste 2026 für die Verschneidung mit der physischen Resilienzpflicht.
Physische Kontrolle: Wo Lieferkette und Perimeterschutz zusammenlaufen
Über 60 Prozent aller Zulieferer-bedingten Sicherheitsvorfälle entstehen an Toren, Rampen und Wartungszugängen. [Quelle einfügen] Die IT-Lieferkette ist gut dokumentiert, die physische Lieferkette läuft oft ungesichert. Das ist die Lücke, die NIS-2-Prüfer zuerst öffnen.
Klassischer Wachschutz für einen 24/7-Posten kostet 15.000 bis 25.000 Euro pro Monat. [Quelle einfügen] Branchenkennzahlen des BDSW bestätigen hohe Personalfluktuation und Lohndruck nach dem Manteltarifvertrag. Die Rundengänge zwischen 22 und 6 Uhr sind die teuerste Schicht und die schwächste Dokumentationslage.
Autonome Patrouille mit QR-2 dokumentiert jede Zulieferer-Bewegung mit Zeitstempel und Wärmebild. Die Monatsmiete liegt bei 3.500 Euro im Robotics-as-a-Service Modell. [Quelle einfügen] QR-2 liefert lückenlose Audit-Trails, reproduzierbare Routen und sofortige Eskalation bei Anomalien. Empfang, Konflikteskalation mit Personen und Schließdienst bleiben beim Menschen.
Lückenlose Audit-Trails sind bei NIS-2-Prüfungen entscheidend, nicht punktuelle Stichproben. Ein BSI-Prüfer fragt nach der Dokumentation der letzten zwölf Monate. Wenn der manuelle Wachschutz zwei von zehn Runden vergessen hat, fehlen 20 Prozent der Belege. [Quelle einfügen]
Nächster Schritt: TCO-Vergleich Wachschutz mit der eigenen Kostenrechnung abgleichen.
Vertragsklauseln, die in jeden Zuliefervertrag gehören
Sechs Klauseln sind nicht verhandelbar. Ohne sie ist der Vertrag nicht NIS-2-konform.
Erstens: Meldepflicht für Sicherheitsvorfälle innerhalb von 24 Stunden an den Betreiber. Die Frist ist eng, weil der Betreiber selbst 24 Stunden Frist zum BSI hat.
Zweitens: Audit-Recht ohne Vorankündigung bei begründetem Verdacht. Vorangekündigte Audits sind politisch einfacher, decken aber selten reale Lücken auf.
Drittens: Pflicht zur Weitergabe der Sicherheitsanforderungen an Subunternehmer. Schriftlich, mit Nachweis. Ohne diese Klausel haftet der Betreiber für jeden Subunternehmer, den er nicht kennt.
Viertens: Nachweis eines eigenen Informationssicherheits-Managements. ISO 27001 oder gleichwertig. Für kleine Zulieferer ist eine Selbstauskunft mit Checkliste akzeptabel, sofern jährlich aktualisiert.
Fünftens: Rückgabepflicht aller Zugangsmittel binnen 48 Stunden nach Vertragsende. Schlüssel, Badges, VPN-Zugänge, Werkzeuge. Die meisten Sicherheitslücken entstehen durch nicht zurückgegebene Zugangsmittel ehemaliger Dienstleister.
Sechstens: Haftungsklausel für Schäden aus Sicherheitsverstößen, unabhängig vom Verschuldensgrad. Standardhaftung nach BGB reicht nicht, weil sie Verschulden voraussetzt.
Nächster Schritt: Bestandsverträge der fünf kritischsten Zulieferer gegen diese Liste prüfen.
Bußgelder, Vorstandshaftung und persönliche Verantwortung
Die Bußgeldrahmen sind erheblich. Wesentliche Einrichtungen riskieren bis zu 10 Millionen Euro oder 2 Prozent des Konzernumsatzes, je nachdem, welcher Betrag höher ist (NIS-2-Richtlinie Art. 34). Wichtige Einrichtungen riskieren bis zu 7 Millionen Euro oder 1,4 Prozent. Die Schwellenwerte und Sektorzuordnung ergeben sich aus der KritisV.
Die Geschäftsleitung haftet persönlich für die Umsetzung des Risikomanagements (NIS-2-Richtlinie Art. 20). Das ist neu gegenüber dem ITSiG. Der Vorstand kann sich nicht hinter dem CISO oder Werkleiter verstecken.
Eine D&O-Versicherung deckt grobe Fahrlässigkeit bei dokumentierten Versäumnissen oft nicht. Fehlt das Lieferantenregister und ein Vorfall resultiert daraus, lehnt der Versicherer regelmäßig ab. Die Police schützt vor Fehlern, nicht vor Unterlassung.
Der Nachweis funktionierender Lieferkettenkontrolle entlastet die Geschäftsleitung im Prüfungsfall. Wer das Register führt, jährlich auditiert und Vorfälle dokumentiert, hat ein belastbares Dossier. Wer es nicht hat, hat im Zweifel kein Argument.
Der KRITIS-Dachgesetz-Entwurf verschärft die physische Resilienzpflicht in Ergänzung zur NIS-2. Beide Regelwerke wirken kumulativ.
Nächster Schritt: Vorstandshaftung unter NIS-2 für die Geschäftsleitungsvorlage.
NIS-2-Lieferkettenabsicherung: Der 14-Wochen-Umsetzungsplan
Woche 1 bis 3: Inventarisierung aller Zulieferer mit Risikoeinstufung. Datenquelle: Kreditorenliste des Einkaufs, IT-Vertragspartner und Wachschutz-Subunternehmer.
Woche 4 bis 6: Vertragsanpassungen mit den 20 Prozent kritischsten Partnern. Sechs Klauseln, ein Nachtrag pro Vertrag. Realistisch sind zehn bis fünfzehn Verträge pro Werk in dieser Phase.
Woche 7 bis 9: Technische Aufrüstung der physischen Schnittstellen. Tore mit Kamera und Zeitstempel, Rampen mit Beleuchtung und Patrouille, Wartungsschleusen mit Vier-Augen-Prinzip nach 22 Uhr.
Woche 10 bis 11: Integration in das interne Vorfallmeldesystem. Die Pforte muss wissen, welche Vorfälle innerhalb welcher Frist an wen gehen.
Woche 12 bis 14: Erste interne Auditrunde und Dokumentation für das BSI. Zwei Audits pro Woche sind machbar. Die Dokumentation läuft parallel.
Parallel: Schulung der Pforte und Werkschutzleitung zur neuen Dokumentationspflicht. Zwei Stunden pro Schicht reichen, sofern eine Checkliste vorliegt.
Nächster Schritt: QR-2 für 24/7 Außenperimeter als Baustein für Woche 7 bis 9 evaluieren.
Sofortmaßnahmen für Werkleiter: Die nächsten 30 Tage
Fünf Aufgaben. Kein davon braucht mehr als einen halben Arbeitstag.
Erstens: Lieferantenliste aus dem Einkauf anfordern und nach physischem Zugang filtern. Excel-Export reicht. Die Liste ist die Grundlage für alles Weitere.
Zweitens: Die fünf kritischsten Zulieferer mit dem aktuellen Vertragsstand abgleichen. Welche Klauseln fehlen? Welche Verträge laufen aus und können bei Verlängerung angepasst werden?
Drittens: Perimeterschutz-Konzept gegen das Lieferantenrisiko spiegeln. Wo entstehen Lücken nach 22 Uhr? Wo geht ein Zulieferer ohne Begleitung in einen kritischen Bereich? Eine Begehung mit dem Werkschutzleiter zeigt das in zwei Stunden.
Viertens: Pilotgespräch zur autonomen Patrouille für die Übergabezonen vereinbaren. Ein Pilot über drei Monate kostet weniger als ein zusätzlicher Wachposten und liefert die Dokumentation, die NIS-2 verlangt.
Fünftens: Geschäftsleitung über den Stand der NIS-2-Lieferkettenpflicht schriftlich informieren. Eine Seite reicht. Die schriftliche Information ist Teil der Entlastung im Haftungsfall.
Wer diese fünf Schritte in 30 Tagen erledigt, hat den Pflichtenkreis verstanden und den Nachweis begonnen. Wer wartet, riskiert eine Lücke, die kein BSI-Audit rückwirkend schließt.
Für die konkrete Umsetzung an den physischen Schnittstellen: QR-2 Pilot für NIS-2-Schnittstellen anfragen. Wir liefern den Audit-Trail, den Sie dem BSI vorlegen können.