Pflichten-Paket · Cyber-Grundschutz · NIS2 / NISG 2026

NIS2 Lieferkette: Warum österreichische KMU jetzt Nachweise brauchen

Viele österreichische KMU sind durch NIS2 nicht direkt gesetzlich verpflichtet, können aber mittelbar betroffen sein. Direkt betroffene Unternehmen müssen ab 1. Oktober 2026 ihre Cybersicherheit und die Sicherheit ihrer Lieferkette nachweisen. Dadurch werden Anforderungen an Lieferanten, Dienstleister und externe Partner weitergegeben. Besonders betroffen sind Lieferanten mit IT-Zugriff, Cloud- oder Softwareleistungen, Wartungsaufgaben, Datenverarbeitung oder kritischer operativer Bedeutung.

Was ist NIS2?

NIS2 ist die EU-Richtlinie zur Cybersicherheit für wichtige und wesentliche Einrichtungen. In Österreich wird sie durch das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) umgesetzt. Ziel ist ein höheres Sicherheitsniveau für Netz- und Informationssysteme in kritischen und gesellschaftlich relevanten Bereichen.

Direkt betroffen sind vor allem mittlere und große Unternehmen in bestimmten Sektoren: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, IKT-Dienste, digitale Infrastruktur, Post und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion, verarbeitendes Gewerbe, digitale Dienste und Forschungseinrichtungen.

Für direkt betroffene Unternehmen gelten Risikomanagementmaßnahmen, Meldepflichten bei erheblichen Sicherheitsvorfällen, Registrierungspflichten und Governance-Anforderungen.

Warum betrifft NIS2 auch Lieferanten?

NIS2 verlangt nicht nur interne IT-Sicherheit. Direkt betroffene Unternehmen müssen auch Risiken aus ihrer Lieferkette berücksichtigen. Für KMU heißt das: Wenn ein Kunde selbst NIS2-pflichtig ist, wird er prüfen müssen, ob Lieferanten ein Sicherheitsrisiko darstellen. Je kritischer die Leistung, desto wahrscheinlicher werden Anforderungen vertraglich weitergegeben.

Besonders relevant sind Lieferanten, wenn sie:

  • ·Zugriff auf Systeme, Daten oder Netzwerke des Kunden haben
  • ·Software, Cloud-Dienste, Hosting oder Managed Services bereitstellen
  • ·Fernwartung oder Maschinenservice leisten
  • ·Für Produktion, Logistik oder Betrieb kritische Komponenten liefern
  • ·Personenbezogene oder vertrauliche Daten verarbeiten
  • ·Schnittstellen zu ERP, CRM, Ticketsystemen oder Produktionssystemen betreiben
  • ·Subdienstleister einsetzen, die wiederum Zugriff auf Systeme oder Daten haben
  • ·Bei einem Ausfall den Betrieb des Kunden spürbar beeinträchtigen würden

Was werden Kunden künftig verlangen?

KMU sollten sich auf konkrete Nachweise einstellen. Typische Anforderungen aus der Lieferkette:

  • ·Beschreibung der eigenen IT-Sicherheitsmaßnahmen
  • ·Nachweis von Backup- und Wiederherstellungsprozessen
  • ·Multi-Faktor-Authentifizierung für kritische Zugänge
  • ·Patch- und Schwachstellenmanagement
  • ·Regeln für Fernzugriff und Administratorrechte
  • ·Incident-Response-Prozess und Meldewege
  • ·Verpflichtung zur schnellen Meldung von Sicherheitsvorfällen
  • ·Schulung von Mitarbeitenden zu Cyberrisiken
  • ·Regelungen für Subdienstleister
  • ·Vertraulichkeits- und Löschkonzepte
  • ·Auditrechte oder Bereitstellung von Prüfberichten

Was sollten KMU jetzt tun?

Der pragmatische Einstieg besteht aus vier Schritten:

  1. 1Kundenportfolio prüfen: Welche Kunden sind wahrscheinlich direkt NIS2-betroffen? Besonders wichtig sind größere Kunden in kritischen Sektoren.
  2. 2Leistungen nach Risiko klassifizieren: Haben Sie Zugriff auf Systeme? Verarbeiten Sie Daten? Sind Sie betriebskritisch? Je höher das Risiko, desto höher die Nachweisanforderungen.
  3. 3Basismaßnahmen dokumentieren: Zugriffsschutz, MFA, Backup, Patchmanagement, Schulungen, Incident-Prozess, Verantwortlichkeiten und Subdienstleister-Übersicht.
  4. 4Lieferanten-Nachweispaket erstellen: Kurz, verständlich und wiederverwendbar. Ziel ist nicht ein 80-seitiges Sicherheitsmanifest, sondern ein belastbares Dokument, das Einkauf, IT und Compliance beim Kunden akzeptieren können.
Checkliste: Bin ich als KMU mittelbar betroffen?

Prüfen Sie diese Fragen:

  1. 1Haben Sie Kunden in kritischen oder NIS2-nahen Sektoren wie Energie, Gesundheit, Verkehr, Industrie, Lebensmittel, Chemie, Abfall, Finanz, IT oder öffentlichem Umfeld?
  2. 2Haben Sie Zugriff auf IT-Systeme, Daten, Maschinen, Netzwerke oder Plattformen Ihrer Kunden?
  3. 3Erbringen Sie Software-, Cloud-, Hosting-, Wartungs-, Fernzugriffs- oder Managed-Service-Leistungen?
  4. 4Sind Ihre Leistungen für den laufenden Betrieb Ihrer Kunden kritisch?
  5. 5Verarbeiten Sie Kundendaten, personenbezogene Daten oder vertrauliche Geschäftsinformationen?
  6. 6Setzen Sie Subdienstleister ein, die für Ihre Leistung relevant sind?
  7. 7Haben Kunden bereits Cybersecurity-Fragebögen oder Vertragszusätze geschickt?
  8. 8Gibt es dokumentierte Sicherheitsmaßnahmen, oder lebt das Wissen nur im Kopf des IT-Menschen?
  9. 9Können Sie innerhalb weniger Tage erklären, wie Sie Sicherheitsvorfälle erkennen, melden und behandeln?
  10. 10Können Sie Backups, Zugriffskontrollen, Rollenrechte und Notfallprozesse nachweisen?

Häufige Fragen

Bin ich als kleines KMU direkt NIS2-pflichtig?
In der Regel nicht, solange Sie weniger als 50 Mitarbeitende haben und unter den relevanten Umsatz- oder Bilanzschwellen bleiben. Es gibt aber Ausnahmen, etwa bei bestimmten digitalen Infrastrukturdiensten. Mittelbar können Sie trotzdem betroffen sein, wenn Ihre Kunden NIS2-pflichtig sind.
Betrifft NIS2 nur IT-Dienstleister?
Nein. IT-Dienstleister sind besonders häufig betroffen, aber nicht allein. Relevant sind alle Lieferanten, die Netz- und Informationssysteme oder kritische Prozesse des Kunden unterstützen. Das kann auch Wartung, Gebäudetechnik, Maschinenservice, Logistik oder externe Administration betreffen.
Reicht eine ISO-27001-Zertifizierung?
Sie kann helfen, ersetzt aber keine Einzelfallprüfung. Entscheidend ist, ob der zertifizierte Bereich zur konkreten Leistung passt. Kunden können zusätzlich spezifische Nachweise, Vertragsklauseln oder technische Maßnahmen verlangen.
Was passiert, wenn ich keine Nachweise liefern kann?
Dann droht meist nicht sofort eine Behörde, sondern ein kommerzielles Problem: längere Freigabeprozesse, schlechteres Lieferantenrating, Vertragszusätze, Ausschluss aus Ausschreibungen oder Druck durch den Einkauf. Für KMU ist NIS2 daher auch ein Vertriebs- und Bestandskundenrisiko.
Was ist der sinnvollste erste Schritt?
Erstellen Sie ein kompaktes Cybersecurity- und Lieferkettenprofil: Welche Systeme nutzen Sie, welche Daten verarbeiten Sie, welche Sicherheitsmaßnahmen bestehen, wer ist verantwortlich, wie melden Sie Vorfälle, welche Subdienstleister sind beteiligt? Damit sind Sie deutlich besser vorbereitet als viele Wettbewerber.

Lieferkettenfähigkeit prüfen. Festpreis, 3 Wochen.

GreenOnion unterstützt österreichische KMU dabei, ihre mittelbare NIS2-Betroffenheit zu prüfen und ein schlankes Lieferanten-Nachweispaket aufzubauen. Sie erhalten eine klare Einschätzung, welche Kundenanforderungen wahrscheinlich werden, welche Sicherheitsmaßnahmen fehlen und welche Dokumente Sie für Einkauf, IT und Compliance bereithalten sollten.

Erstgespräch vereinbaren · 20 Min

Diese Seite dient der ersten operativen Orientierung und ersetzt keine Rechtsberatung.