nisg26.at

NIS2 Lieferkette: Sind Sie als Zulieferer betroffen?

In Kürze: Das NISG 2026 verpflichtet betroffene Unternehmen, die Sicherheit ihrer Lieferkette zu steuern — als eine von mindestens zehn Risikomanagementmaßnahmen (Maßnahme d, § 32 Abs. 4 lit d). In der Praxis reichen betroffene Kunden ihre Anforderungen an Zulieferer weiter — per Vertrag, Fragebogen und Nachweis. Das macht Sie als Zulieferer nicht automatisch selbst registrierungspflichtig, erzeugt aber faktischen Handlungsdruck. Erstregistrierung betroffener Einrichtungen: bis 31.12.2026.

Die Lieferkette ist einer der wirkungsvollsten Hebel von NIS2: Auch wer nicht direkt erfasst ist, spürt die Anforderungen über seine Kundenbeziehungen.

Was „Lieferkettensicherheit" im NISG bedeutet

Das österreichische NISG 2026 (Umsetzung der NIS2-Richtlinie) listet in § 32 Abs. 4 die Mindestinhalte des Risikomanagements auf — zehn Maßnahmen (a bis j). Maßnahme d ist die „Sicherheit der Lieferkette einschließlich der Beziehungen zu unmittelbaren Anbietern und Diensteanbietern".

Zwei Punkte sind dabei wichtig:

  • Die Pflicht trifft das betroffene Unternehmen selbst — es muss das Sicherheitsrisiko seiner Lieferanten bewerten und steuern.
  • Der Gesetzeswortlaut stellt auf die unmittelbaren (direkten) Anbieter und Diensteanbieter ab — nach unserer Lesart steht also die direkte Lieferantenbeziehung im Vordergrund, nicht zwingend jede Stufe einer mehrgliedrigen Kette.

Die a–j sind Mindestinhalte, keine abschließende Konformitäts-Checkliste; die Cybersicherheitsbehörde kann per Verordnung nähere Anforderungen festlegen (§ 32 Abs. 5). Details zu allen zehn Maßnahmen finden Sie in der Übersicht der Risikomanagementmaßnahmen und den NIS2-Pflichten.

Zwei Perspektiven

Perspektive Ihre Rolle Was zu tun ist
Betroffenes Unternehmen selbst NIS2-pflichtig (Sektor + Größenschwelle) Lieferantenrisiko nach § 32 Abs. 4 lit d einbinden: Inventar, Verträge, Risikobewertung
Zulieferer in der Regel nicht direkt registrierungspflichtig Kundenanforderungen vertraglich erfüllen, eigenes Sicherheitsniveau nachweisen

1. Sie sind betroffenes Unternehmen. Dann beziehen Sie das Risiko Ihrer Lieferanten und Dienstleister in Ihr Risikomanagement ein:

  • Inventar kritischer Lieferanten (IT, Cloud, OT, Dienstleister)
  • vertragliche Sicherheitsanforderungen
  • Risikobewertung je Lieferant, Schwerpunkt auf kritischen Abhängigkeiten
  • Einbindung in Maßnahme d der Checkliste

2. Sie sind Zulieferer. Dann werden betroffene Kunden Ihnen Anforderungen stellen — selbst wenn Sie die Größenschwelle nicht erreichen: Sicherheitsfragebögen, Vertragsklauseln, Nachweise, ggf. Audits.

Macht mich das selbst registrierungspflichtig?

Nein — nicht automatisch. Direkt unter das NISG fallen Sie nur, wenn Sie selbst einen NIS2-Sektor und die Größenschwelle erfüllen (→ Betroffenheit prüfen und Schwellenwerte im Detail). Die Kundenanforderungen sind vertraglicher Natur — keine gesetzliche Registrierungspflicht, die aus der Lieferbeziehung selbst entsteht.

Faktisch entsteht jedoch Marktdruck, der wie eine indirekte Betroffenheit wirkt: Wer die Anforderungen erfüllt und nachweisen kann, hält und gewinnt Aufträge — wer das nicht kann, hat in Ausschreibungen das Nachsehen.

Welche Nachweise Kunden typischerweise verlangen

  • ausgefüllte Sicherheitsfragebögen (oft an § 32 angelehnt)
  • Vertragsklauseln zu Informationssicherheit und Meldepflichten
  • Zertifikate wie ISO 27001 oder gleichwertige Nachweise
  • Auditberichte oder Belege zu Schwachstellen- und Patch-Management

Was Sie als Zulieferer jetzt tun sollten

  1. Eigene Betroffenheit prüfen (vielleicht sind Sie doch direkt erfasst) → kostenloser Check
  2. Sicherheitsniveau dokumentieren (idealerweise an § 32 orientiert)
  3. Nachweise vorbereiten für Kundenanfragen (Fragebögen, Zertifikate, Audit-Belege)
  4. Wettbewerbsvorteil nutzen — die Vorbereitung als Verkaufsargument einsetzen

Die NISG-Plattform unterstützt Ihre Compliance-Vorbereitung: Sie sammeln Lieferanten- und Vertragsnachweise als prüffeste Belege, frieren den Stand in unveränderlichen Snapshots ein und dokumentieren jede Änderung in einem manipulationssicheren Audit-Ledger — so haben Sie auf Kundenanfragen belastbare Unterlagen zur Hand.

Direkt betroffen — oder „nur" über die Lieferkette?

Klären Sie in zwei Minuten, ob Sie selbst registrierungspflichtig sind. Jetzt kostenlos prüfen

Häufige Fragen (FAQ)

Bin ich als Zulieferer von NIS2 betroffen? Direkt nur, wenn Sie selbst einen NIS2-Sektor und die Größenschwelle erfüllen. Indirekt — über vertragliche Anforderungen Ihrer betroffenen Kunden — sehr wahrscheinlich.

Was bedeutet Lieferkettensicherheit nach NIS2? Betroffene Unternehmen müssen das Sicherheitsrisiko ihrer Lieferanten bewerten und steuern. Im NISG ist das die Maßnahme d in § 32 Abs. 4: „Sicherheit der Lieferkette einschließlich der Beziehungen zu unmittelbaren Anbietern und Diensteanbietern".

Wie tief in die Lieferkette muss ich gehen? Der Gesetzeswortlaut stellt auf die unmittelbaren (direkten) Anbieter und Diensteanbieter ab. Nach unserer Lesart steht damit die direkte Lieferantenbeziehung im Vordergrund; die konkrete Tiefe hängt von Ihrer Risikobewertung ab.

Muss ich mich registrieren, wenn mein Kunde es verlangt? Eine Registrierungspflicht entsteht nur aus dem Gesetz (eigener Sektor + Größe), nicht aus Kundenanforderungen. Diese sind vertraglich zu erfüllen. Betroffene Einrichtungen registrieren sich bis 31.12.2026.

Welche Nachweise verlangen betroffene Kunden typischerweise? Üblich sind Sicherheitsfragebögen, Vertragsklauseln zur Informationssicherheit, Zertifikate (etwa ISO 27001) sowie Audit- oder Schwachstellenmanagement-Belege.

Stand: Juni 2026. Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS – BGBl. I Nr. 94/2025, nis.gv.at, WKO.