Gilt NIS-2 für Unternehmen unter 50 Mitarbeitern?

In der Regel nicht direkt. Das NIS-2-Umsetzungsgesetz betrifft Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in einem der 18 definierten Sektoren. Kleinere Betriebe fallen nur dann direkt darunter, wenn sie als Sonderfall eingestuft werden, etwa als Anbieter von DNS-Diensten oder Vertrauensdiensten. Indirekt können aber auch kleinere Zulieferer betroffen sein, wenn NIS-2-pflichtige Auftraggeber Sicherheitsanforderungen vertraglich weitergeben.

Was verlangt ein NIS-2-pflichtiger Auftraggeber von seinen Zulieferern?

NIS-2 verpflichtet betroffene Unternehmen, die Sicherheit ihrer gesamten Lieferkette zu gewährleisten. In der Praxis bedeutet das: Ihr Auftraggeber wird Sie fragen, wie Sie Ihre IT-Systeme absichern, wie Sie mit vertraulichen Daten umgehen und ob Ihr Betrieb bei einem Ausfall weiter lieferfähig ist. Da es noch keinen einheitlichen Standard gibt, erstellen die meisten Unternehmen eigene Fragebögen oder Checklisten für ihre Zulieferer.

Warum interessiert sich mein Auftraggeber plötzlich für meine IT-Sicherheit?

Drei Gründe: Erstens muss er sicherstellen, dass Sie als Zulieferer lieferfähig bleiben — ein IT-Ausfall bei Ihnen kann seine Produktion unterbrechen. Zweitens teilt er möglicherweise vertrauliche Unterlagen mit Ihnen — Konstruktionszeichnungen, Preislisten, Kundendaten — und will sichergehen, dass diese bei Ihnen geschützt sind. Drittens sind Zulieferer ein bekanntes Einfallstor für Cyberangriffe: Angreifer attackieren den kleineren Partner, um über dessen Systeme an den größeren Auftraggeber zu gelangen.

Zurück zu Wissen

Bin ich von NIS-2 betroffen, wenn ich weniger als 50 Mitarbeiter habe?

Claudia Raspl · cyrinox IT GmbH
·
Mai 2026
·
7 Min. Lesezeit

Kurz beantwortet

Direkt betroffen: wahrscheinlich nicht. NIS-2 gilt für Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in bestimmten Sektoren. Aber: Wenn Sie Zulieferer oder Dienstleister eines NIS-2-pflichtigen Unternehmens sind, können dessen Anforderungen bei Ihnen ankommen — über Verträge, Fragebögen oder neue Lieferbedingungen. Das passiert gerade bei vielen kleinen Betrieben. Und es hat einen nachvollziehbaren Grund.

NIS-2 ist seit Dezember 2025 geltendes Recht in Deutschland. Seitdem erreichen auch kleine Betriebe Anfragen von Auftraggebern, die vorher nie nach IT-Sicherheit gefragt haben. Ein Fragebogen hier, eine neue Vertragsklausel da. Das verunsichert — weil unklar ist, was dahintersteckt und ob man selbst überhaupt betroffen ist.

Dieser Artikel klärt das. Sachlich, Schritt für Schritt.

Wer direkt unter NIS-2 fällt — und wer eben gerade noch nicht

Das NIS-2-Umsetzungsgesetz verwendet zwei Kriterien: Branche und Größe.

Die Branche: 18 Sektoren sind definiert — darunter Energie, Gesundheit, Transport, Trinkwasser, Lebensmittel, Maschinenbau, Chemie, Logistik, digitale Infrastruktur und einige mehr. Wenn Ihr Betrieb keinem dieser Sektoren zuzuordnen ist, sind Sie formal nicht betroffen.

Die Größe: Innerhalb dieser Sektoren gilt: Ab 50 Mitarbeitern oder ab 10 Millionen Euro Jahresumsatz fallen Sie als „wichtige Einrichtung“ unter das Gesetz. Ab 250 Mitarbeitern oder 50 Millionen Euro als „besonders wichtige Einrichtung“ mit noch strengeren Auflagen.

Wenn Ihr Betrieb unter 50 Mitarbeiter hat und weniger als 10 Millionen Euro Umsatz macht, fallen Sie in der Regel weder in die eine noch in die andere Kategorie. Sie müssen sich weder beim BSI registrieren noch Sicherheitsvorfälle binnen 24 Stunden melden.

Das BSI bietet eine interaktive Betroffenheitsprüfung auf seiner Website an. Das Ergebnis ist rechtlich unverbindlich, gibt aber eine gute erste Orientierung.

Achtung bei Konzernzugehörigkeit: Wenn Ihr Betrieb formal klein ist, aber zu einem größeren Verbund gehört, werden die Mitarbeiterzahlen und Umsätze des gesamten Verbunds herangezogen. Ein Unternehmen mit 30 Mitarbeitern, das Teil eines Konzerns mit 800 Beschäftigten ist, kann direkt betroffen sein.

Warum NIS-2 trotzdem bei Ihnen anklopfen kann

Hier kommt der Teil, der viele kleine Betriebe überrascht. Das NIS-2-Umsetzungsgesetz verpflichtet betroffene Unternehmen in §30 Abs. 2 Nr. 4 BSIG ausdrücklich dazu, die Sicherheit ihrer gesamten Lieferkette zu gewährleisten. Das heißt: Ihr Auftraggeber muss sicherstellen, dass auch Sie als Zulieferer bestimmte Sicherheitsstandards einhalten.

In der Praxis sieht das so aus: Sie bekommen einen Fragebogen zugeschickt. Oder eine neue Anlage zum bestehenden Vertrag. Oder eine Mail mit der Bitte, bestimmte Sicherheitsmaßnahmen nachzuweisen. Das kann von einem großen Industriekunden kommen, von einem Krankenhaus, einem Energieversorger oder einem Logistikunternehmen — von jedem Auftraggeber, der selbst unter NIS-2 fällt.

Da es bislang keinen einheitlichen Standard für diese Zulieferer-Prüfungen gibt, erstellt jedes Unternehmen seine eigenen Fragebögen und Checklisten. Das kann frustrierend sein, wenn Sie von drei verschiedenen Auftraggebern drei verschiedene Listen bekommen. Aber der Grund dahinter ist derselbe.

Warum Ihr Auftraggeber das von Ihnen wissen will

Es gibt drei handfeste Gründe, warum ein NIS-2-pflichtiges Unternehmen seine Zulieferer nach IT-Sicherheit fragt. Keiner davon ist Bürokratie zum Selbstzweck:

Lieferfähigkeit sicherstellen. Wenn Sie als Zulieferer durch einen IT-Ausfall eine Woche lang ausfallen, gerät die Produktion Ihres Auftraggebers aus dem Takt. Ein Automobilhersteller, dessen Zulieferer keine Auftragsbestätigungen mehr verschicken kann. Ein Krankenhaus, dessen Labordienstleister die Ergebnisse nicht übermitteln kann. Ihr Auftraggeber will wissen, ob Sie auf so einen Fall vorbereitet sind — ob Sie Ihre kritischen Abläufe kennen und einen Notfallplan haben.

Vertrauliche Daten schützen. In vielen Geschäftsbeziehungen werden sensible Unterlagen geteilt: Konstruktionszeichnungen, Preislisten, Patientendaten, Ausschreibungsunterlagen, Kundenlisten. Wenn diese Daten bei Ihnen auf einem schlecht gesicherten System liegen, ist das ein Risiko für Ihren Auftraggeber — und seit NIS-2 eines, das er nachweislich adressieren muss.

Angriffswege über Zulieferer verhindern. Eine Methode, die in den letzten Jahren massiv zugenommen hat: Angreifer attackieren den kleineren Partner, weil dessen IT-Sicherheit oft weniger ausgebaut ist als die des Großkunden. Über gemeinsam genutzte Schnittstellen, E-Mail-Verkehr oder geteilte Plattformen arbeiten sie sich dann zum eigentlichen Ziel vor. Das ist kein theoretisches Szenario — der SolarWinds-Angriff 2020, bei dem über ein Software-Update tausende Organisationen kompromittiert wurden, hat das Bewusstsein dafür geschärft. Ihr Auftraggeber will sichergehen, dass sein Netzwerk über Ihre Systeme abgesichert ist.

Was typischerweise gefragt wird

Die Fragebögen, die kleine Zulieferer erreichen, variieren stark. Aber bestimmte Themen tauchen fast immer auf:

Zugriffsschutz: Nutzen Ihre Mitarbeiter individuelle Passwörter? Ist Mehrfaktor-Authentifizierung (MFA) eingerichtet, zumindest für E-Mail und Cloud-Dienste?

Datensicherung: Werden Ihre Daten regelmäßig gesichert? Wo liegen die Backups? Wurde jemals getestet, ob sich die Sicherung im Ernstfall wiederherstellen lässt?

Notfallvorsorge: Gibt es einen Plan, was passiert, wenn Ihre IT ausfällt? Wer ist zuständig? Wie schnell können Sie weiterarbeiten?

Umgang mit vertraulichen Daten: Wie werden Daten Ihres Auftraggebers bei Ihnen gespeichert? Wer hat Zugriff? Werden sie verschlüsselt übertragen?

Software und Updates: Wird Ihre Software regelmäßig aktualisiert? Gibt es Programme, die veraltet sind und keine Sicherheitsupdates mehr erhalten?

Wenn Sie diese Fragen ehrlich beantworten können — auch wenn die Antwort an manchen Stellen „das weiß ich gerade noch gar nicht“ lautet — sind Sie weiter als die meisten. Denn die erste und wichtigste Maßnahme ist Transparenz: wissen, wo Sie stehen.

Die nüchterne Einordnung

NIS-2 ist für Sie als kleinen Betrieb zunächst kein eigenes Compliance-Projekt. Sie müssen sich weder beim BSI registrieren noch ein Informationssicherheits-Managementsystem (ISMS) aufbauen. Das verlangt das Gesetz von Ihnen nicht.

Was aber passieren kann: Ihr wichtigster Auftraggeber stellt Bedingungen, die Sie erfüllen müssen, um weiter liefern zu dürfen. Und das kann sehr konkret werden — bis hin zu der Forderung, bestimmte Maßnahmen umzusetzen und nachzuweisen.

In dieser Situation hilft es, vorbereitet zu sein. Wer seine eigenen Systeme kennt — welche Software welchen Ablauf stützt, wo die Daten liegen, wer Zugriff hat — kann die Fragebögen sachlich beantworten. Wer das alles erst zusammensuchen muss, wenn der Fragebogen auf dem Tisch liegt, hat Stress und macht einen unsicheren Eindruck.

Und unabhängig von NIS-2 gilt für jede GmbH: §1 StaRUG verpflichtet Sie als Geschäftsführer, Risiken zu erkennen, die Ihren Betrieb gefährden können. Digitale Abhängigkeiten gehören dazu. Die gleiche Bestandsaufnahme, die Ihnen bei einem NIS-2-Fragebogen hilft, erfüllt gleichzeitig Ihre Sorgfaltspflicht als Geschäftsführer. Das ist kein doppelter Aufwand — das ist ein Aufwand mit doppeltem Nutzen.

Häufige Fragen

Muss ich als kleiner Zulieferer jetzt eine ISO-27001-Zertifizierung haben?

Das verlangt NIS-2 von Ihnen als kleinem Betrieb nicht direkt. Ob Ihr Auftraggeber eine Zertifizierung fordert, hängt von seinem eigenen Risikomanagement ab. In den meisten Fällen reichen für kleine Zulieferer nachvollziehbare Grundmaßnahmen: Zugriffsschutz, Datensicherung, ein dokumentierter Notfallplan und eine Übersicht darüber, welche Systeme Sie einsetzen und wer dafür zuständig ist.

Kann ich den Geschäftspartner verlieren, wenn ich die Anforderungen ablehne?

Theoretisch ja. NIS-2-pflichtige Unternehmen müssen nachweisen können, dass sie ihre Lieferkette mit „gebotener Sorgfalt“ geprüft haben. Wenn Sie als Zulieferer keine Auskunft geben können oder wollen, kann Ihr Auftraggeber gezwungen sein, sich nach Alternativen umzusehen — oder zumindest das Risiko in seiner eigenen Dokumentation festzuhalten.

Wo prüfe ich, ob mein Betrieb vielleicht doch direkt betroffen ist?

Das BSI stellt auf seiner Website eine interaktive Betroffenheitsprüfung bereit. Sie beantworten einige Fragen zu Branche und Größe und erhalten eine Einschätzung. Das Ergebnis ist rechtlich unverbindlich, gibt aber eine solide Orientierung. Wenn Sie zu einem Unternehmensverbund gehören, achten Sie darauf, dass die Schwellenwerte auf Konzernebene geprüft werden.

Quellen und weiterführende Informationen

OpenKRITIS: NIS2-Umsetzungsgesetz — die neue KRITIS-Regulierung ab 2026

Secjur: NIS2 Lieferkette — Lieferanten absichern nach §30 BSIG

Secjur: NIS2 — wer ist betroffen? Sektoren, Kriterien und Check

VERSO: NIS-2 in der Lieferkette — Anforderungen und Umsetzung

Heuking: NIS-2 Registrierungspflicht — Fristen und Anforderungen

Dieser Artikel dient der allgemeinen Orientierung und stellt keine rechtliche Beratung dar. Die Betroffenheitsprüfung sollte im Zweifelsfall mit rechtlicher Unterstützung durchgeführt werden.

Vorbereitet sein — bevor der Fragebogen kommt

Wir helfen Ihnen, Ihre digitale Grundlage sichtbar zu machen — welche Systeme Sie einsetzen, wo Abhängigkeiten liegen und was im Ernstfall passieren muss. Das Ergebnis ist eine dokumentierte Übersicht, die Ihnen bei Kundenanfragen, bei Versicherungsnachweisen und bei Ihrer eigenen Geschäftsführung gleichermaßen hilft.

Gespräch vereinbaren