NIS2-Audit: Wo die Vendor-Liste in zwei Stunden zerbricht

7 Min. Lesezeit

Seit dem Stichtag 06.03.2026 prüft das BSI nach eigener Ankündigung aktiv, welche Unternehmen ihre NIS2-Registrierung versäumt haben – rund 18.500 fehlen. Im Audit-Zyklus, der jetzt anläuft, kippen die meisten DACH-Mittelständler nicht an der Risikoanalyse oder dem Incident-Response-Plan, sondern an einer scheinbar trivialen Anforderung: einer aktuellen Lieferketten-Liste mit Risiko-Bewertung pro Vendor. Wer in der Erst-Audit-Sitzung eine vollständige Vendor-Liste plus Risiko-Score in unter zwei Stunden vorlegen kann, hat den ersten Block bestanden. Wer nicht, geht in die Verlängerung mit Nachforderungen.

VerwandtNIS2-Enforcement trifft 29500 deutsche Firmen  /  Aufsichtsbehörden jagen KMUs mit 72-Stunden-Falle

Warum die Vendor-Liste der entscheidende Audit-Punkt ist

Im NIS2-Anforderungsraster steht die Lieferkette nicht im Mittelpunkt der Aufmerksamkeit. Im Auditbericht hingegen schon. Der Grund ist Praxis: Risiko-Konzepte und Incident-Response-Pläne sind in den meisten DACH-Mittelständlern auf einem ordentlichen Stand, weil sie aus DSGVO-, ISO-27001- und KRITIS-Anstrengungen der letzten Jahre stammen. Die Lieferkette hingegen war bisher selten Gegenstand strukturierter Risiko-Bewertung. NIS2 schließt diese Lücke und macht sie zum prüfbaren Tatbestand.

Die deutsche Umsetzungsgesetzgebung übernimmt den europäischen Rahmen weitgehend, schärft aber die Erwartung an dokumentierte Lieferketten-Bewertung. Konkret heißt das: Wer eine Vendor-Liste hat, die in einer Excel-Tabelle mit 200 Zeilen ohne Risiko-Score liegt, hat technisch eine Liste, aber keine NIS2-konforme Lieferketten-Bewertung. Der BSI-Prüfer sucht im Erstaudit nach dem Score, nicht nach der Tabelle.

Der zweite Grund für die Schärfe ist die Querverbindung zur 24- und 72-Stunden-Meldepflicht. Wer im Vorfall nicht weiß, welche Vendoren mit welchen Daten und Systemen verbunden sind, kann die Meldung an das BSI nicht in der geforderten Qualität abgeben. Die Vendor-Liste ist nicht nur eine Audit-Artefakt, sie ist die operative Grundlage der Incident-Response. Beides hängt zusammen, und beides scheitert am gleichen Datenproblem.

Was der BSI-Prüfer in den ersten 90 Minuten sehen will

Die Erstaudits laufen seit April nach einem erkennbaren Muster ab. Der BSI-Prüfer beginnt mit drei Anforderungen, bevor die eigentliche Konzept-Prüfung startet. Erstens: eine Liste aller Lieferanten mit Zugang zu betroffenen Systemen oder Daten. Zweitens: eine Klassifizierung dieser Lieferanten in mindestens zwei Kategorien (essenzielle vs. wichtige Dienstleister). Drittens: ein Nachweis darüber, dass jede Klassifizierung auf einer aktuellen Risiko-Bewertung beruht und mindestens jährlich überprüft wird.

An diesem Punkt entscheidet sich der Audit-Verlauf. Wer die drei Anforderungen sauber liefert, geht in die inhaltliche Diskussion über. Wer eine Liste ohne Klassifizierung präsentiert, geht in die Nachforderung mit einem Termin in zwei bis vier Wochen. In der Mehrzahl der bisherigen Erst-Audits ist Letzteres der Standard, nicht die Ausnahme.

Der pragmatische Vorbereitungstipp aus den ersten Erfahrungsberichten: Ein A4-Auszug aus dem Vendor-Management-Tool, der die zehn Top-Vendoren nach NIS2-Klassifizierung mit Risiko-Score und letzter Review zeigt. Wer das vor dem Audit-Termin aushändigen kann, signalisiert Reife. Wer es nicht hat, fällt in die Standard-Nachforderungs-Schleife.

Was im typischen DACH-Mittelstand tatsächlich vorliegt

Die Realität in den meisten Häusern ist heterogener als die NIS2-Anforderung suggeriert. Vendor-Daten sitzen in drei bis fünf parallelen Systemen: Procurement-Tool für die kommerzielle Sicht, ITSM für die Service-Ebene, Identity-Provider für die Zugangs-Sicht, ein Excel im Datenschutz-Team für die DSGVO-Liste. Nirgends gibt es eine konsolidierte Sicht, in keiner Quelle ist ein NIS2-spezifischer Risiko-Score gepflegt.

Diese Fragmentierung ist kein Einzelfall, sondern der Standardzustand. Sie ist auch nicht in zwei Wochen zu beheben. Was aber realistisch in zwei bis sechs Wochen geht: eine konsolidierte Top-30-Liste der NIS2-relevanten Vendoren mit minimalem Risiko-Score auf Basis der vorhandenen Daten. Diese Liste ist nicht das endgültige Vendor-Management, aber sie ist der Audit-Beweis, der im Erstaudit ausreicht.

Wichtig dabei: Die Liste muss leben. Eine Stichtagsliste von Mai 2026 ist im November-Audit veraltet, weil das BSI eine jährliche Review-Praxis sehen will. Die organisatorische Frage ist also nicht „wie erstellen wir die Liste“, sondern „wer pflegt sie wie häufig“. In den Häusern, die das Thema seriös angehen, wandert das Vendor-Risk-Review in den vierteljährlichen IT-Security-Steering-Termin und bekommt einen klaren Eigentümer aus dem Procurement.

Was bricht, was trägt: die Audit-Vorbereitung in 6 Wochen

Der pragmatische Schluss: Der Erstaudit ist nicht die Kür, sondern die Pflicht in einer Form, die die meisten Häuser unterschätzen. Wer die Top-30-Liste mit Klassifizierung in sechs Wochen erstellt, dokumentiert und einem Eigentümer zuweist, hat den größten Block der NIS2-Audit-Anforderungen abgedeckt. Der Rest ist Konzept-Diskussion, die in den meisten Häusern weniger problematisch ist.

Was beim ersten Vorfall an dieser Stelle weh tut

Der NIS2-Audit ist nur die eine Seite. Die andere ist die 24-Stunden-Erstmeldung an das BSI, die unmittelbar nach Vorfall greift. In dieser Erstmeldung muss das betroffene Unternehmen sagen, welche Systeme und welche Vendor-Verbindungen kompromittiert sind. Wer keine konsolidierte Vendor-Sicht hat, schreibt eine Erstmeldung, die in der 72-Stunden-Bestätigung wieder revidiert werden muss, weil neue Vendor-Verbindungen aufgetaucht sind, die in der Erstmeldung nicht erwähnt waren.

Das ist kein theoretisches Risiko. In den ersten Vorfällen seit Inkrafttreten zeigte sich, dass nachgereichte Erstmeldungen nicht nur als unvollständig gewertet werden, sondern auch als Hinweis auf mangelnde Reife der Sicherheitsorganisation. Die Konsequenz ist nicht zwingend ein Bußgeld, aber eine intensivere Folge-Prüfung, die deutlich aufwendiger wird als das Erstaudit.

Die Lieferketten-Liste ist damit nicht nur ein Audit-Werkzeug, sondern ein Incident-Response-Werkzeug. In den Häusern, die das Thema strategisch angehen, bekommt die Liste einen festen Platz im Krisenstabs-Playbook und wird dort jährlich getestet. Diese Übung kostet einen Tag und reduziert das Risiko der unvollständigen Erstmeldung deutlich.

Häufige Fragen

Wie ist die Vendor-Liste konkret aufgebaut?

Die NIS2-konforme Vendor-Liste enthält pro Vendor mindestens vier Felder: kommerzielle Identität (Name, Vertragsvolumen), technische Identität (welche Systeme oder Daten betroffen), NIS2-Klassifizierung (essenziell oder wichtig) und letzten Review-Datum. Komplexere Listen ergänzen Risiko-Score-Skala 1 bis 5, Eskalations-Kontakt beim Vendor und letzten Pen-Test- oder ISMS-Audit-Nachweis des Vendors. Ein guter Erstwurf hat 30 Zeilen, eine ausgereifte Liste 100 bis 200.

Reicht die DSGVO-Auftragsverarbeiter-Liste als Basis?

Sie ist eine sinnvolle Basis, aber nicht ausreichend. Die DSGVO-Liste enthält Vendoren, die personenbezogene Daten verarbeiten, und das ist nur ein Teil des NIS2-Scopes. NIS2 fordert auch die Vendoren mit Zugang zu betriebskritischen Systemen ohne personenbezogene Daten, etwa OT-Wartungsdienstleister oder Netzwerk-Anbieter. In der Praxis bedeutet das: Die DSGVO-Liste deckt typisch 60 bis 70 Prozent der NIS2-relevanten Vendoren ab, der Rest muss aus Procurement und ITSM ergänzt werden.

Was passiert, wenn der BSI-Prüfer eine unvollständige Liste vorfindet?

Die unmittelbare Konsequenz ist eine Nachforderung mit Frist von zwei bis vier Wochen. Wird diese Nachforderung nicht erfüllt, eskaliert das Verfahren in eine vertiefte Prüfung, in der weitere Nachweise zum Sicherheitsmanagement angefordert werden. Erst wenn auch in der vertieften Prüfung Mängel sichtbar werden, droht ein Bußgeld. Die unvollständige Liste allein ist also noch nicht der Bußgeld-Auslöser, sie ist aber der Eintritt in einen Eskalationspfad, der teuer wird.

Welche Rolle spielen externe Auditoren in der Vorbereitung?

Externe Auditoren sind in der Vorbereitung wertvoll, aber nicht in jedem Fall nötig. Für besonders wichtige Anlagen (bwE) ist ein externer Audit-Nachweis spätestens nach drei Jahren Pflicht. Für wichtige Anlagen (wE) ist die Selbstbewertung zulässig. Wer im DACH-Mittelstand als wE einzustufen ist, kann den Erstaudit mit interner Vorbereitung bestreiten und externe Beratung gezielt für die Vendor-Klassifizierungs-Methodik einholen.

Wie häufig muss die Vendor-Liste aktualisiert werden?

Mindestens jährlich, in der Praxis aber bei jeder wesentlichen Vertragsänderung oder neuen System-Integration. Die meisten Häuser etablieren einen vierteljährlichen Review-Termin, in dem neue Vendoren ergänzt und ausgelaufene Verträge entfernt werden. Diese Frequenz reicht für den Audit-Nachweis und passt zu den üblichen IT-Security-Steering-Zyklen, sodass kein zusätzliches Meeting eingeführt werden muss.

Mehr aus dem MBF Media Netzwerk

• cloudmagazin: Wenn die eigene Belegschaft ChatGPT mit Kundendaten füttert
• mybusinessfuture: SAP-BPC: Die SQL-Hintertür in der Quartalsbilanz
• digital-chiefs: Die 40-Prozent-Frage: Wo das KI-Budget wirklich herkommt

Quelle Titelbild: Pexels

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor Alec Chizhik