NIS-2-Anforderungen an Softwareanbieter: Was IT-Dienstleister wissen müssen
Warum NIS-2 auch Softwareanbieter betrifft
Die NIS-2-Richtlinie und ihr deutsches Pendant, das NIS-2-Umsetzungsgesetz, verpflichten betroffene Unternehmen zu einem umfassenden Risikomanagement — und das schließt die Lieferkette ausdrücklich ein. Art. 21 Abs. 2 lit. d der Richtlinie nennt „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern” als eine der zentralen Pflichten.
Für Softwareanbieter hat das eine Konsequenz, die viele noch unterschätzen: Auch wer selbst nicht in den Geltungsbereich von NIS-2 fällt, wird über seine Auftraggeber zum faktischen Adressaten der Regulierung. Ein Energieversorger, der seine Abrechnungssoftware von einer externen Agentur entwickeln lässt, muss nachweisen, dass dieser Dienstleister angemessene Sicherheitsstandards einhält. Kann er das nicht, riskiert er Bußgelder, Audit-Beanstandungen und — seit NIS-2 — persönliche Haftung der Geschäftsleitung.
Die Dynamik ist klar: Je mehr Unternehmen unter NIS-2 fallen — aktuell über 30.000 in Deutschland —, desto mehr Softwaredienstleister werden mit Sicherheitsanforderungen konfrontiert, die über das bisher Übliche hinausgehen. Wer sich darauf nicht einstellt, verliert Aufträge an Wettbewerber, die es tun.
Was Auftraggeber von ihren Softwaredienstleistern verlangen
Die NIS-2-Anforderungen übersetzen sich für die Lieferkette in konkrete Erwartungen an IT-Dienstleister. Diese Erwartungen werden zunehmend in Ausschreibungen, Rahmenverträgen und Auditfragebögen formalisiert.
| Anforderung | Typischer Nachweis |
|---|---|
| Informationssicherheits-Managementsystem (ISMS) | ISO 27001 Zertifikat einer akkreditierten Stelle |
| Sichere Entwicklungsprozesse | Dokumentierter Secure SDLC, Code-Review-Richtlinien |
| Incident-Response-Fähigkeit | Dokumentierter Prozess, definierte Ansprechpartner, Erreichbarkeit |
| Zugriffskontrollen | Rollenbasiertes Berechtigungskonzept, Protokollierung |
| Patch Management | Definierte Fristen für Sicherheitsupdates, dokumentierte Prozesse |
| Umgebungstrennung | Getrennte Entwicklungs-, Test- und Produktionsumgebungen |
| Audit-Bereitschaft | Bereitschaft zur Prüfung durch Auftraggeber oder Dritte |
Die Anforderungen sind nicht neu — aber NIS-2 macht sie verbindlich. Was bisher als „Best Practice” galt, wird zum Vertragskriterium. Auftraggeber, die ihre Sorgfaltspflicht ernst nehmen, können gar nicht anders, als diese Nachweise zu verlangen.
Vertragliche Anforderungen: Was sich ändert
Die regulatorischen Pflichten von NIS-2-betroffenen Unternehmen schlagen direkt auf die Vertragsgestaltung mit Softwaredienstleistern durch. Rahmenverträge, die vor 2025 geschlossen wurden, enthalten oft keine oder nur rudimentäre Sicherheitsklauseln. Das ändert sich gerade.
Sicherheitsanforderungen als Vertragsbestandteil. Neue Verträge definieren explizit, welche Sicherheitsstandards der Dienstleister einhalten muss — von Verschlüsselung über Zugriffskontrollen bis zu Secure Coding Practices. Diese Anforderungen werden nicht mehr als „sollte” formuliert, sondern als verbindliche Leistungspflicht.
Meldepflichten bei Sicherheitsvorfällen. NIS-2 schreibt enge Meldefristen vor: 24 Stunden für die Erstmeldung, 72 Stunden für den detaillierten Bericht. Auftraggeber müssen sicherstellen, dass auch Vorfälle bei Dienstleistern innerhalb dieser Fristen gemeldet werden. Der Softwareanbieter verpflichtet sich vertraglich, den Auftraggeber unverzüglich zu informieren — nicht erst nach interner Klärung.
Auditrechte des Auftraggebers. Betroffene Unternehmen müssen ihre Lieferkette überprüfen können. Das bedeutet: Der Auftraggeber — oder ein von ihm beauftragter Dritter — hat das Recht, die Sicherheitsprozesse des Dienstleisters zu auditieren. Softwareanbieter, die sich dagegen sperren, disqualifizieren sich für NIS-2-relevante Aufträge.
Nachweispflichten und Dokumentation. Der Dienstleister muss auf Anfrage nachweisen können, dass seine Prozesse den vereinbarten Standards entsprechen. Zertifizierungen wie ISO 27001 vereinfachen diese Nachweisführung erheblich — sie ersetzen nicht jedes Einzelaudit, schaffen aber eine belastbare Grundlage.
Für bestehende Wartungsverträge bedeutet das: Viele Verträge müssen um Sicherheitsklauseln ergänzt werden, die den NIS-2-Anforderungen genügen. Auftraggeber gehen zunehmend proaktiv auf ihre Dienstleister zu und fordern Nachträge.
ISO 27001 als Türöffner
Unter den verschiedenen Zertifizierungen und Nachweisen hat sich ISO 27001 als der De-facto-Standard für die Lieferketten-Compliance etabliert. Dafür gibt es drei Gründe.
Erstens: Anerkannte Struktur. ISO 27001 ist ein internationaler Standard, den Auditoren, Vergabestellen und Compliance-Abteilungen kennen und akzeptieren. Ein Dienstleister mit ISO 27001 Zertifikat muss nicht bei jedem Auftraggeber von Grund auf erklären, welche Sicherheitsmaßnahmen er umsetzt — das Zertifikat liefert den Rahmen.
Zweitens: NIS-2-Kompatibilität. Die NIS-2-Richtlinie selbst verweist auf ISO 27001 als geeigneten Rahmen für die Umsetzung der geforderten Sicherheitsmaßnahmen. Das BSI empfiehlt die Norm ausdrücklich. Für Auftraggeber, die ihre NIS-2-Compliance nachweisen müssen, ist ein zertifizierter Dienstleister deshalb die einfachste Lösung.
Drittens: Vergabevorteil. In öffentlichen Ausschreibungen wird ISO 27001 zunehmend als Eignungskriterium gefordert — insbesondere bei IT-Projekten mit sensiblen Daten. Für Softwareanbieter ohne Zertifikat schließt sich damit ein wachsender Markt.
Wie TenMedia die NIS-2-Lieferkettenpflichten erfüllt
Als Softwaredienstleister für regulierte Branchen — von KRITIS-Betreibern über öffentliche Verwaltung bis zu mittelständischen Unternehmen mit sensiblen Daten — haben wir unsere Prozesse auf die Anforderungen ausgerichtet, die NIS-2-betroffene Auftraggeber an ihre Lieferkette stellen.
ISO 27001 Zertifizierung durch TÜV Süd. Unser ISMS ist nicht nur vorhanden — es ist durch eine der renommiertesten Prüfstellen Europas zertifiziert. Der Geltungsbereich umfasst Softwareentwicklung und -wartung und deckt damit genau die Leistungen ab, die unsere Auftraggeber in ihrer Lieferketten-Compliance nachweisen müssen.
Dokumentierter Secure SDLC. Unsere Entwicklungsprozesse folgen dem Secure Software Development Lifecycle: Sicherheitsanforderungen in der Konzeption, Threat Modeling im Design, automatisierte Sicherheitstests in der Pipeline, Code Reviews mit Sicherheitsfokus. Die relevanten Annex-A-Controls sind dokumentiert und auditierbar.
Incident-Response-Prozess. Definierte Ansprechpartner, dokumentierte Eskalationswege, klare Meldefristen. Im Ernstfall kann unser Team den Auftraggeber innerhalb der NIS-2-konformen Zeitfenster informieren — und parallel die technische Analyse durchführen.
Audit-Bereitschaft. Wir stellen uns Auditfragen unserer Auftraggeber — ob als Fragebogen, Vor-Ort-Audit oder Dokumentenprüfung. Die ISO 27001 Zertifizierung liefert die Grundlage; projektspezifische Nachweise ergänzen sie bei Bedarf.
Vertragliche Sicherheitszusagen. Unsere Rahmenverträge enthalten Sicherheitsklauseln, die den NIS-2-Anforderungen genügen: Meldepflichten, Auditrechte, Verschlüsselungsstandards, Zugriffskontrollen. Bestehende Verträge passen wir bei Bedarf an die neuen regulatorischen Anforderungen an.
Weiterführende Informationen
- Cybersicherheit mit NIS-2: Übersicht
- NIS-2 und KRITIS: Was sich ändert
- NIS-2-Anforderungen für Unternehmen
- Softwareentwicklung für KRITIS-Betreiber
- ISO 27001 zertifizierte Softwareentwicklung
- ISO 27001 in Ausschreibungen
- Wartungsvertrag für Individualsoftware
Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zu regulatorischen Anforderungen empfehlen wir die Konsultation einer spezialisierten Rechtsberatung.
