7 Min. Lesezeit

Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Am 6. März 2026 lief die BSI-Registrierungsfrist ab. Ergebnis: Nur 11.500 von rund 29.500 pflichtigen Unternehmen haben sich registriert. Noch kritischer ist, was die meisten Registrierten übersehen: Ihre SaaS-Anbieter sind Teil der Lieferkette. Und für die haftet die Geschäftsführung persönlich.

Das Wichtigste in Kürze

• 📋 NIS2-Umsetzungsgesetz gilt seit 6. Dezember 2025. BSI-Registrierungsfrist lief am 6. März 2026 ab (BSI).
• 📊 Nur 11.500 von 29.850 pflichtigen Unternehmen haben sich fristgerecht registriert. Registrierungsquote: 38,5 Prozent (Security Insider).
• ⚖️ Bußgelder bis 10 Millionen Euro oder 2 Prozent des Weltjahresumsatzes für besonders wichtige Einrichtungen (§ 65 BSIG).
• 👤 Geschäftsführer haften persönlich. Haftungsverzicht ist gesetzlich ausgeschlossen (§ 38 BSIG).
• 🔗 SaaS-Anbieter ohne NIS2-Konformität sind ein direktes Haftungsrisiko für ihre Kunden.

Was NIS2 für Cloud-Stacks bedeutet

NIS2 betrifft nicht nur klassische KRITIS-Betreiber. Das neue Gesetz erfasst rund 29.850 Unternehmen in Deutschland, sechsmal mehr als unter dem bisherigen IT-Sicherheitsgesetz. Die Schwelle liegt bei 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in einem der 18 regulierten Sektoren. Energieversorger, Gesundheitsunternehmen, Finanzdienstleister, aber auch Hersteller von Chemikalien, Lebensmitteln und digitalen Diensten fallen darunter.

Der blinde Fleck liegt in der Lieferkette. Artikel 21 der NIS2-Richtlinie verlangt explizit die Sicherheit der gesamten Lieferkette, einschließlich sicherheitsrelevanter Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern. In der Praxis heißt das: Wer Salesforce, HubSpot, Slack oder ein anderes SaaS-Tool nutzt, muss nachweisen können, dass dieser Anbieter angemessene Sicherheitsmaßnahmen implementiert hat.

Das ist ein fundamentaler Unterschied zum bisherigen Ansatz. Bisher reichte es, die eigene Infrastruktur abzusichern. Jetzt muss die IT-Leitung dokumentieren, welche SaaS-Dienste im Einsatz sind, welche Daten dort verarbeitet werden und ob der Anbieter die Anforderungen des NIS2-Umsetzungsgesetzes erfüllt.

Warum die BSI-Registrierung erst der Anfang ist

Am 6. Januar 2026 öffnete das BSI sein Registrierungsportal. Drei Monate hatten Unternehmen Zeit, sich zu registrieren. Als die Frist am 6. März 2026 ablief, hatten sich laut Security Insider nur 11.500 Unternehmen registriert. Zwei Wochen vor Fristende waren es sogar erst 4.856.

Die niedrige Quote von 38,5 Prozent hat mehrere Ursachen. Viele Unternehmen sind sich nicht sicher, ob sie unter die Regulierung fallen. Die 18 Sektoren und die Schwellenwerte sind komplex, und die Abgrenzung zwischen wichtigen und besonders wichtigen Einrichtungen ist nicht trivial. Andere Unternehmen haben die Registrierung schlicht nicht auf dem Radar.

Aber die Registrierung ist nur der formale Startpunkt. Das eigentliche Problem beginnt danach: die Umsetzung der technischen und organisatorischen Maßnahmen. Und hier trifft NIS2 auf eine Realität, die viele IT-Abteilungen überfordert: den eigenen SaaS-Stack.

Das SaaS-Lieferkettenproblem im Detail

Ein größeres mittelständisches Unternehmen nutzt laut Zylo SaaS Management Index zwischen 80 und 120 SaaS-Anwendungen. Von CRM über Projektmanagement bis Buchhaltung, von Kommunikation bis HR. Jede dieser Anwendungen verarbeitet potenziell schützenswerte Daten. Und jede ist ein Glied in der Lieferkette, das NIS2 erfasst.

Die zentrale Frage lautet: Kann der SaaS-Anbieter nachweisen, dass er angemessene Cybersicherheitsmaßnahmen implementiert hat? In der Praxis fehlt dieser Nachweis in den meisten Fällen. Viele SaaS-Anbieter, insbesondere kleinere europäische und amerikanische Anbieter, haben weder ISO 27001 noch SOC 2 Type II. Sie verweisen auf ihre AGB und Datenschutzerklärungen, aber das reicht für eine NIS2-konforme Lieferketten-Dokumentation nicht aus.

„Die Sicherheit der Lieferkette einschließlich sicherheitsrelevanter Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.“
– Artikel 21 Abs. 2 lit. d, NIS2-Richtlinie (EU) 2022/2555

Besonders heikel wird es bei SaaS-Anbietern mit Sitz in den USA. Hier kollidieren NIS2-Anforderungen mit dem US CLOUD Act: US-Behörden können amerikanische Unternehmen zur Herausgabe von Daten verpflichten, auch wenn diese auf europäischen Servern liegen. Für NIS2-pflichtige Unternehmen in regulierten Branchen ist das ein zusätzliches Compliance-Risiko, das dokumentiert und bewertet werden muss.

Bußgelder und persönliche Haftung: Was auf dem Spiel steht

NIS2 unterscheidet zwischen zwei Kategorien von Einrichtungen, und die Bußgelder fallen entsprechend unterschiedlich aus.

Besonders wichtige Einrichtungen (Energie, Transport, Gesundheit, Trinkwasser, digitale Infrastruktur, Weltraum, Bankwesen, Finanzmarktinfrastrukturen) riskieren Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Es gilt der höhere Betrag.

Wichtige Einrichtungen (Post, Abfall, Chemie, Lebensmittel, Hersteller, digitale Anbieter, Forschung) riskieren bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes.

Die persönliche Haftung der Geschäftsführung ist in § 38 BSIG geregelt. Geschäftsführer und Vorstände müssen die Umsetzung der Risikomanagementmaßnahmen überwachen. Laut ing-ism.de ist ein Verzicht auf Ersatzansprüche gegenüber der Geschäftsleitung gesetzlich ausgeschlossen. Das bedeutet: Ein CEO kann nicht per Gesellschafterbeschluss von der Haftung befreit werden.

Checkliste: SaaS-Lieferkette NIS2-konform machen

IT-Leiter, die ihren SaaS-Stack jetzt NIS2-konform aufstellen wollen, sollten diese Schritte systematisch abarbeiten.

1. SaaS-Inventar erstellen. Alle aktiven SaaS-Dienste erfassen, einschließlich Schatten-IT. Tools wie Zylo, Productiv oder manuelle Auswertungen der SSO-Logs helfen. Wichtig: Auch Dienste erfassen, die einzelne Abteilungen eigenständig beschafft haben.

2. Datenklassifizierung pro Dienst. Welche Daten werden in jedem SaaS-Tool verarbeitet? Personenbezogene Daten, Geschäftsgeheimnisse, Finanzdaten? Die Kritikalität bestimmt den Prüfungsaufwand.

3. Sicherheitsnachweise einfordern. ISO 27001, SOC 2 Type II, BSI C5 oder vergleichbare Zertifizierungen. Bei fehlenden Zertifikaten: Sicherheitsfragebögen (z.B. SIG Questionnaire, CAIQ von der Cloud Security Alliance) an den Anbieter senden.

4. Vertragsklauseln prüfen und ergänzen. Bestehende Verträge auf Sicherheitsklauseln prüfen. NIS2 verlangt vertragliche Regelungen zur Meldepflicht bei Sicherheitsvorfällen, Audit-Rechte und Mindeststandards. Wenn der bestehende Vertrag das nicht abdeckt: Nachtrag verhandeln.

5. Incident-Response-Kette definieren. Wie erfährt das Unternehmen von einem Sicherheitsvorfall beim SaaS-Anbieter? NIS2 schreibt eine Erstmeldung an das BSI innerhalb von 24 Stunden vor. Wenn der SaaS-Anbieter keine eigene Meldestruktur hat, braucht das Unternehmen eine vertragliche Zusage über Benachrichtigungsfristen.

6. Dokumentation für Prüfungen vorbereiten. Alle Nachweise zentral ablegen: Zertifikate, ausgefüllte Fragebögen, Vertragsklauseln, Risikobewertungen. Das BSI hat angekündigt, nach dem 6. März 2026 aktive Prüfungen durchzuführen. Die Dokumentation muss dann vorzeigbar sein.

Welche SaaS-Kategorien besonders kritisch sind

Nicht jedes SaaS-Tool ist gleich relevant. Die Priorisierung sollte sich an der Datenkritikalität und der Zugriffstiefe orientieren.

Höchste Priorität: Identity Provider (Azure AD, Okta, Google Workspace), da sie den Zugriff auf alle anderen Systeme kontrollieren. Ein Incident hier betrifft die gesamte IT-Landschaft. Dazu kommen E-Mail-Dienste (Microsoft 365, Google Workspace), die häufigstes Einfallstor für Phishing und Social Engineering sind.

Hohe Priorität: CRM-Systeme (Salesforce, HubSpot), die Kundendaten und Geschäftsgeheimnisse enthalten. ERP-Systeme (SAP, Oracle), die Finanzdaten und operative Prozesse steuern. Und HR-Plattformen (Personio, Workday), die sensible Mitarbeiterdaten verarbeiten.

Mittlere Priorität: Projektmanagement (Jira, Asana), Kommunikation (Slack, Teams) und Dokumentenmanagement (Confluence, Notion). Diese verarbeiten zwar Geschäftsdaten, aber in der Regel keine hochsensiblen personenbezogenen oder finanziellen Informationen.

Der Fehler, den viele machen: Sie prüfen nur die offensichtlichen großen Anbieter und vergessen spezialisierte Tools, die in einzelnen Abteilungen laufen. Ein Marketing-Tool mit API-Zugriff auf das CRM ist genauso Teil der Lieferkette wie Salesforce selbst.

Was passiert, wenn Unternehmen nicht handeln

Das BSI hat nach Ablauf der Registrierungsfrist am 6. März 2026 angekündigt, nicht registrierte Unternehmen aktiv zu identifizieren. Die Behörde kann betroffene Einrichtungen zur Registrierung auffordern und bei Nichtbefolgung Bußgelder verhängen.

Für besonders wichtige Einrichtungen kommt ein zusätzliches Instrument: Das BSI kann Vor-Ort-Prüfungen durchführen und die Umsetzung der Sicherheitsmaßnahmen direkt überprüfen. Bei schwerwiegenden Verstößen kann die Behörde Maßnahmen anordnen, bis hin zur Untersagung der Tätigkeit von Leitungspersonen.

Auch ohne BSI-Prüfung entsteht Handlungsdruck durch die Lieferkette selbst. Große Unternehmen, die NIS2 ernst nehmen, werden von ihren Zulieferern und Dienstleistern Sicherheitsnachweise verlangen. Wer diese nicht liefern kann, riskiert den Verlust von Geschäftsbeziehungen. Der Compliance-Druck fließt die Lieferkette hinunter.

Fazit

NIS2 ist kein Papiertiger. Das Gesetz gilt, die Fristen laufen, und die persönliche Haftung der Geschäftsführung ist real. Die größte Lücke in der Compliance-Architektur vieler Unternehmen ist nicht die eigene Infrastruktur, sondern der SaaS-Stack. Dutzende Anbieter, kaum geprüft, selten vertraglich abgesichert, und jeder einzelne ein potenzielles Einfallstor für Angreifer und ein Haftungsrisiko für die Geschäftsleitung.

Der pragmatische Ansatz: SaaS-Inventar erstellen, nach Datenkritikalität priorisieren, Sicherheitsnachweise einfordern, Verträge nachschärfen. Wer das systematisch angeht, hat die Lieferketten-Anforderung von NIS2 in drei bis sechs Monaten im Griff. Wer wartet, riskiert Bußgelder, Geschäftsverluste und persönliche Haftung.

Häufige Fragen

Muss ich jeden SaaS-Anbieter auf NIS2-Konformität prüfen?

Nicht jeden gleich intensiv. Priorisieren Sie nach Datenkritikalität: Identity Provider und E-Mail-Dienste zuerst, dann CRM und ERP, dann nachgelagerte Tools. Eine vollständige Bestandsaufnahme aller SaaS-Dienste ist aber Voraussetzung.

Reicht ISO 27001 meines SaaS-Anbieters als NIS2-Nachweis?

ISO 27001 ist ein guter Ausgangspunkt, aber allein nicht ausreichend. NIS2 verlangt zusätzlich vertragliche Regelungen zu Meldepflichten, Audit-Rechten und Mindeststandards. Prüfen Sie, ob der Scope der Zertifizierung den Dienst abdeckt, den Sie nutzen.

Wie schnell muss ich einen Sicherheitsvorfall beim BSI melden?

Besonders wichtige Einrichtungen müssen innerhalb von 24 Stunden eine Erstmeldung abgeben. Innerhalb von 72 Stunden folgt eine Bewertung, innerhalb eines Monats ein Abschlussbericht. Das gilt auch, wenn der Vorfall bei einem SaaS-Anbieter stattfindet und Ihre Daten betrifft.

Haftet mein Unternehmen, wenn ein SaaS-Anbieter gehackt wird?

Nicht automatisch für den Hack selbst, aber für fehlende Lieferketten-Sicherheitsmaßnahmen. Wenn Sie nicht nachweisen können, dass Sie den Anbieter geprüft und vertragliche Sicherheitsklauseln vereinbart haben, ist das ein Verstoß gegen die Risikomanagement-Pflichten.

Was ist der Unterschied zwischen wichtigen und besonders wichtigen Einrichtungen?

Besonders wichtige Einrichtungen gehören zu Sektoren wie Energie, Gesundheit, Bankwesen und digitale Infrastruktur. Sie unterliegen strengerer Aufsicht (Vor-Ort-Prüfungen) und höheren Bußgeldern (bis 10 Millionen Euro). Wichtige Einrichtungen umfassen Sektoren wie Post, Chemie und Lebensmittel mit Bußgeldern bis 7 Millionen Euro.

Weiterführende Artikel

• Sovereignty-Washing – Warum EU-Rechenzentrum noch keine Datensouveränität bedeutet (cloudmagazin)
• TLS-Zertifikate 2026 – Warum 200-Tage-Laufzeit das Ende des manuellen Managements bedeutet (cloudmagazin)
• Cloud-native Identity – OAuth 2.1, Passkeys und die Zukunft der Authentifizierung (cloudmagazin)

Mehr aus dem MBF Media Netzwerk

• DSGVO 2026: Was sich ändert – Regulatorische Updates für IT-Teams (SecurityToday)
• Cloud-Repatriation 2026 – Warum CIOs Workloads zurückholen (Digital Chiefs)

Quelle Titelbild: Dan Nelson / Pexels