Auf einen Blick: NIS2UmsuCG gilt seit dem 06.12.2025, das BSI-Portal ist seit 06.01.2026 offen. Wesentliche und wichtige Einrichtungen ab 50 Mitarbeitern und 10 Mio EUR Umsatz in 18 Sektoren müssen Lieferketten-Sicherheit nach Art. 21 NIS2-RL nachweisen. KI-Anbieter wie OpenAI, Anthropic oder AWS gelten dabei als Lieferanten. Bußgeldrahmen bis 10 Mio EUR. Geschäftsführer haften persönlich nach § 38 NIS2UmsuCG.
Im Dezember 2025 wurde es konkret. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) trat am 06.12.2025 in Kraft und brachte die deutsche Übersetzung der NIS2-Richtlinie 2022/2555 ins nationale Recht. Was viele Geschäftsführer im Mittelstand erst jetzt verstehen: Die Pflicht zur Lieferketten-Sicherheit nach Art. 21 NIS2-RL betrifft auch alle KI-Anbieter, die du im Unternehmen einsetzt. Nicht nur Cloud-Hoster, nicht nur klassische Software-Lieferanten. Auch OpenAI, Anthropic, Google. Und auch HR-Tools mit KI-Modul wie Personio oder SAP.
Wer in einem NIS2-Sektor arbeitet und KI-Tools einsetzt, hat 2026 plötzlich eine Pflichtenliste, die letztes Jahr noch nicht da war. Wer das ignoriert, riskiert nicht nur Bußgelder bis 10 Mio EUR, sondern auch persönliche Haftung der Leitungsorgane.
Wer fällt unter NIS2 und wer nicht
Die erste Frage ist nicht inhaltlich, sondern bereichsmäßig. Fallst du überhaupt unter NIS2?
Der Anwendungsbereich umfasst wesentliche und wichtige Einrichtungen ab 50 Mitarbeitern und 10 Mio EUR Umsatz in 18 Sektoren. Konkret betroffen sind unter anderem Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung, Postdienste, Forschung und Lebensmittel. Die Liste ist breit. Auch Maschinenbau, Chemie, Lebensmittelproduktion oder IT-Dienstleister können erfasst sein, je nach Geschäftsmodell.
Wesentliche Einrichtungen sind die mit höherer Kritikalität, etwa Krankenhäuser oder Energieversorger. Wichtige Einrichtungen haben den selben Pflichtenkatalog, aber niedrigere Bußgeldrahmen. Der Unterschied ist relevant, wenn es ernst wird.
Wer unsicher ist, ob er überhaupt unter NIS2 fällt, sollte das BSI-Portal nutzen. Das ist seit dem 06.01.2026 offen und bietet einen Selbst-Check. Wer dort als wesentliche oder wichtige Einrichtung registriert wird, muss innerhalb von drei Monaten die Konformität nachweisen.
Was Art. 21 NIS2-RL konkret verlangt
Art. 21 NIS2-RL listet zehn Mindest-Maßnahmen für das Risikomanagement auf. Eine davon ist die Sicherheit der Lieferkette. Das klingt abstrakt, ist in der Praxis aber sehr konkret.
Du musst pro Lieferant ein Risiko-Assessment machen. Welche Daten fließen zu welchem Anbieter? Welche Sicherheitsmaßnahmen hat dieser Anbieter? Welche Vertragsklauseln regeln Incident-Notification, Audit-Rechte und Haftung? Wie kontinuierlich überwachst du die Sicherheitslage des Anbieters? Was passiert, wenn der Anbieter ausfällt oder gehackt wird?
Diese Fragen gelten für jeden Lieferanten. Auch für KI-Anbieter. Wer einen LLM-Service nutzt, einen Hosting-Provider, eine SaaS-Plattform mit KI-Modul, fügt diesen Anbieter seiner Lieferkette hinzu. Damit greift Art. 21 NIS2-RL.
KI-Anbieter als Lieferanten: Die typischen Kandidaten
In einem typischen mittelständischen Unternehmen, das KI ernsthaft einsetzt, finden sich mindestens drei Kategorien von KI-Lieferanten.
LLM-Anbieter direkt. OpenAI, Anthropic, Google, Mistral, Cohere. Hier fließen die eigentlichen Prompt-Daten hin, oft mit Kundenbezug.
Hosting- und Cloud-Provider. AWS, Microsoft Azure, Google Cloud. Wer Claude über AWS Bedrock nutzt oder GPT über Azure OpenAI Service, hat zwei Lieferanten im Spiel: den LLM-Anbieter und den Hyperscaler.
KI-Tools mit Drittanbieter-Modellen. Personio mit KI-Modul, SAP SuccessFactors, Workday Recruiter, DocuSign mit AI Insights, HubSpot mit Breeze. Diese Tools nutzen oft im Hintergrund OpenAI- oder Anthropic-Modelle, ohne dass der KMU-Kunde das auf den ersten Blick sieht. Das BSI erwartet trotzdem, dass du diese Sub-Lieferanten kennst.
Die vier Pflichten konkret
Aus Art. 21 NIS2-RL leiten sich vier konkrete Pflichten für KI-Lieferanten ab.
Pflicht 1: Risiko-Assessment pro KI-Lieferant. Du dokumentierst, welche Daten zu welchem Anbieter fließen, wie sensibel diese Daten sind und welche Sicherheitsmaßnahmen der Anbieter hat. Idealerweise auf Basis von ISO 27001, SOC 2 Type II oder ähnlichen Zertifizierungen.
Pflicht 2: Vertrags-Klauseln. SLA mit Verfügbarkeitszusage, Incident-Notification innerhalb von 24 Stunden, Audit-Rechte für den BSI im Notfall, Datenschutz-Klauseln nach Art. 28 DSGVO. Bei Standard-Anbietern wie OpenAI oder Anthropic sind diese Klauseln über die Enterprise-Verträge verfügbar, im Standard-Tarif oft nicht.
Pflicht 3: Monitoring der Anbieter-Sicherheitslage. Das heißt nicht, dass du permanent die Logs von Anthropic durchsiehst. Es heißt, dass du Newsfeeds und Status-Pages der Anbieter beobachtest, bei Sicherheitsvorfällen reagieren kannst und mindestens jährlich die Anbieter-Compliance neu bewertest.
Pflicht 4: Incident-Response. Was passiert, wenn dein LLM-Anbieter gehackt wird oder ausfällt? Hast du einen Notfall-Plan? Gibt es einen Backup-Anbieter? Können kritische Prozesse manuell weiterlaufen? Diese Fragen müssen geklärt sein, bevor der Vorfall eintritt.
Bußgeldrahmen und persönliche Haftung
Der Bußgeldrahmen ist deutlich. Für wesentliche Einrichtungen drohen bis zu 10 Mio EUR oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist. Für wichtige Einrichtungen liegt die Grenze bei 7 Mio EUR oder 1,4 Prozent des Jahresumsatzes.
Härter trifft die Geschäftsführer-Haftung. Nach § 38 NIS2UmsuCG haften die Leitungsorgane persönlich, wenn sie ihre Aufsichtspflichten verletzen. Das ist eine deutliche Verschärfung gegenüber dem alten BSI-Gesetz. Wer als Geschäftsführer NIS2-Pflichten nicht ernst nimmt, riskiert nicht nur ein Bußgeld gegen die GmbH, sondern auch persönliche zivilrechtliche und teils strafrechtliche Konsequenzen.
Das BSI plant erste Audits ab Q3/Q4 2026 bei wesentlichen Einrichtungen. Wichtige Einrichtungen werden vermutlich erst ab 2027 systematisch geprüft, aber das ist keine Garantie. Wer eine Beschwerde von einem Kunden oder Wettbewerber bekommt, kann auch früher in den Fokus des BSI geraten.
Praxis: Bauwerkstoff Heller GmbH in Würzburg
Ein anonymisiertes Beispiel aus der Praxis. Bauwerkstoff Heller, ein mittelständischer Produzent von Spezialzementen mit 180 Mitarbeitern in Würzburg, fällt als Lebensmittelproduktions-Zulieferer unter NIS2. Die Firma nutzt seit Mitte 2025 ChatGPT Team für interne Texte, Personio für Recruiting, einen Microsoft Copilot für Vertriebs-Mails und Azure OpenAI für ein eigenes Chatbot-Projekt.
Vor der NIS2-Compliance-Welle Mai 2026 hatte die IT-Abteilung von Heller keinen Überblick über diese Lieferantenkette. Jede Abteilung hatte ihre Tools selbst eingeführt. Im Mai 2026 setzte die Geschäftsführung einen NIS2-Beauftragten ein, der innerhalb von sechs Wochen eine Inventory erstellt hat.
Das Ergebnis war ernüchternd. Bei vier Tools fehlte der AVV nach Art. 28 DSGVO komplett oder war veraltet. Bei zwei Tools war die Datenresidenz nicht klar (USA oder EU). Bei keinem Tool gab es schriftlich vereinbarte Incident-Notification-Fristen. Audit-Rechte für das BSI standen in keinem Vertrag.
Der Aufwand für die Nachjustierung lag bei rund 80 IT-Stunden plus 40 Stunden externe Rechtsberatung. Drei Verträge mussten neu verhandelt werden, zwei Anbieter wurden gewechselt, weil die EU-Datenresidenz nicht gewährleistet war. Ergebnis: Heller ist seit August 2026 NIS2-konform und hat dabei nebenbei seine Datenschutz-Compliance auf einen Stand gebracht, der seit DSGVO 2018 überfällig war.
Was du jetzt konkret tun solltest
Wer in einem NIS2-Sektor arbeitet und mehr als 50 Mitarbeiter hat, sollte einen klaren Fahrplan haben. Der Aufwand ist überschaubar, wenn du strukturiert vorgehst, und teuer, wenn du wartest, bis das BSI nachfragt.
| Schritt | Wann | Was konkret |
|---|---|---|
| 1. Inventory aller KI-Lieferanten | bis 01.07.2026 | Liste aller Tools mit Datenfluss, Anbieter, Datenresidenz |
| 2. AVV-Check nach Art. 28 DSGVO | bis 31.07.2026 | AVV pro Anbieter vorhanden und aktuell? Wo nicht: Nachvertrag oder Wechsel |
| 3. Vertrags-Klauseln NIS2 | bis 30.09.2026 | Incident-Notification 24h, Audit-Rechte, SLA |
| 4. Risiko-Assessment | bis 31.10.2026 | Pro Anbieter dokumentierte Risiko-Einschätzung |
| 5. Incident-Response-Plan | bis 30.11.2026 | Notfall-Verfahren bei Anbieter-Ausfall |
| 6. Internes Audit | bis 31.12.2026 | Erste Selbst-Überprüfung der Konformität |
| 7. Monitoring etablieren | laufend | Newsfeed, Status-Pages, jährliche Anbieter-Bewertung |
Wer parallel auf einen ISO-42001-Audit zugeht, kann viele NIS2-Pflichten gleichzeitig abdecken. Beide Standards überschneiden sich beim Risikomanagement und bei der Lieferkette.
EU-Hosting als pragmatischer Hebel
Eine Vereinfachung wird oft übersehen. Wer KI-Anbieter mit EU-Hosting wählt, reduziert die Compliance-Komplexität deutlich.
AWS Bedrock bietet eine EU-Region (Frankfurt) mit Claude, Cohere und Mistral. Azure OpenAI Service bietet EU-Hosting in Schweden, Deutschland und Frankreich. Mistral als europäischer Anbieter hat ohnehin EU-Hosting. Die Cloud-Hyperscaler haben standardisierte AVVs, Incident-Reporting-Prozesse und die nötigen Compliance-Zertifizierungen.
Wer dagegen direkt auf OpenAI über api.openai.com geht oder Claude über Anthropics Standard-Endpoint, hat US-Hosting und muss die Compliance-Lücken selbst schließen. Das ist machbar, aber aufwendiger.
Für KMU im NIS2-Anwendungsbereich ist EU-Hosting bei Standard-Anbietern oft der einfachere Weg, auch wenn er etwas teurer ist. Die paar Cent mehr pro 1.000 Tokens sind günstiger als die Compliance-Beratung für einen US-basierten Anbieter.
Was wir in der Praxis sehen
Wir sehen regelmäßig drei Muster bei NIS2-Beratungen. Erstens: Geschäftsführer unterschätzen die persönliche Haftung. § 38 NIS2UmsuCG ist neu und scharf. Wer das nicht ernst nimmt, riskiert nicht nur Bußgelder, sondern auch zivilrechtliche Folgen.
Zweitens: IT-Abteilungen wissen oft nicht, welche KI-Tools im Unternehmen laufen. Marketing hat ChatGPT, HR hat Personio, Vertrieb hat einen Copilot, irgendwer testet Perplexity. Ohne KI-Inventory bist du blind. Und ohne Inventory keine NIS2-Konformität.
Drittens: Verträge mit Standard-Tarifen reichen oft nicht aus. Wer ChatGPT Plus zum Privatpreis nutzt, hat keinen AVV. Wer Anthropic Claude Pro nutzt, hat ebenfalls keinen AVV. Erst ab Team-Tarif oder Enterprise gibt es die nötigen Vertragsbestandteile. Wer NIS2-konform sein will, muss in den richtigen Tarif wechseln.
Wer das systematisch lernen und im eigenen Unternehmen umsetzen will, findet im Digitalisierungsmanager den passenden Rahmen. Vier Monate, komplett online, mit Bildungsgutschein 0 Euro. Module zu KI-Governance, Datenschutz und Compliance decken NIS2-Lieferantenmanagement explizit ab.
Häufige Fragen
Wer fällt unter NIS2 und muss Lieferanten-Pflichten erfüllen?
Wesentliche und wichtige Einrichtungen ab 50 Mitarbeitern und 10 Mio EUR Umsatz in 18 Sektoren. Dazu gehören Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung, Postdienste, Lebensmittel und mehr. Wer unsicher ist, sollte den Selbst-Check im BSI-Portal nutzen, das seit 06.01.2026 offen ist. Kleine Unternehmen unter den Schwellen sind nicht direkt betroffen, aber oft als Zulieferer indirekt.
Welche Pflichten gelten konkret für KI-Anbieter als Lieferanten?
Nach Art. 21 NIS2-RL sind vier Pflichten relevant: Risiko-Assessment pro Anbieter, vertragliche Klauseln (Incident-Notification, Audit-Rechte, SLA), kontinuierliches Monitoring der Anbieter-Sicherheitslage und ein Incident-Response-Plan für Anbieter-Ausfälle. Diese Pflichten gelten für jeden KI-Lieferanten, also LLM-Anbieter, Cloud-Hoster und KI-Tools mit Drittanbieter-Modellen.
Welche Bußgelder drohen bei Verstößen?
Für wesentliche Einrichtungen bis zu 10 Mio EUR oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist. Für wichtige Einrichtungen bis zu 7 Mio EUR oder 1,4 Prozent. Dazu kommt die persönliche Haftung der Geschäftsführer nach § 38 NIS2UmsuCG. Das BSI plant erste systematische Audits ab Q3 oder Q4 2026 bei wesentlichen Einrichtungen.
Reicht es, EU-Hosting bei den KI-Anbietern zu wählen?
EU-Hosting reduziert die Compliance-Komplexität deutlich, ersetzt aber nicht alle Pflichten. AWS Bedrock EU, Azure OpenAI EU oder Mistral mit EU-Datenresidenz lösen die Datentransfer-Frage und liefern standardisierte AVVs. Du brauchst trotzdem ein Risiko-Assessment, vertragliche Klauseln zu Incident-Notification und einen Notfall-Plan. EU-Hosting ist ein wichtiger Baustein, aber nicht die ganze Compliance.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
Bereit für den nächsten Schritt? Wenn du KI im Geschäftsalltag systematisch und compliance-konform einsetzen willst, schau dir den Digitalisierungsmanager an. Vier Monate, komplett online, mit Bildungsgutschein 0 Euro. NIS2, DSGVO und KI-VO sind feste Bestandteile des Curriculums.
Zuletzt geprüft am 25. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.