Stellen Sie sich vor: Sie sind IT-Leiter eines mittelständischen Maschinenbauers mit 800 Mitarbeitenden. Die NIS2-Registrierung beim BSI haben Sie fristgerecht am 6. März abgeschlossen – als eines von nur 11.500 Unternehmen, die das geschafft haben. Ihr Geschäftsführer hat Ihnen auf dem Flur anerkennend auf die Schulter geklopft. Compliance erledigt, Haken dran. Oder?
Drei Wochen später sitzt ein externer Auditor in Ihrem Besprechungsraum und stellt eine Frage, die Ihnen den Schweiß auf die Stirn treibt: „Können Sie mir Ihre dokumentierte Risikoanalyse für Ihre 47 SaaS-Dienstleister vorlegen?" 47 Dienstleister? Sie dachten, es wären vielleicht zehn. Salesforce für den Vertrieb, Microsoft 365 für die Kommunikation, ein paar Projektmanagement-Tools. Doch die tatsächliche Zahl ist fast fünfmal so hoch – und für keinen einzigen dieser Anbieter liegt eine formelle Sicherheitsbewertung vor.
Diese Geschichte ist fiktiv. Aber sie spielt sich in Variationen gerade in Tausenden deutschen Unternehmen ab. Denn die größte Compliance-Lücke im NIS2-Kontext ist nicht die eigene Infrastruktur – es ist der SaaS-Stack.
Die regulatorische Ausgangslage: Was NIS2 von Ihnen verlangt
Das NIS2-Umsetzungsgesetz, im Dezember 2025 verkündet und seit Anfang 2026 wirksam, geht in seinen Anforderungen an die Lieferkettensicherheit deutlich weiter als sein Vorgänger. Artikel 21 der zugrundeliegenden EU-Richtlinie verlangt explizit die Absicherung der gesamten Lieferkette – einschließlich aller sicherheitsrelevanten Aspekte in den Beziehungen zwischen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.
Im Klartext: Jeder SaaS-Dienst, den Ihr Unternehmen nutzt, ist Teil Ihrer Lieferkette. Und für die Sicherheit dieser Lieferkette haftet unter NIS2 die Geschäftsführung persönlich. Das ist keine theoretische Spitzfindigkeit – es ist eine konkrete, bußgeldbewehrte Pflicht. Die Sanktionen können bei wesentlichen Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen.
Was viele Unternehmen dabei übersehen: NIS2 ist keine reine Umsetzungsaufgabe. Es ist eine Nachweisaufgabe. Es reicht nicht aus, dass Ihr SaaS-Anbieter sicher ist – Sie müssen dokumentieren können, dass Sie das systematisch geprüft haben, welche Risiken bestehen und welche Maßnahmen Sie ergriffen haben.
User Story: Wie die Webertech GmbH ihren SaaS-Blindflug beendete
Die Webertech GmbH (Name geändert) ist ein Zulieferer für die Automobilindustrie mit Sitz in Baden-Württemberg, 650 Mitarbeitende, Jahresumsatz knapp 120 Millionen Euro. Als Unternehmen im verarbeitenden Gewerbe fällt Webertech unter die NIS2-Regulierung als wichtige Einrichtung. IT-Leiter Markus Weber (Name geändert) hatte die BSI-Registrierung termingerecht abgeschlossen und bereits ein ISMS nach ISO 27001 als Basis implementiert.
Doch als sein Team im Februar 2026 begann, die Lieferkettensicherheit gemäß NIS2 systematisch aufzuarbeiten, wurde das Ausmaß des Problems sichtbar. Der erste Schritt war eine vollständige SaaS-Inventarisierung. Weber beauftragte seine IT-Abteilung, sämtliche Cloud-Dienste zu erfassen, die im Unternehmen genutzt werden – nicht nur die offiziell freigegebenen, sondern auch die, die Fachabteilungen eigenständig eingeführt hatten.
Das Ergebnis war ernüchternd: 63 SaaS-Anwendungen waren im aktiven Einsatz. Davon hatte die IT-Abteilung nur 22 auf dem Radar. Die restlichen 41 waren über Kreditkartenzahlungen einzelner Abteilungsleiter beschafft worden – von Designtools über Umfrageplatformen bis hin zu einem KI-basierten Übersetzungsdienst, über den regelmäßig vertrauliche technische Dokumentationen verarbeitet wurden.
Schritt 1: Vom Wildwuchs zum kontrollierten Inventar
Weber und sein Team erstellten zunächst ein SaaS-Register, das für jeden Dienst festhielt: Welche Daten werden verarbeitet? Wo werden sie gespeichert? Wer ist intern verantwortlich? Welcher Vertrag liegt zugrunde? Welche Sicherheitszertifizierungen hat der Anbieter? Die Erstellung dieses Registers dauerte drei Wochen – drei Wochen, in denen das Team feststellte, dass bei 28 der 63 Dienste kein schriftlicher Vertrag mit Sicherheitsklauseln existierte. Die Anbieter hatten lediglich ihre Standard-AGB, die in vielen Fällen nicht einmal eine Auftragsverarbeitungsvereinbarung nach DSGVO enthielten.
Schritt 2: Risikoklassifizierung nach Datenexposition
Nicht jeder SaaS-Dienst stellt das gleiche Risiko dar. Weber führte eine dreistufige Klassifizierung ein: Dienste mit Zugang zu personenbezogenen Daten oder Geschäftsgeheimnissen erhielten die höchste Risikostufe. Dienste, die nur unkritische Daten verarbeiteten, die niedrigste. Das Ergebnis: 17 Dienste fielen in die höchste Kategorie – darunter das CRM-System, die Kommunikationsplattform, das Projektmanagement-Tool und der erwähnte Übersetzungsdienst.
Schritt 3: Lieferantenbewertung und Vertragsanpassung
Für die 17 hochkritischen Dienste entwickelte Weber einen standardisierten Fragebogen, der die NIS2-Anforderungen in konkrete Prüfpunkte übersetzte: Verfügt der Anbieter über ein zertifiziertes ISMS? Wie sieht sein Incident-Response-Prozess aus? Gibt es Penetrationstests? Wo werden Daten gespeichert und verarbeitet? Wie erfolgt die Mandantentrennung? Was passiert bei einer Insolvenz des Anbieters mit den Daten?
Von den 17 Anbietern konnten 11 die Fragen innerhalb von zwei Wochen beantworten. Drei benötigten Nachfassaktionen. Drei reagierten gar nicht – ein klares Warnsignal, das Weber in seiner Risikodokumentation festhielt und das letztlich dazu führte, dass für zwei dieser Dienste Alternativen evaluiert wurden.
Schritt 4: Prozesse für die Zukunft
Der entscheidende Schritt war nicht die einmalige Bestandsaufnahme, sondern die Etablierung dauerhafter Prozesse: Jede neue SaaS-Beschaffung muss nun einen definierten Freigabeprozess durchlaufen. Quartalsweise prüft das IT-Team den Netzwerkverkehr auf unbekannte Cloud-Dienste. Jährlich werden die Sicherheitsbewertungen der hochkritischen Anbieter aktualisiert. Die Geschäftsführung erhält halbjährlich einen Report zum Lieferketten-Risikostatus.
Weber schätzt den Gesamtaufwand für das initiale Projekt auf rund 400 Personenstunden – verteilt auf IT-Abteilung, Einkauf, Rechtsabteilung und Fachabteilungen. Keine Kleinigkeit für ein Unternehmen dieser Größe. Aber deutlich günstiger als ein NIS2-Bußgeld oder – schlimmer – ein erfolgreicher Angriff über einen kompromittierten SaaS-Anbieter.
Die technische Dimension: Warum SaaS-Sicherheit so schwer zu greifen ist
Im Gegensatz zu On-Premises-Software, über die das Unternehmen volle Kontrolle hat, ist ein SaaS-Dienst eine Black Box. Sie sehen die Oberfläche, aber nicht den Code, nicht die Infrastruktur, nicht die internen Sicherheitsprozesse des Anbieters. Das macht die Risikobeurteilung grundsätzlich schwieriger als bei selbst betriebener Software.
Hinzu kommt das Problem der Schatten-IT. In den meisten Unternehmen nutzen Fachabteilungen SaaS-Dienste, von denen die IT-Abteilung nichts weiß. Eine Studie des Fraunhofer-Instituts zeigt, dass in mittelständischen Unternehmen im Schnitt doppelt so viele Cloud-Dienste im Einsatz sind, wie die IT-Abteilung offiziell kennt. Jeder unbekannte Dienst ist ein unmanaged Risk – und ein potenzieller NIS2-Verstoß.
Besonders kritisch wird es bei SaaS-Anbietern, die ihrerseits auf Subunternehmer und Cloud-Infrastrukturen setzen. Ihr CRM-Anbieter hostet vielleicht auf AWS, nutzt einen Drittanbieter für E-Mail-Zustellung und einen weiteren für Zahlungsabwicklung. Diese Kette von Abhängigkeiten – die sogenannte n-te-Partei-Risikoebene – ist unter NIS2 ebenfalls relevant, in der Praxis aber kaum vollständig zu durchleuchten.
Der Elefant im Raum: Was passiert bei einem SaaS-Sicherheitsvorfall?
Unter NIS2 sind Unternehmen verpflichtet, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden als Frühwarnung und innerhalb von 72 Stunden als vollständige Meldung an das BSI zu übermitteln. Doch was passiert, wenn der Vorfall nicht in Ihrer eigenen Infrastruktur stattfindet, sondern bei Ihrem SaaS-Anbieter?
In der Praxis stehen Unternehmen hier vor einem Dilemma: Sie sind meldepflichtig, haben aber möglicherweise keine oder nur unzureichende Informationen darüber, was beim Anbieter genau passiert ist, welche Daten betroffen sind und welches Ausmaß der Vorfall hat. Die Kommunikation des Anbieters kommt oft verspätet, ist vage formuliert und juristisch weichgespült.
Die Lösung liegt in der vertraglichen Absicherung: Service Level Agreements müssen klare Regelungen zu Incident-Notification-Zeiten enthalten. Idealerweise verpflichtet sich der Anbieter, das nutzende Unternehmen innerhalb von zwölf Stunden nach Bekanntwerden eines Vorfalls zu informieren – also deutlich vor Ablauf der eigenen Meldefrist. Ohne solche Vereinbarungen fahren Sie blind.
Praktischer Leitfaden: NIS2-konforme SaaS-Governance in sieben Schritten
Basierend auf den Erfahrungen von Unternehmen wie der Webertech GmbH und den Anforderungen des NIS2-Umsetzungsgesetzes lässt sich ein pragmatischer Ansatz ableiten:
1. Vollständiges SaaS-Inventar erstellen: Nutzen Sie Netzwerk-Monitoring, Firewall-Logs und Finanzberichte (Kreditkartenabrechnungen, Rechnungseingänge), um alle genutzten Cloud-Dienste zu identifizieren. Automatisierte SaaS-Management-Plattformen können diesen Prozess beschleunigen.
2. Datenflussanalyse durchführen: Für jeden identifizierten Dienst dokumentieren Sie: Welche Daten fließen hinein? Welche Datenklassen sind betroffen (personenbezogen, geschäftskritisch, reguliert)? Wo werden die Daten gespeichert und verarbeitet?
3. Risikoklassifizierung vornehmen: Bewerten Sie jeden Dienst anhand der verarbeiteten Daten, der Abhängigkeit Ihres Geschäftsbetriebs und der Exposition gegenüber externen Bedrohungen. Konzentrieren Sie Ihre Ressourcen auf die Dienste mit dem höchsten Risiko.
4. Lieferantenbewertung standardisieren: Entwickeln Sie einen Fragebogen, der die relevanten NIS2-Anforderungen abdeckt: ISMS-Zertifizierung, Incident-Response-Prozesse, Penetrationstests, Datenhaltung, Verschlüsselung, Zugangskontrollen, Business Continuity. Fordern Sie Nachweise ein – nicht nur Selbstauskünfte.
5. Verträge überarbeiten: Integrieren Sie Sicherheitsanforderungen in bestehende Verträge oder verhandeln Sie neue. Achten Sie besonders auf Incident-Notification-Klauseln, Audit-Rechte, Datenportabilität und Exit-Strategien. Ihr Compliance-Management sollte diese Vertragsanpassungen systematisch verfolgen.
6. Monitoring etablieren: Überwachen Sie den Sicherheitsstatus Ihrer kritischen SaaS-Anbieter kontinuierlich. Nutzen Sie Security-Rating-Dienste, verfolgen Sie CVE-Meldungen zu eingesetzten Produkten und werten Sie Sicherheitsberichte der Anbieter regelmäßig aus.
7. Governance-Prozess verankern: Definieren Sie einen verbindlichen Prozess für die Beschaffung neuer SaaS-Dienste, der eine Sicherheitsbewertung vor der Freigabe vorsieht. Stellen Sie sicher, dass die Geschäftsführung regelmäßig über den Status der Lieferketten-Compliance informiert wird – schließlich trägt sie die persönliche Verantwortung.
Breitere Einordnung: Das SaaS-Lieferkettenproblem ist ein Strukturproblem
Die Herausforderung, die NIS2 hier offenlegt, ist nicht neu – aber sie wird jetzt erstmals regulatorisch sanktioniert. Deutsche Unternehmen haben in den vergangenen Jahren massiv in SaaS-Lösungen investiert, um ihre Digitalisierung voranzutreiben. Die durchschnittliche Anzahl genutzter SaaS-Anwendungen in mittelständischen Unternehmen ist in den letzten fünf Jahren um über 300 Prozent gestiegen.
Diese Entwicklung wurde von einer Kultur des Pragmatismus über Governance begleitet: Was funktioniert, wird eingeführt. Was produktiv macht, wird bezahlt. Die Sicherheitsbewertung kam – wenn überhaupt – nachgelagert. Dieses Modell stößt unter NIS2 an seine Grenzen. Unternehmen müssen den Übergang von reaktiver zu proaktiver SaaS-Governance schaffen, ohne dabei die Agilität und Innovationsfähigkeit zu verlieren, die SaaS-Lösungen überhaupt erst attraktiv gemacht hat.
Die gute Nachricht: Wer jetzt investiert, schafft nicht nur regulatorische Konformität, sondern auch echte Sicherheit. Denn die Bedrohung durch kompromittierte Lieferanten ist real. Der aktuelle Cyber Security Report 2026 zeigt, dass Lieferketten-Angriffe mittlerweile zu den häufigsten Angriffsvektoren in deutschen Unternehmen gehören. Jedes fünfte Unternehmen war in den letzten zwölf Monaten von einem Sicherheitsvorfall betroffen, der seinen Ursprung bei einem Drittanbieter hatte.
Ausblick: Was als Nächstes kommt
Die Regulierungswelle rund um Lieferkettensicherheit hat gerade erst begonnen. Neben NIS2 stellen auch der Cyber Resilience Act (CRA), der bis September 2026 umgesetzt werden muss, und DORA für den Finanzsektor vergleichbare Anforderungen an die Absicherung von Drittanbieterbeziehungen. Wer jetzt eine solide SaaS-Governance aufbaut, hat bei der Erfüllung zukünftiger Regulierungen bereits einen erheblichen Vorsprung.
Gleichzeitig entwickelt sich der Markt für SaaS Security Posture Management (SSPM) und Third-Party Risk Management rasant weiter. Automatisierte Plattformen können die Lieferantenbewertung erheblich beschleunigen und den manuellen Aufwand reduzieren. Für mittelständische Unternehmen, die keine dedizierte Risk-Management-Abteilung haben, können solche Tools den Unterschied zwischen Compliance und Überforderung ausmachen.
Die BSI-Registrierung war der erste Schritt. Die tatsächliche NIS2-Compliance – mit Lieferkettensicherheit, dokumentierten Risikobewertungen und gelebten Prozessen – ist der Marathon, der jetzt beginnt. Unternehmen, die diesen Marathon unterschätzen, riskieren nicht nur Bußgelder, sondern setzen ihre gesamte digitale Wertschöpfungskette aufs Spiel.
Sie möchten Ihre SaaS-Lieferkette NIS2-konform absichern und wissen nicht, wo Sie anfangen sollen? Unsere Experten bei pleXtec unterstützen Sie von der Bestandsaufnahme über die Risikoklassifizierung bis zur Implementierung nachhaltiger Governance-Prozesse. Wir verbinden technische Expertise mit regulatorischem Know-how – pragmatisch, mittelstandstauglich und auf den Punkt.