Kurzfassung
Der erste NIS2-Prüfmoment kommt für viele KMU nicht von der Behörde, sondern vom Kunden. Was zählt, ist eine geordnete Antwort auf genau diese Anfrage — Scope, Nachweise, Freigabe und kundenfähiger Bericht.
Kundenprüfung
Warum Kunden jetzt NIS2-Nachweise fordern
NIS2-betroffene Unternehmen müssen ihre Lieferkette, Dienstleister und sicherheitsrelevanten Abhängigkeiten bewerten. Diese Anforderung wird wirtschaftlich an Zulieferer, Dienstleister, MSPs, Cloudpartner, Wartungsdienstleister und sonstige Auftragnehmer weitergereicht.
Kunden wollen vor Vertragsabschluss, Verlängerung oder Audit wissen, ob ein Lieferant sicherheitsrelevante Anforderungen nachvollziehbar beantworten kann. Gefragt wird dann nicht nach einer abstrakten Gesetzeskenntnis, sondern nach konkreten Antworten zu Leistung, Meldeweg, Zugriff, Wiederanlauf, Ausnahmen oder offenen Punkten.
Typische Auslöser
Sicherheitsfragebogen eines Kunden, Lieferantenportal oder Supplier Assessment, Ausschreibung oder Vergabeprozess, Vertragsverlängerung, Nachweisaktualisierung im Bestandsgeschäft oder Incident- und Meldeweg-Nachfrage.
Nachweise
Welche Nachweise typischerweise gefragt sind
| Kundenfrage | Typischer Nachweis | Arbeitsstand / Vorlage |
|---|---|---|
| Wie melden Sie Sicherheitsvorfälle? | Meldeweg / Incident-Prozess | IRP-01 / FRM-01 |
| Wie führen Sie offene Ausnahmen? | Ausnahmeregister | EXC-01 |
| Wie steuern Sie Lieferanten? | Lieferantenstatus / Statuspass | SUP-01 |
| Wie weisen Sie Nachweise zu? | Nachweisregister | EVID-02 |
| Wie gehen Sie mit Wiederanlauf um? | Wiederanlauf-Arbeitsstand | IRP-01 |
| Wie dokumentieren Sie Geschäftsführungsbefassung? | Kenntnisnahme der Geschäftsführung | GOV-01 |
| Wie beantworten Sie die konkrete Anfrage? | Kunden-Nachweisübersicht | CUST-02 |
| Wie steuern Sie die Anfrage intern? | Kunden-Nachweisregister | CUST-01 |
Wenn der Kunde nach Meldewegen oder Vorfallkommunikation fragt, hilft die operative Einordnung zur Meldebewertung nach IT-Störung.
Wichtiger Unterschied
CUST-01 ist intern. CUST-02 ist die kundenfähige Fassung nach Freigabe.
Kundenfähigkeit
Nicht jeder Nachweis gehört in die Kundenfassung
Kundenfähig
freigegebene Prozessbeschreibung
aggregierter Lieferantenstatus
Meldeweg und Ansprechpartner
Maßnahmenübersicht ohne technische Details
offene Punkte mit Owner und Frist, soweit freigegeben
Kunden-Nachweisbericht
Intern oder nur aggregiert
vollständige Schwachstellenlisten
interne IP- oder Systemdetails
vollständige Risikoregister
interne Geschäftsführungsbewertungen
personenbezogene Daten
nicht abgeschlossene Incident-Details oder ungeprüfte Ausnahmen
Grundsatz
Kundenfähig ist ein Nachweis erst nach fachlicher Freigabe. Ein vorhandener Nachweis ist nicht automatisch ein extern verwendbarer Nachweis. Eine gute Kundenantwort zeigt Auskunftsfähigkeit, ohne unnötig interne Angriffsflächen, vertrauliche Details oder unfertige Vorgänge offenzulegen.
Arbeitsreihenfolge
Arbeitsreihenfolge: Kundenprüfung vorbereiten
Schritt 1
Anfrage erfassen
Wer fragt, bis wann, in welchem Format und mit welchem Anlass: Kunde, Einkauf, Konzern, Ausschreibung, Vertragsverlängerung oder Incident-Nachfrage.
Schritt 2
Scope festlegen
Welche Leistung, Systeme, Daten, Standorte oder Kundenschnittstellen von der Anfrage betroffen sind.
Schritt 3
Anforderungen zerlegen
Welche Einzelanforderungen, Nachweise und Aussagen der Kunde konkret verlangt.
Schritt 4
Nachweise zuordnen
Welche Nachweise bereits vorliegen, welche fehlen und welche über EVID-02, SUP-01 oder EXC-01 ergänzt werden müssen.
Schritt 5
Kundenfähigkeit und Freigabe prüfen
Was extern verwendet werden darf, was aggregiert bleiben muss und wer die Freigabe erteilt.
Schritt 6
Bericht erstellen und offene Punkte führen
Kundenfähige Nachweisübersicht erzeugen, offene Punkte mit Owner und Frist markieren und Versandstatus mit Nachweisquelle dokumentieren.
Ergebnis
Was am Ende vorliegt
Anfrage und Scope
Kundenanlass, betroffene Leistung, Fristen und Einzelanforderungen sind in einer geführten Struktur erfasst.
Nachweise und offene Punkte
Zugeordnete Nachweise, fehlende Punkte, Owner und Fristen sind für die Antwort klar markiert.
Freigabe und Ablage
Kundenfähige Fassung, Versandstatus und Verweis auf interne Nachweisquellen bleiben nachvollziehbar dokumentiert.
Klarstellung
Der Bericht ersetzt keine Zertifizierung und keine Rechtsberatung. Er hilft, eine konkrete Kundenanfrage strukturiert, nachvollziehbar und freigegeben zu beantworten.
Arbeitsstrecke
Vorlagen für diese Prüfsituation
1 · SCOPE-01
Leistung abgrenzen
Betroffene Leistung und Abgrenzung klären.
2 · CUST-01
Anfrage intern führen
Kundenanfrage, Einzelanforderungen und Fristen steuern.
3 · EVID-02
Nachweise zuordnen
Passende Nachweise und Quellen zusammenführen.
4 · SUP-01
Lieferantenstatus darstellen
Dienstleisterbezug und Statuspass ergänzen.
5 · EXC-01
Ausnahmen prüfen
Offene Ausnahmen prüfen, falls die Kundenfrage betroffen ist.
6 · CUST-02
Kundenbericht erzeugen
Kundenfähige Nachweisübersicht erstellen.
7 · GOV-01
Geschäftsführung befassen
Bei geschäftlicher Relevanz Kenntnisnahme und Entscheidung dokumentieren.
Häufige Fragen
Zuerst Scope und Frist klären, dann Einzelanforderungen erfassen, vorhandene Nachweise zuordnen, Kundenfähigkeit prüfen und eine freigegebene Nachweisübersicht erstellen.
Nicht jeder Zulieferer ist direkt NIS2-betroffen. Kunden können aber Nachweise verlangen, wenn die Leistung für ihre Lieferkette, IT-Sicherheit oder Betriebsfähigkeit relevant ist.
Nur freigegebene und kundenfähige Nachweise: Prozessbeschreibungen, Meldewege, aggregierte Statusübersichten, Maßnahmenstände oder Kunden-Nachweisberichte. Interne Register und technische Detailnachweise sollten nicht ungeprüft weitergegeben werden.
Ein Nachweis ist eine einzelne Quelle, zum Beispiel ein Register, ein Protokoll, eine Prozessbeschreibung oder ein Arbeitsstand. Der Kunden-Nachweisbericht fasst für eine konkrete Anfrage nur die relevanten und freigegebenen Nachweise zusammen — mit Scope, offenen Punkten, Ownern, Fristen und Versandstatus.
Wenn die Kundenanforderung wesentliche Zusagen, offene Ausnahmen, Vertragsrisiken, Lieferfähigkeit oder erhebliche geschäftliche Wirkung berührt.
Weiterführende Seiten
Nächster Schritt
Kundenprüfung vorbereiten
Geführte Arbeitsreihenfolge mit Scope, Nachweiszuordnung, Freigabe und Kundenbericht.
390 € · einmalig · 8 Schritte · 8 Vorlagen