NIS2 für KEP-Dienstleister und Logistik-Subunternehmer
NIS2-Anforderungen für Subunternehmer – was verlangt wird
In der Praxis entsteht Druck oft nicht durch das Gesetz allein, sondern durch Ausschreibung, Einkauf und laufende Kundenanforderungen. Entscheidend ist, welche Nachweise und Pflichten beim eigenen Unternehmen bleiben.
Auf Kundenanforderung reagierenNIS2 Nachweis liefernLieferkettenpflichten erfüllenStatus dokumentieren
KMU-Kontext
99%
der Unternehmen in der EU sind Mikro- und Kleinunternehmen. Genau deshalb entsteht NIS2-Druck in der Praxis oft über Kunden und Lieferketten.
Quelle: Eurostat
Die Besonderheit im Logistiksektor
IT vom Auftraggeber ≠ keine eigene NIS2-Pflicht.
Viele KEP-Subunternehmer nutzen Scanner, Routingsysteme und Depot-Software, die DHL, Hermes oder Amazon bereitstellen. Das macht das eigene Unternehmen nicht zum Passagier — wer als eigenständige Einrichtung mit 50+ Mitarbeitenden im Post-/Kuriersektor tätig ist, hat eigene Registrierungs-, Melde- und Dokumentationspflichten. Auch wenn die Teilzeitkräfte Saisonal variieren.
Strategische Einordnung
Kunden fragen meist nicht nach Meinung, sondern nach Nachweisen.
Viele Unternehmen reagieren zunächst einzeln auf Fragebögen, Registrierungsfragen oder Sicherheitsabfragen. Das hilft kurzfristig. Belastbar wird die Lage erst, wenn Lieferfähigkeit, Nachweisfähigkeit und Zuständigkeiten in einer sauberen Linie zusammenlaufen. Genau darauf ist der NIS2-Arbeitsplatz ausgelegt.
Kurzantwort für KEP-Subunternehmer
Post- und Kurierdienste sind in NIS2 Anhang II gelistet — das schließt Subunternehmer ein, die eigenständig operieren.
Die 50-Mitarbeitenden-Schwelle gilt für das eigene Unternehmen — Saisonkräfte und Teilzeit werden anteilig gezählt.
Die BSI-Registrierungsfrist war der 6. März 2026. Die Registrierung kann weiterhin nachgeholt werden.
Die Haftung nach §38 BSIG trifft die Geschäftsführung des eigenen Unternehmens — nicht den Auftraggeber.
Was zählt: die eigene Einrichtung ist verantwortlich — nicht DHL, nicht Hermes, nicht Amazon.
Drei Punkte, die viele KEP-Unternehmen unterschätzen
Die IT kommt vom Auftraggeber — aber wer haftet?Scannersysteme, Routing-Apps und Depot-Software vom Auftraggeber sind dessen IT. Aber: eigene E-Mails, Buchhaltungssysteme, Personalverwaltung und Fahrzeugtracking sind die eigene IT-Infrastruktur. Für die haftet der Geschäftsführer des eigenen Unternehmens.
Saisonal 80 Fahrer, im Januar 30 — wie zählt man?NIS2 rechnet mit Vollzeitäquivalenten (VZÄ). Wer dauerhaft 50+ VZÄ beschäftigt oder absehbar überschreitet, sollte die Schwelle als erreicht behandeln. Im Zweifel: dokumentiert prüfen und festhalten.
Vertragsanforderungen kommen — auch ohne direkte GesetzesdiskussionDHL, Amazon und andere Auftraggeber beginnen, IT-Sicherheitsnachweise als Ausschreibungsbedingung zu verlangen. Wer hier nichts Vorzeigbares hat, verliert später Zeit, Aufträge oder beides.
Was konkret zu tun ist — in dieser Reihenfolge
1. Eigene Mitarbeiterzahl und IT-Infrastruktur inventarisierenWie viele Vollzeitäquivalente? Welche eigenen Systeme (nicht vom Auftraggeber) sind im Einsatz? Das ist die Grundlage für die Betroffenheitsbewertung.
2. Betroffenheit dokumentiert entscheidenJa oder Nein — mit Begründung, Datum und GF-Unterschrift. Diese eine Seite schützt vor späteren Vorwürfen der Fahrlässigkeit.
3. BSI-Registrierung nachholenÜber das BSI-Portal. Dauert 20–30 Minuten. Pflichtangaben: Unternehmensadresse, Sektorzuordnung (Post/Kurier, Anhang II), Ansprechpartner für IT-Sicherheit.
4. Minimale Sicherheitsstruktur aufbauenWer ist zuständig für IT-Sicherheitsvorfälle? Welche Systeme sind kritisch? Wo werden Passwörter verwaltet? Das muss schriftlich existieren.
5. Vertragsanforderungen der Auftraggeber antizipierenPrüfen Sie bestehende Verträge mit DHL, Hermes, Amazon & Co. auf IT-Sicherheitsklauseln. Diese werden in Neuverhandlungen häufiger und verbindlicher.
Typische Situation im KEP-Sektor
Scanner und Routing kommen vom Auftraggeber — eigene IT-Dokumentation fehlt vollständig
Kein dedizierter Ansprechpartner für IT-Sicherheit — „das macht mein Handy-Anbieter“
Mitarbeiterzahl schwankt saisonal — NIS2-Schwelle wurde nie geprüft
GF weiß nicht, dass er persönlich haftet — auch wenn die IT outgesourct ist
Was NIS2 konkret bedeutet
Für einen KEP-Subunternehmer mit 70 Fahrern und eigenem Depot ist NIS2 kein Thema für den IT-Dienstleister — es ist ein Thema für die Geschäftsführung.
Diese Seite zeigt die Vorbereitung. Die eigentliche Strukturarbeit beginnt danach: Zuständigkeiten, Nachweise und Kundenanforderungen im Arbeitsplatz zusammenzuführen.
Häufige Fragen aus der KEP-Branche
Wir sind nur Sub-Sub-Unternehmer von Hermes — gilt NIS2 trotzdem?
Ja, wenn Ihr Unternehmen eigenständig im Post- oder Kuriersektor tätig ist und die Größenschwelle überschreitet. Die Vertragsstruktur ändert nichts an der eigenen gesetzlichen Pflicht.
Unsere IT macht komplett DHL — was müssen wir trotzdem tun?
Eigene Systeme dokumentieren, Betroffenheit prüfen und festhalten, Ansprechpartner für IT-Sicherheit benennen, BSI-Registrierung vornehmen. Das gilt auch wenn DHL 80% der operativen IT stellt.
Wann müssen wir uns beim BSI registriert haben?
Die Frist war der 6. März 2026. Die Registrierung kann weiterhin nachgeholt werden und sollte nicht weiter offen bleiben. Untätigkeit ist die schlechteste Option.
Was passiert wenn wir aufgrund von Saisonkräften über 50 kommen?
Prüfen Sie die VZÄ-Berechnung. Wenn Sie regelmäßig über 50 VZÄ kommen, sollten Sie die Schwelle als dauerhaft überschritten behandeln und entsprechend dokumentieren.
NIS2 adressiert 18 Sektoren und zieht Lieferkettenanforderungen in die Fläche.
Quelle: EU-Kommission · NIS2 Directive
Wenn Sie Nachweise dauerhaft strukturiert führen möchten
Kurze Einordnung für Logistik-Unternehmen
Optional: Wenn Sie Kundenanforderungen, Zuständigkeiten und Nachweise dauerhaft zusammenführen möchten, können Sie hier Ihren Einstieg vorbereiten.
Frage 1 von 5
Scoping · Logistik / KEP
Wie ist Ihr Unternehmen im Logistiksektor aufgestellt?
Das entscheidet, wie direkt NIS2 greift und welches Startprofil passt.
Scoping
Wie viele Mitarbeitende hat Ihr Unternehmen — in Vollzeitäquivalenten?
Saisonkräfte und Teilzeitfahrer werden anteilig gezählt. Entscheidend ist der Jahresdurchschnitt.
Scoping
Trifft einer dieser Punkte zu?
Diese Situationen können NIS2-Relevanz unabhängig von der Größe erzeugen.
Scoping
Fordern Ihre Auftraggeber bereits IT-Sicherheitsnachweise?
Große KEP-Dienste und eCommerce-Plattformen beginnen, Sicherheitsanforderungen in Verträge aufzunehmen.
Scoping
Sind Sie Teil einer Unternehmensgruppe oder eines Franchisesystems?
Gruppenzugehörigkeit kann Compliance-Anforderungen konzernweit bündeln oder verschärfen.