Comply/CheckScope prüfen

NIS2 · Branchenüberblick

Wie betrifft NIS2 die IT-Dienstleister-Branche?

Hosting-Anbieter, Managed-Service-Provider, Cloud-Anbieter und IT-Support-Firmen sind in Anhang I als „digitale Anbieter“ gelistet. Im Gegensatz zu anderen Sektoren entfällt hier die Schwellen-Hürde teilweise — bestimmte Anbieter sind ab dem ersten Mitarbeitenden pflichtig.

NIS2-Check für IT-Dienstleister startenStand: Geprüft gegen NIS2UmsuCG-EntwurfQuelle

Welche IT-Dienstleister-Unternehmen sind NIS2-pflichtig?

Digitale Anbieter (Anhang I): Cloud-Computing, Rechenzentren, CDN, DNS-Anbieter, B2B-Marktplätze. Wesentliche Einrichtung ab 250 MA bzw. 50 Mio. € Umsatz und 43 Mio. € Bilanzsumme. MSPs und MSSPs sind in Anhang I „verwaltete Dienste“ als wichtige Einrichtungen ab 50 MA bzw. 10 Mio. € Umsatz und 10 Mio. € Bilanzsumme gelistet — mit besonderer Aufsicht.

Typische Adressaten

  • Hosting- und Server-Anbieter (dedicated, virtual, colocation)
  • Managed-Service-Provider (Helpdesk, Patching, Endpoint-Management)
  • Managed-Security-Service-Provider (SOC, EDR, SIEM)
  • Cloud-Anbieter (IaaS, PaaS, SaaS) — auch reine Reseller
  • Rechenzentren und Colocation-Anbieter

Top-Mindestmaßnahmen für IT-Dienstleister

NIS2 listet in Anhang IV elf generelle Mindestmaßnahmen. Drei sind für die IT-Dienstleister-Branche besonders wirksam — sowohl regulatorisch als auch im realen Bedrohungsbild.

Maßnahme 1 von 3

Mandantentrennung und Zugriffsmanagement

Warum

MSPs haben administrativen Zugriff auf hunderte Kundensysteme. Ein kompromittierter MSP-Admin-Account propagiert in alle Kunden. NIS2 fordert dokumentierte Zugriffs­kontrolle und Privileged-Access-Management.

In der Praxis

Mandanten-spezifische Admin-Accounts statt Sammel-Accounts. Multi-Faktor-Authentifizierung verpflichtend. PAM-Lösung mit Session-Recording. Just-in-Time-Privilegien.

Maßnahme 2 von 3

Incident-Response mit Kunden-SLAs

Warum

Vorfall beim MSP betrifft sofort alle Kunden. NIS2 verlangt 24-Stunden-Meldung an BSI plus Kunden-Information ohne unangemessene Verzögerung.

In der Praxis

Vorbereitete Kunden-Kommunikation für die häufigsten Vorfall-Typen. Definierte Eskalationskette. Vertragliche SLAs zur Vorfall-Information mit Kunden. Tabletop-Übungen mit Kunden-Verteiler.

Maßnahme 3 von 3

Lieferanten- und Sub-Dienstleister-Management

Warum

MSPs nutzen selbst Drittanbieter (Hosting-Backbone, EDR-Hersteller, Backup-Anbieter). Diese Drittanbieter werden Teil der eigenen NIS2-Lieferkette.

In der Praxis

Sub-Dienstleister-Verzeichnis mit Kritikalitäts-Bewertung. Vertragliche Sicherheits-Anforderungen (BSI-C5, ISO 27001 oder gleichwertig). Jährliches Audit der kritischen Sub-Dienstleister.

Lieferketten-Pflicht in der IT-Dienstleister

IT-Dienstleister stehen in der Mitte der Lieferkette: Sie sind eigene NIS2-Pflichtige und gleichzeitig kritischer Zulieferer ihrer Kunden. Die Verträge müssen beide Richtungen abbilden — eigene Pflichten gegenüber Kunden, und Pflichten der eigenen Sub-Dienstleister.

Typische Lieferanten- und Dienstleister-Beziehungen

  • Kunden-Verträge: Sicherheits-Anhang mit Mindestmaßnahmen, Audit-Recht, Incident-Reporting
  • Sub-Dienstleister (Backup, EDR, Cloud): vertragliche Patch-SLAs und Schwachstellen-Meldung
  • Software-Lieferanten: SBOM-Anforderungen und CVE-Monitoring
  • Versicherung: Cyber-Versicherer fragen nach NIS2-Konformität — Prämien-Effekt

Erste Einordnung

NIS2-Check mit Sektor-Vorbelegung für IT-Dienstleister

Vier Fragen, eine erste Einschätzung — keine Rechtsberatung. Das Tool nutzt eine Sektor-Vorbelegung, die zu IT-Dienstleister-Profilen passt, und zeigt eine priorisierte erste Roadmap.

NIS2-Check für IT-Dienstleister starten

Häufige Fragen zu NIS2 in der IT-Dienstleister

Sind reine SaaS-Reseller auch NIS2-pflichtig?

Vermutlich ja, wenn sie Cloud-Dienste erbringen (auch als Reseller mit eigener Konfiguration und Support). Die Schwellen entscheiden — kleine Reseller unter 50 MA und unter 10 Mio. € sind in der Regel nicht direkt pflichtig, aber Kunden-Verträge ziehen die Maßnahmen oft durch.

Müssen MSPs ihre Kunden bei Vorfällen aktiv informieren?

Ja. § 32 NIS2-Richtlinie verpflichtet Anbieter „verwalteter Dienste“ zur Vorfall-Information ihrer Kunden ohne unangemessene Verzögerung — parallel zur BSI-Meldung. Die Verträge sollten konkrete Fristen und Eskalationskanäle definieren.

Was ist mit einem 1-Personen-MSP / Solo-IT-ler?

Formal nicht NIS2-pflichtig (unterhalb der Schwellen). Aber: Wer MSP-Leistungen für NIS2-Pflichtige erbringt, wird über Verträge in die Pflicht gezogen. Eigene Mindestmaßnahmen (MFA, dokumentierter Backup, Incident-Plan) sind faktisch unverzichtbar.

Reicht ISO 27001 als Nachweis?

ISO 27001 deckt einen Großteil der NIS2-Mindestmaßnahmen ab — aber nicht 100 %. Insbesondere die NIS2-spezifischen Themen (Meldefristen, Geschäftsleitungs-Haftung, Lieferketten-Pflichten) gehen über ISO 27001 hinaus. Eine Gap-Analyse ist sinnvoll.

Wie ist das Verhältnis zu BSI-C5?

BSI-C5 ist ein deutscher Kriterienkatalog speziell für Cloud-Anbieter. C5-Typ-2-Testate adressieren viele NIS2-Mindestmaßnahmen für Cloud-Dienste und sind im Markt der bevorzugte Nachweis.

Welche Bußgelder drohen MSPs konkret?

Als wichtige Einrichtungen drohen Bußgelder bis 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes. Bei „verwalteten Diensten“ ist die Aufsicht zudem aktiv (nicht nur reaktiv) — BSI kann anlasslose Prüfungen veranlassen.