NIS2 für Hamburger Mittelständler: Bin ich betroffen — und was muss ich tun?

Im Dezember 2025 ist die deutsche Umsetzung der EU-NIS2-Richtlinie in Kraft getreten. Seitdem klingelt das Telefon bei uns regelmäßig: Geschäftsführer von Hamburger Mittelständlern, die plötzlich einen 38-Fragen-Fragebogen ihres Großkunden auf dem Tisch haben.

Dieser Artikel ist für Sie, wenn Sie wissen wollen:

1. Bin ich überhaupt direkt von NIS2 betroffen?
2. Wenn nein — werde ich indirekt durch meine Großkunden gezwungen?
3. Was muss ich konkret bis wann tun?

Direkt betroffene Unternehmen in Hamburg

NIS2 betrifft 18 Sektoren in zwei Kategorien — „wesentliche Einrichtungen” und „wichtige Einrichtungen”. Schwellwerte: ab 50 Mitarbeitern oder ab 10 Mio. € Umsatz.

In Hamburg klassisch betroffen:

Wesentliche Einrichtungen (höchste Stufe)

• Hafenbetriebe, Reedereien (Logistik & Transport)
• Krankenhäuser, große Praxisverbünde (Gesundheit)
• Energieversorger (Hamburger Energiewerke, Gasnetz Hamburg)
• Trinkwasser-/Abwasserbetriebe (Hamburg Wasser)
• Banken, Wertpapierdienstleister
• Rechenzentren, große Cloud-Provider
• Telekommunikationsanbieter

Wichtige Einrichtungen

• Post- und Kurierdienste
• Großhandel mit Chemikalien
• Lebensmittel-Großhandel
• Hersteller (z. B. Schiffbau, Maschinenbau, medizinische Geräte)
• Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)
• Forschungseinrichtungen
• Verwaltung und Betrieb von Kommunikationsnetzen

Wenn Sie nicht in einem dieser Sektoren sind, sind Sie als Hamburger Unternehmen wahrscheinlich direkt nicht betroffen. Aber:

Die Lieferketten-Falle: Indirekt betroffene Unternehmen

Hier wird es interessant. Art. 21 Abs. 2 NIS2 verpflichtet die direkt betroffenen Unternehmen, die Sicherheit ihrer Lieferkette zu prüfen. Konkret heißt das:

„Die Maßnahmen müssen die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern berücksichtigen.”

Aus diesem einen Satz folgt, dass Hamburger Großkunden, die unter NIS2 fallen, ihren Zulieferern Audit-Fragebögen schicken — und das längst tun.

In den letzten Monaten haben wir Mandanten begleitet, die solche Fragebögen bekamen:

• Eine Komponentenfertigung mit 150 Mitarbeitern vom Großkunden „Verteidigung & kritische Infrastruktur” — 38 Fragen zu Cybersecurity, Backup, MFA, Incident Response, Schulungen
• Eine Hamburger Videoproduktion mit 12 Mitarbeitern von einem großen Gesundheitsdienstleister — 22 Fragen
• Eine Steuerkanzlei mit 8 Mitarbeitern vom Mandanten Hafenbetrieb — 17 Fragen

Diese Fragen sind keine Höflichkeitsfloskeln. Wer sie nicht beantworten kann oder schlechte Antworten gibt, verliert den Auftrag — der Großkunde muss sich nach NIS2 absichern.

Was steht typischerweise in so einem Fragebogen?

Strukturiert nach Art. 21 NIS2 (zehn Pflichtmaßnahmen):

1. Risikoanalyse und Sicherheitskonzepte — gibt es eine schriftliche IT-Risikoanalyse?
2. Bewältigung von Sicherheitsvorfällen — Notfallplan? Wer wird wann informiert?
3. Aufrechterhaltung des Betriebs — Backups, Disaster Recovery, RTO/RPO definiert?
4. Sicherheit der Lieferkette — eigene Lieferanten geprüft?
5. Sicherheit beim Erwerb, der Entwicklung und Wartung — Patch-Management, Schwachstellenmanagement?
6. Bewertung der Wirksamkeit — interne oder externe Audits?
7. Cyberhygiene — MFA, Passwort-Policies, Awareness-Schulungen?
8. Kryptographie — Verschlüsselung at-rest und in-transit?
9. Personalsicherheit — Background-Checks, Onboarding/Offboarding-Prozess?
10. Multi-Faktor-Authentifizierung — flächendeckend in den kritischen Systemen?

Pro Frage müssen Sie typischerweise Belege beifügen: Richtlinien, Screenshots, Audit-Berichte, Schulungsnachweise.

Der hohe Hebel: Die Geschäftsführerhaftung

Im Gegensatz zur DSGVO trifft NIS2 die Geschäftsleitung persönlich. Aus § 38 NIS2-Umsetzungsgesetz:

„Mitglieder der Geschäftsleitung wesentlicher und wichtiger Einrichtungen müssen die Maßnahmen zum Risikomanagement billigen, deren Umsetzung überwachen und können für Verstöße gegen diese Pflichten verantwortlich gemacht werden.”

Die Verantwortung ist persönlich und kann nicht auf den IT-Leiter, den Datenschutzbeauftragten oder einen externen Dienstleister übertragen werden. Übliche D&O-Versicherungen decken diese Haftung nicht ab — die meisten Verträge schließen Compliance-Verstöße ausdrücklich aus.

Für Hamburger Geschäftsführer bedeutet das: NIS2 ist Chefsache.

Was Sie konkret jetzt tun sollten

Stufe 1 — Direkt-Betroffenheit klären (Aufwand: 1–2 Stunden)

• Sektor-Check anhand der NIS2-Anlagen 1 + 2
• Schwellwerte: 50 MA oder 10 Mio. € Umsatz
• Falls direkt betroffen: Pflicht zur Registrierung beim BSI binnen 3 Monaten nach Aufnahme der Tätigkeit

Stufe 2 — Lieferketten-Risiko bewerten (Aufwand: 2–4 Stunden)

• Welche unserer Großkunden fallen unter NIS2?
• Hatten wir schon Anfragen / Audit-Fragebögen?
• Welche Verträge haben „Audit-Klauseln” oder „Sicherheits-Anforderungen”?

Stufe 3 — Pflichten umsetzen (Aufwand: variiert, typisch 2–6 Monate)

• Risikoanalyse erstellen
• Notfallplan aufsetzen
• Mitarbeiter schulen
• TOMs nach Art. 21 NIS2 implementieren
• Audit-fähige Dokumentation aufbauen

Hugo Shield — die Plattform für die Lieferketten-Compliance

Wir haben bei frag.hugo eine eigene Plattform gebaut, die genau diese Audit-Fragebögen automatisch beantwortet — basierend auf Ihren bereits dokumentierten Maßnahmen. Hugo Shield funktioniert wie folgt:

1. Ihre Maßnahmen, Richtlinien, Schulungen sind einmal in der Plattform dokumentiert
2. Wenn ein Großkunde einen Audit-Fragebogen schickt, ordnen Sie ihn dem Fragenkatalog zu
3. Das System schlägt vor, welche bestehenden Belege zu welcher Frage passen
4. Sie prüfen, ergänzen, schicken zurück

Vier unserer Mandanten haben dadurch in den letzten Monaten Audits innerhalb eines Tages statt mehrerer Wochen abgeschlossen.

Fazit

NIS2 ist nicht nur ein Thema für Hafenbetriebe und Krankenhäuser. Wenn Sie als Hamburger Mittelständler Lieferant für solche Unternehmen sind — was viele sind, ohne es bewusst zu wissen — dann werden Sie früher oder später gefragt.

Die gute Nachricht: Wer sich jetzt vorbereitet, hat einen klaren Wettbewerbsvorteil. In den nächsten 12 Monaten werden viele Großkunden ihre Lieferanten neu bewerten. Wer da bestehende, dokumentierte Sicherheitsstrukturen vorzeigen kann, gewinnt Aufträge.

Wenn Sie ein konkretes NIS2-Audit auf dem Tisch haben oder eine Standortbestimmung machen wollen: 040 57308220-0. Wir machen einen NIS2-Schnellcheck im Erstgespräch — kostenlos, 30 Minuten.