Inhalt in Kürze
- Werften wie TKMS pressen ihre Lieferanten in Kiel und Schleswig-Holstein zur NIS2-Konformität — auch wenn diese selbst nicht direkt betroffen sind.
- Lieferantenfragebögen verlangen ISMS-Nachweis, MFA, EDR, Incident-Response-Plan, getestete Backups, Awareness-Schulungen.
- Wer in 60-120 Tagen liefern kann, hält den Auftrag. Wer 6 Monate braucht, verliert ihn.
- Praxis-Fahrplan: Anforderungen lesen, Gap-Analyse, ISMS-Light, Lieferanten-Dokumentation, Audit-Bereitschaft.
In Kiel und Schleswig-Holstein bekommen wir gerade Anrufe, die alle gleich anfangen: „Unser Werft-Kunde hat einen Fragebogen geschickt, 14 Seiten, und Antworten will er bis Ende des Quartals." Genau das ist NIS2 in der Praxis — sie kommt durch die Hintertür, über die Lieferkette.
NIS2-Lieferkette Kiel: Warum Werft-Zulieferer jetzt unter Druck stehen
Mit Inkrafttreten des deutschen NIS2-Umsetzungsgesetzes Ende 2025 sind die Großkunden der Kieler maritimen Wirtschaft selbst pflichtig geworden. TKMS (ehemals ThyssenKrupp Marine Systems), die Lürssen-Gruppe, German Naval Yards und Werft-Schwesterbetriebe müssen seitdem ihre Lieferkette absichern — das ist kein freiwilliger Anspruch, sondern gesetzliche Pflicht aus Artikel 21 der NIS2-Richtlinie.
Die IHK Schleswig-Holstein hat das deutlich gemacht: Geschäftsführer und Leitungsorgane haften persönlich für die Einhaltung — und damit auch für die Sicherheit ihrer Lieferanten. Genau deshalb landen die Anforderungen jetzt bei den Zulieferern. Wer nicht liefert, fliegt aus dem Lieferantenpool.
In Schleswig-Holstein sind die Verhältnisse besonders konzentriert. Die Werft-Cluster Kiel-Friedrichsort, Holtenau und Wik beliefern eine kleine Zahl Großauftraggeber — wer hier Aufträge verliert, hat oft kaum Alternativen. Genauso für Zulieferer im Kieler Wissenschaftspark und im Maschinenbau-Umfeld der Universität Kiel (CAU).
Laut Security-Insider schaffen aktuell nur 8 Prozent der NIS2-pflichtigen Unternehmen eine vollständige Lieferketten-Absicherung — der Druck wird in den nächsten 12 Monaten massiv steigen. Wer jetzt liefert, sichert sich den Vorsprung.
Was im Lieferantenfragebogen wirklich steht
Wir haben in den letzten Monaten mehrere Lieferantenfragebögen großer Werften gesehen. Inhaltlich kehren sieben Themen wieder — und genau die müssen Sie nachweisbar erfüllen.
- Informationssicherheits-Managementsystem (ISMS). BSI-Grundschutz oder ISO 27001. Eine reine Werkzeug-Liste reicht nicht — gefordert ist ein dokumentierter Prozess.
- Multi-Faktor-Authentifizierung. Flächendeckend, auch für Service-Accounts und Remote-Zugänge. Smartcards oder FIDO2-Tokens, keine reinen SMS-Codes.
- Endpoint Detection and Response (EDR). Klassisches Antivirus reicht nicht mehr. Erkennungstiefe und Response-Fähigkeit werden geprüft.
- Incident-Response-Plan. Schriftlich, mit Verantwortlichen, Eskalationswegen, 24h-/72h-Meldekette. Tabletop-Übung im Auditzeitraum nachweisbar.
- Backup-Strategie mit Wiederherstellungstest. 3-2-1-Regel, monatlich getestet, dokumentiert.
- Awareness-Programm für Mitarbeitende. Inklusive Geschäftsführung — NIS2 verlangt explizit Schulungen für die Leitungsebene.
- Subunternehmer-Management. Wenn Sie selbst Sub-Lieferanten haben, müssen die in Ihre Sicherheit eingebunden sein.
Aus der Praxis: Wie schnell Zulieferer aus dem Pool fliegen
Was wir in Schleswig-Holstein gerade erleben: Großauftraggeber schicken Fragebögen mit harten Fristen. Mittelständler ohne ISMS antworten, dass sie das im nächsten Jahr aufsetzen wollen. Antwort des Einkaufs: Dann brauchen wir das Geschäft mit Ihnen nicht mehr. Das ist kein Drohgebärde, das passiert.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Ein Kieler Maschinenbau-Mandant aus Friedrichsort, 45 Mitarbeitende, beliefert eine Werft mit Spezialteilen. Im Februar 2026 kam der Fragebogen, Antwort bis Ende April. Bestand: Backups vorhanden, Antivirus läuft, Firewall steht. Aber kein dokumentiertes ISMS, kein IRP, keine Awareness-Schulungen, keine MFA für Remote-Zugänge. In drei Wochen haben wir das ISMS-Light aufgesetzt, MFA ausgerollt, IRP geschrieben, Awareness-Schulung durchgeführt. Auftrag verlängert.
Andere Geschichte: Ein größerer Zulieferer mit 110 Mitarbeitenden hat den Fragebogen 2 Monate liegen lassen, dann „mit eigener IT-Abteilung in 6 Monaten" angekündigt. Auftrag ging an einen norddeutschen Wettbewerber, der lieferfähig war.
Wir wussten nicht, dass die Werften das so ernst nehmen. Bis der Fragebogen kam — und drei unserer Mitbewerber den Zuschlag verloren haben. Da haben wir uns extern Hilfe geholt.
Der Praxis-Fahrplan: 90 Tage bis zur Lieferanten-Konformität
- Tag 1-10: Fragebogen lesen, Scope klären. Welche Standorte, Tochtergesellschaften und IT-Systeme sind betroffen? Welche Daten fließen zum Werft-Kunden?
- Tag 11-25: Gap-Analyse gegen BSI-Grundschutz. Klare Lücken-Liste mit Aufwand und Priorität. Hier zeigt sich, ob 60 oder 120 Tage realistisch sind.
- Tag 26-50: ISMS-Light aufbauen. Risikomanagement-Prozess, Asset-Inventar, Berechtigungskonzept, Patch-Management-Richtlinie. Schlank, aber durchgängig.
- Tag 51-65: Technik nachziehen. MFA flächendeckend, EDR-Rollout, zentralisiertes Logging, Backup-Tests dokumentiert.
- Tag 66-75: Awareness-Schulungen + Tabletop-Übung. Geschäftsführung, IT-Leitung, alle Mitarbeitende. Notfallübung mit dokumentiertem Protokoll.
- Tag 76-85: Subunternehmer-Dokumentation. Welche Dritten haben welche Zugriffe? Verträge mit Sicherheitsanforderungen aktualisieren.
- Tag 86-90: Antwort an den Werft-Kunden. Fragebogen sauber beantwortet, Nachweise beigelegt, Audit-Bereitschaft signalisiert.
Wer ohnehin Cyberversicherung sucht: Die Versicherer fragen seit 2026 fast die gleichen Themen ab wie die Werft-Fragebögen. Doppelter Hebel — eine Vorbereitung deckt beides ab.
Sonderfälle in Kiel: Maritime Wirtschaft, Windenergie, Universitäts-Cluster
In Kiel haben wir vier Cluster, die je eigene Lieferketten-Logik haben:
| Cluster | Hauptauftraggeber | Typische Anforderung |
|---|---|---|
| Werft-Zulieferer Kiel-Friedrichsort, Holtenau | TKMS, German Naval Yards | Hohe Anforderungen, oft auch Geheimschutz |
| Maritime Logistik | Reedereien, Hafenbetreiber | Klassische NIS2-Pflicht, meist ohne Geheimschutz |
| Windenergie-Komponenten | OEMs in Schleswig-Holstein | NIS2 + KRITIS-Richtungsanforderungen |
| Forschungsnah / CAU-Umfeld | Forschungsinstitute, Klinikum | DSGVO-getrieben, NIS2 zusätzlich |
Für jedes Cluster lohnt sich ein anderer Ansatz. Werft-nah heißt: Geheimschutz mitdenken, separate Netzsegmente. Logistik heißt: schnelles ISMS, MFA, EDR. Windenergie heißt: KRITIS-Vorgaben, Sektorspezifik. Forschungsnah heißt: zusätzliche Datenschutz-Compliance. Wir haben in jedem Cluster Mandanten — und die Lehre ist immer dieselbe: nicht die Norm-Konformität ist der Knackpunkt, sondern der durchgängig dokumentierte Prozess.
Wie wir Kieler Werft-Zulieferer begleiten
Wir sitzen in Hamburg und sind über den Standort Kiel für die regionale Betreuung erreichbar. Reaktionszeit vor Ort: 90 Minuten. Den vollständigen Service-Stack zeigt unsere Übersicht der Managed IT-Services. Drei Wege, wie wir Werft-Zulieferer typischerweise unterstützen:
- Audit-Vorbereitung als Einmalprojekt — wir bauen ISMS-Light, schreiben den IRP, schulen, dokumentieren, machen Sie lieferantenkonform binnen 90 Tagen.
- Co-Managed IT — Sie haben eigene IT, wir liefern den Compliance-Teil und die Audit-Begleitung.
- Managed IT mit NIS2-Modul — wir übernehmen IT-Betrieb plus laufende NIS2-Pflege ab 50 Euro pro Arbeitsplatz und Monat.
Mehr zu unseren Kieler Service-Paketen: IT-Beratung Kiel, IT-Support Kiel, IT-Systemhaus Kiel. Den Hintergrund zur Compliance-Welle insgesamt haben wir auf der Übersichtsseite NIS2 & Compliance Hamburg sowie im NIS2-Audit-Praxis-Fahrplan für Hamburg aufgeschrieben.
Lieferantenfragebogen einer Werft auf dem Tisch?
30 Minuten Erstgespräch genügen, um zu klären, ob Sie in 60, 90 oder 120 Tagen liefern können — und was wirklich auf Sie zukommt. Kostenlos. Ohne Vertriebsdruck.
Erstgespräch buchen →Quellen für diesen Artikel: BSI — NIS-2 und Lieferkette, IHK Schleswig-Holstein — NIS-2-Richtlinie, Schleswig-Holstein Polizei — NIS-2-Faktenpapier, Security-Insider zur Lieferkettensicherheit.
