Zum Hauptinhalt springen
    Zum Hauptinhalt springen
    Zurück zum Blog

    KI-Grundlagen

    NIS2 macht Ihren KI-Dienstleister zur Chefsache.

    Von Tim Rosen·28. April 2026·9 Min. Lesezeit
    NIS2 macht Ihren KI-Dienstleister zur Chefsache.

    Mit der Vollumsetzung der NIS2-Richtlinie im April 2026 müssen Mittelständler ihre kritischen Lieferanten auditieren — auch KI-Anbieter. Wer einen externen Voice-Agent oder Chatbot einsetzt, holt sich eine Audit-Pflicht ins Haus, die kaum jemand auf dem Schirm hat.

    Was sich Ende April 2026 ändert

    Die NIS2-Richtlinie wurde in Deutschland mit dem NIS2UmsuCG umgesetzt. Im Laufe des April 2026 greift der Großteil der Pflichten — und damit auch der oft übersehene Artikel 21 Absatz 2 Buchstabe d: die Pflicht zur Sicherheit der Lieferkette und der Lieferantenbeziehungen.

    In der Praxis heißt das: Wenn Sie als "wesentliche" oder "wichtige" Einrichtung im Sinne von NIS2 einen externen IT- oder KI-Dienstleister einsetzen, müssen Sie dessen Sicherheitspraktiken aktiv prüfen, dokumentieren und im Risiko-Register führen. Das gilt für Cloud-Anbieter, für Software-as-a-Service-Lösungen — und ausdrücklich auch für KI-Anbieter, die Daten verarbeiten.

    Wen NIS2 wirklich trifft — und wen unter dem Radar

    Die mediale Diskussion fokussiert sich auf Energieversorger und Krankenhäuser. Tatsächlich sind aber auch betroffen:

    • Hausverwaltungen ab 50 Mitarbeitenden, wenn sie kritische Wohngebäude-Infrastruktur (z. B. Heizung, Wasser, Aufzug) digital steuern
    • Bauunternehmen mit relevanten Bauprojekten im Bereich öffentlicher Infrastruktur
    • IT-Dienstleister und SaaS-Anbieter ab 50 Mitarbeitenden — und damit indirekt jeder mittelständische Kunde, der eine Bestätigung seines Lieferanten braucht

    Die gute Nachricht: Die meisten klassischen Handwerksbetriebe fallen direkt nicht unter NIS2. Die schlechte: Sie werden trotzdem von ihren Auftraggebern — Konzernen, Wohnungsbaugesellschaften, öffentlichen Bauherren — zunehmend nach NIS2-Compliance gefragt, wenn sie als Subunternehmer auftreten.

    Warum KI-Anbieter ein besonderer Audit-Fall sind

    KI-Dienstleister verursachen für NIS2-Audits drei spezifische Probleme:

    Datentransparenz

    Ein klassischer Cloud-Anbieter speichert Daten — eine KI verarbeitet sie, generiert daraus neue Inhalte und speichert möglicherweise interne Repräsentationen. Wo Ihre Kundendaten am Ende landen, ist bei vielen Anbietern nicht abschließend dokumentiert.

    Modell-Lieferkette

    Auch wenn Ihr KI-Anbieter in Deutschland sitzt — das zugrundeliegende Modell stammt häufig von OpenAI, Anthropic oder Google. Ihre NIS2-Pflicht endet nicht beim deutschen Anbieter, sondern reicht juristisch durch die gesamte Modell-Lieferkette.

    Inzident-Meldepflichten

    Bei einem Sicherheitsvorfall müssen Sie binnen 24 Stunden eine Frühwarnung an das BSI absetzen. Ein klassischer Cloud-Anbieter informiert Sie meist proaktiv über Vorfälle — viele KI-Anbieter haben dafür schlicht keine Prozesse etabliert.

    Was wir bei NovaData anders machen

    Wir bauen unsere Lösungen seit Beginn so, dass sie ein NIS2-Audit standhalten:

    Hosting in EU-Rechenzentren

    Standardmäßig laufen unsere agentOS-, AURIO- und LISA-Systeme auf Hetzner- oder OVH-Infrastruktur in Deutschland. Sprachmodelle nutzen wir bevorzugt über Microsoft Azure mit EU-Datentreuhand oder über Mistral mit Hosting in Frankreich.

    Sub-Processor-Liste mit Versionierung

    Sie bekommen eine versionierte Liste aller Sub-Dienstleister, die in Ihrer Lösung verwendet werden — mit einer Vorabinformation, wenn sich etwas ändert. Das ist nicht nur für DSGVO-Auftragsverarbeitung relevant, sondern wird unter NIS2 zur Audit-Anforderung.

    24-Stunden-Inzident-Reporting

    Wir verpflichten uns vertraglich, sicherheitsrelevante Vorfälle binnen vier Stunden an Sie zu melden — damit Sie Ihre 24-Stunden-Frist gegenüber dem BSI sicher einhalten können.

    Audit-Pakete für Ihre Compliance

    Sie erhalten von uns standardmäßig: ISO-27001-Anbindungsnachweise unserer Sub-Dienstleister, eine TOM-Beschreibung (technische und organisatorische Maßnahmen), einen Penetrationstest-Bericht aus dem letzten Jahr und ein Business-Continuity-Konzept. Das ist das Audit-Paket, das Ihre Compliance-Abteilung sonst mühsam bei einem Anbieter einsammeln müsste.

    Drei Fragen, die Sie jedem KI-Anbieter heute stellen sollten

    Auch wenn Sie nicht mit uns arbeiten — diese Fragen sollten Sie stellen, bevor Sie einen KI-Vertrag unterschreiben:

    • In welchem Land werden die Daten verarbeitet — und wer ist Sub-Dienstleister auf welcher Ebene?
    • Wie und in welcher Frist werden Sie über Sicherheitsvorfälle informiert?
    • Liegt ein aktueller Penetrationstest und eine ISO 27001 oder vergleichbare Zertifizierung vor?

    Wer auf eine dieser drei Fragen ausweicht, ist im NIS2-Kontext kein tragbarer Lieferant.

    Fazit

    NIS2 wird die KI-Anbieterlandschaft im DACH-Raum härter trennen als die DSGVO es konnte. Anbieter, die ihre Lieferketten nicht sauber dokumentieren, werden aus den Vergaben mittelständischer und konzernnaher Kunden verschwinden. Wer als Mittelständler heute auf einen audit-fähigen Premium-Anbieter setzt, spart sich in zwölf Monaten den teuren Wechsel.

    Ihr nächster Schritt

    Wir stellen Ihnen unser komplettes NIS2-Audit-Paket vorab zur Verfügung, damit Sie es mit anderen Anbietern direkt vergleichen können.

    → Discovery Call buchen und NIS2-Audit-Paket anfordern.

    *NovaData — KI-Lösungen, die der Audit ohne Schweißausbruch übersteht. Made in Bavaria.*

    Bereit für den nächsten Schritt?

    Discovery Call buchen

    Datenschutz-Einstellungen

    Wir nutzen technisch notwendige Speicher (immer aktiv). Optional erlauben Sie uns eine Reichweitenmessung mit Google Analytics 4 (IP gekürzt, USA/DPF). Erst nach Ihrem Klick werden Cookies gesetzt. Sie können Ihre Einwilligung jederzeit im Footer unter „Cookie-Einstellungen" widerrufen.

    Widerruf jederzeit möglich. Verantwortlicher: NovaData UG (haftungsbeschränkt), Gartenstraße 8, 92348 Berg b. Neumarkt.
    DatenschutzImpressum