BSI-Portal und IDW-Standards verschärfen Kontrolle von Dienstleistern

Die Überwachung von IT-Dienstleistern wird schärfer – und teurer. Neue Regeln des BSI und der Wirtschaftsprüfer zwingen Unternehmen zu mehr Kontrolle in der Lieferkette.

Berlin/Düsseldorf – Für deutsche Unternehmen beginnt eine neue Ära der Compliance. Mit dem Start des NIS2-Registrierungsportals durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und aktualisierten Prüfstandards des Instituts der Wirtschaftsprüfer (IDW) wird die Überwachung von Auftragsverarbeitern deutlich verschärft. Die Botschaft an Datenschutzbeauftragte und Compliance-Manager ist klar: Bloße Verträge und Zertifikate reichen nicht mehr aus.

NIS2: Drei-Monats-Frist für 30.000 Unternehmen läuft

Das BSI hat sein Meldeportal für die EU-Cybersicherheitsrichtlinie NIS2 freigeschaltet. Rund 30.000 betroffene Unternehmen in Deutschland müssen sich nun bis Anfang April 2026 registrieren. Doch die Anmeldung ist nur der erste Schritt.

Der eigentliche Clou der Richtlinie ist die erweiterte Haftung für die Sicherheit der Lieferkette. Unternehmen haften künftig auch für Sicherheitslücken bei ihren Sub-Dienstleistern. Das Portal dient daher nicht nur zur Registrierung, sondern auch zur Meldung von Vorfällen – selbst wenn diese tief in der Lieferkette entstehen.

Passend zum Thema Lieferkettensicherheit: Wer künftig für Sicherheitslücken bei Sub‑Dienstleistern haftet, braucht sofort prüffähige Nachweise. Ein kostenloses E‑Book zur Auftragsverarbeitung erklärt, welche Vertragsklauseln, Prüfpläne und Dokumentationsbausteine Sie jetzt einfordern müssen — plus praxiserprobte Checklisten für Audits und Meldepflichten. Ideal für Compliance‑Manager, Datenschutzbeauftragte und Interne Revision. Jetzt Gratis-E‑Book zur Auftragsverarbeitung herunterladen

IDW-Standard: Interne Revision muss genauer hinschauen

Parallel zum NIS2-Start hat das IDW seinen Prüfungsstandard IDW PS 983 n.F. aktualisiert. Die Neufassung verpflichtet die Interne Revision zu einer deutlich schärferen Kontrolle von Auslagerungsrisiken.

Was bedeutet das konkret? Interne Revisoren können sich nicht mehr mit vorgelegten Zertifikaten zufriedengeben. Sie müssen künftig aktiv prüfen, ob die Kontrollen bei Sub-Dienstleistern auch tatsächlich wirken. Unternehmen benötigen dafür robuste vertragliche Audit-Rechte – und eine lückenlose, revisionssichere Dokumentation.

DORA: Unangekündigte Audits für Finanzdienstleister

Der Druck kommt auch aus Brüssel. Der Digital Operational Resilience Act (DORA) entfaltet 2026 seine volle Wirkung für den Finanzsektor. Die Aufsichtsbehörden BaFin und EZB werden ihren Fokus verstärkt auf IT-Drittdienstleister legen.

Besonders heikel: DORA erlaubt den Aufsehern direkte Prüfungsrechte bei kritischen Dienstleistern. Unternehmen in dieser Rolle müssen sich 2026 auf unangekündigte Audits einstellen. Die Kombination aus NIS2, IDW-Standards und DORA schafft ein dichtes Netz neuer Pflichten.

Paradigmenwechsel: Von Verträgen zu technischer Kontrolle

Die neuen Regeln markieren einen fundamentalen Wandel. Bisher standen oft juristische Klauseln in Verträgen im Vordergrund. Jetzt verlagert sich der Schwerpunkt auf technische und organisatorische Kontrollen.

Manuelle Due-Diligence-Prozesse mit jährlichen Excel-Fragebögen genügen nicht mehr. Gefordert ist nun eine kontinuierliche, möglichst automatisierte Überwachung der Lieferkette. Security-Ratings und Echtzeit-Schnittstellen rücken in den Fokus.

Der Europäische Datenschutzausschuss hat bereits klargestellt: Die Verantwortung des Auftraggebers endet nicht beim ersten Dienstleister. Wer seine Sub-Dienstleister nicht effektiv überwacht, riskiert nicht nur Bußgelder, sondern auch Einschränkungen im testierten Jahresabschluss.

Drei Schritte für die kommenden Monate

Die Schonfrist ist vorbei. Unternehmen sollten jetzt handeln:

1. NIS2-Registrierung im BSI-Portal bis spätestens April 2026 abschließen.
2. Prüfpläne der Internen Revision sofort an den neuen IDW-Standard anpassen und Audits bei kritischen Dienstleistern priorisieren.
3. Bestehende Verträge prüfen und bei Bedarf um die erforderlichen Mitwirkungspflichten für tiefgreifende Audits ergänzen.

2026 wird das Jahr, in dem Lieferkettensicherheit zur harten Währung wird. Wer hier nicht liefert, könnte selbst als Sicherheitsrisiko aus den Lieferketten seiner Kunden fliegen.

PS: Sie wollen prüfen, ob Ihre bestehenden Verträge und Audit‑Rechte reichen? Das kostenlose Paket bietet fertige Vertragsvorlagen, ein Muster‑Verarbeitungsverzeichnis und eine Schritt‑für‑Schritt‑Anleitung zur rechtskonformen Auftragsdatenverarbeitung. So sind Sie bei Prüfungen durch Aufsichtsbehörden, BaFin oder Wirtschaftsprüfer besser vorbereitet – und vermeiden Bußgelder und Haftungsrisiken. Kostenloses E‑Book & Vertrags‑Vorlagen anfordern