TL;DR

Seit dem 6. Dezember 2025 haben deutsche Unternehmen neue, unmittelbare Cybersicherheitspflichten gemäß dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das das BSI-Gesetz ändert(Reed Smith, Januar 2026). Diese Verpflichtungen erstrecken sich nach §30 II Nr. 4 des geänderten BSI-Gesetzes(YPOG, Februar 2026) ausdrücklich auch auf direkte Lieferanten und Dienstleister, was bedeutet, dass Ihr Softwareentwicklungspartner nun Teil Ihrer regulierten Lieferkette ist.

Die Wahl eines nicht konformen Anbieters kann Ihr Management einer persönlichen Haftung und Geldstrafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes aussetzen(Reed Smith, Januar 2026). In diesem Artikel finden Sie einen 15-Punkte-Bewertungsrahmen mit jeweils fünf Kriterien für die Einhaltung der Vorschriften, die betriebliche Reife und die technischen Praktiken, die Sie verwenden können, um Nearshore-Anbieter zu bewerten und mit der deutschen NIS2-Basislinie zu vergleichen.

Warum die Anbieterauswahl im Jahr 2026 anders aussieht

Mit NIS2 wurden Entscheidungen über die Software-Lieferkette zu einem geregelten Prozess für eine viel größere Anzahl deutscher Unternehmen als mit dem vorherigen KRITIS-Rahmen.

Nach der deutschen Umsetzung fallen die meisten Unternehmen in den Geltungsbereich, wenn sie in den erfassten Sektoren tätig sind und entweder 49 Mitarbeiter oder einen Umsatz von mehr als 10 Millionen Euro haben, mit begrenzten Ausnahmen für „unbedeutende Tätigkeiten“ gemäß §28 III BSIG(YPOG, Februar 2026). Das Gesetz trat am 6. Dezember 2025 ohne Schonfrist in Kraft. Unternehmen, die in den Geltungsbereich fallen, mussten sich bis zum 6. März 2026 über das BSI-Portal, das am 6. Januar 2026 startete, beim BSI registrieren(Lexology, Januar 2026; DLA Piper, Februar 2026).

Die für die Anbieterauswahl wichtigste Änderung ist in § 30 II Nr. 4 des überarbeiteten BSI-Gesetzes verankert: Geeignete technische und organisatorische Maßnahmen müssen nun ausdrücklich die „Sicherheit im Zusammenhang mit direkten Lieferanten und Dienstleistern“ berücksichtigen(YPOG, Februar 2026). Die Analyse von YPOG bringt es direkt auf den Punkt: Die Einhaltung von NIS2 ist nicht mehr nur eine rechtliche Hürde, sondern eine Voraussetzung für die Teilnahme an der Premium-B2B-Lieferkette, und Unternehmenskunden werden dies zunehmend von ihren Lieferanten als Teil ihrer eigenen Verpflichtungen verlangen.

Die persönliche Haftung der Geschäftsführung erhöht die Dringlichkeit. Nach §38 BSIG sind Geschäftsführer persönlich für die Genehmigung und Überwachung von Risikomanagementmaßnahmen verantwortlich und können für Schäden, die durch Verstöße verursacht werden, nach den bestehenden allgemeinen Grundsätzen des Gesellschaftsrechts haftbar gemacht werden(YPOG, Februar 2026).

Die gute Nachricht laut der Analyse von Reed Smith vom Januar 2026: Organisationen mit ISO 27001 erfüllen bereits etwa 70-80% der grundlegenden IT-Sicherheitsanforderungen der NIS2-Richtlinie. Ihrem Nearshore-Partner die richtigen Fragen zu stellen, wird zu einer machbaren Aufgabe, vorausgesetzt, Sie stellen die richtigen Fragen.

Wie Sie diese Checkliste verwenden

Bewerten Sie jedes der 15 Kriterien von 0 bis 2:

• 0 = Erfüllt nicht
• 1 = Teilweise erfüllt, mit dokumentierten ausgleichenden Kontrollen
• 2 = Vollständig erfüllt, mit aktuellen Nachweisen Dritter

Mögliche Gesamtpunktzahl: 30 Punkte.

Empfohlene Schwellenwerte:

Diese Schwellenwerte sind Richtwerte und keine gesetzlichen Vorgaben. Ihr Rechtsberater sollte die endgültige Entscheidung auf der Grundlage Ihrer spezifischen Risikoklassifizierung gemäß §28 BSIG treffen.

Abschnitt A – Einhaltung der Vorschriften und rechtliche Stellung (5 Kriterien)

Diese beziehen sich direkt auf die Verpflichtungen der NIS2 §30 Lieferkette. Wenn Sie einen dieser Punkte auslassen, ist das ein hohes Risiko.

1. Aktuelle ISO 27001-Zertifizierung

Warum das wichtig ist: Laut einer Analyse von Reed Smith vom Januar 2026 deckt ISO 27001 etwa 70-80% der grundlegenden IT-Sicherheitsanforderungen von NIS2 ab. Ohne sie kann Ihr Anbieter kein systematisches Risikomanagement für die Informationssicherheit nachweisen.

Ascendro verfügt über eine aktuelle ISO 27001-Zertifizierung, die durch ISO 9001 für das Qualitätsmanagement ergänzt wird.

2. TISAX-Zertifizierung (obligatorisch für die Arbeit in der Automobil-Lieferkette)

Warum das wichtig ist: TISAX ist der verbindliche Standard für die Informationssicherheit in der Automobilindustrie, der von der ENX Association im Namen der deutschen Automobilindustrie (VDA) festgelegt wurde. Wenn Ihr Nearshore-Partner mit Code, Daten oder Dokumentationen im Zusammenhang mit Ihren Kunden aus der Automobilindustrie in Berührung kommt, ist TISAX nicht verhandelbar.

Ascendro ist TISAX-zertifiziert, was ein Grund dafür ist, dass wir Software für Kunden aus der Automobilbranche wie BMW und Audi liefern können.

3. EU-Rechtsprechung und GDPR-native Operationen

Warum das wichtig ist: Die Risikomanagement-Verpflichtungen der NIS2 gelten für „direkte Anbieter“, unabhängig davon, wo sie ihren Sitz haben, aber die Datenresidenz, die Durchsetzbarkeit des geistigen Eigentums und die Koordination der Reaktion auf Vorfälle sind innerhalb der EU wesentlich einfacher. Eine direkte Nearshore-Beauftragung von in der EU ansässigen Ingenieuren im Rahmen einer ordnungsgemäß strukturierten Datenverarbeitungsvereinbarung vermeidet die Komplexität der Datenverarbeitung außerhalb der EU, die von Plattformen oder Anbietern mit Hauptsitz außerhalb der EU eingeführt wird(Highcircl, April 2026).

Die Aufträge laufen über Ascendro PRO GmbH (Deutschland) für die Vertragsbeziehung und Ascendro Pro Development SRL (Timișoara) für die Lieferung, mit sowohl rumänischen als auch deutschsprachigen Ingenieuren. Beide Unternehmen sind innerhalb der EU tätig, und das gesamte technische Personal ist in der EU ansässig.

4. Dokumentierte Reaktionsfähigkeit auf Vorfälle (24h / 72h / 1 Monat)

Warum das wichtig ist: Nach der überarbeiteten BSIG erfordern bedeutende Vorfälle eine erste Meldung innerhalb von 24 Stunden, einen detaillierten Bericht innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats(Reed Smith, Januar 2026; DLA Piper, Februar 2026). Ihr Anbieter muss in der Lage sein, diesen Zeitplan einzuhalten. Ein Anbieter mit Wochenend-Sprachnachrichten kann das nicht.

Die Verfahren zur Reaktion auf Vorfälle sind Teil der Managementsysteme von Ascendro nach ISO 27001 und TISAX, mit dokumentierten Runbooks und festgelegten Reaktionsrollen, die mit dem Zeitplan für die NIS2-Berichterstattung übereinstimmen.

5. Nachgewiesene Sicherheit der Software-Lieferkette

Warum das wichtig ist: §30 II Nr. 4 Kaskaden. Wenn Ihr Anbieter in großem Umfang auf Subunternehmer zurückgreift oder Open-Source-Komponenten ohne Überprüfung einbezieht, werden diese vierten Parteien zu Ihrem Problem. Laut der Analyse von The Hacker News vom Mai 2026 wurden durch den Shai-Hulud npm Supply Chain-Angriff vom September 2025 mehr als 500 Pakete kompromittiert und die Zeit bis zur Ausnutzung von CVEs ist auf 44 Tage gesunken, wobei 28,3 % der CVEs innerhalb von 24 Stunden nach der Veröffentlichung ausgenutzt wurden, wie aus dem Mandiant M-Trends 2026 Bericht hervorgeht (ebenfalls zitiert in The Hacker News, Mai 2026).

Das Scannen von Abhängigkeiten, das Scannen von Geheimnissen und die Erstellung von SBOMs gehören bei Kundenaufträgen zu unserem Standardprogramm für Ingenieure. Die Vergabe von Unteraufträgen ist eher die Ausnahme als die Regel. Die meisten leitenden Arbeiten werden von unseren eigenen Ingenieuren ausgeführt.

Abschnitt B – Operative Reife (5 Kriterien)

Bei NIS2 geht es auch um Governance-Disziplin. Diese Kriterien bewerten, ob der Anbieter ein langfristiger Partner sein kann und nicht nur ein Auftragsnehmer.

6. Kontinuierlicher Betrieb unter stabiler Führung

Warum das wichtig ist: Die Anforderungen von NIS2 für dokumentierte Nachweise erstrecken sich über Jahre. Ein Anbieter mit wechselnden Eigentümern, häufigen Umfirmierungen oder unklarer Unternehmenskontinuität kann nicht den Prüfpfad nachweisen, den die Regulierungsbehörden erwarten.

Ascendro ist seit 2011 ununterbrochen tätig, wobei die Kontinuität der deutschen GmbH im Handelsregister (HRB 8741, Friedberg) nachweisbar ist.

7. Nachprüfbare Kundenreferenzen in Ihrem Sektor

Warum das wichtig ist: Branchenerfahrung verringert das Risiko bei der Einführung und zeigt, dass der Anbieter Ihren regulatorischen Kontext versteht. Allgemeine Behauptungen wie „Wir haben mit Unternehmenskunden gearbeitet“ reichen nicht aus.

Zu den namhaften Kunden zählen BMW (ASBC SMACC), Audi, Samsung (Release Management System), Wolf GmbH (länderübergreifende Pimcore-Implementierung in 9 Ländern, 14 Sprachen, 4 Marken), Thinksurance (Migration von PHP zu Microservices) und TH-OWL Smart Factory. Mehrere dieser Projekte sind in Clutch-Bewertungen von Dritten dokumentiert.

8. Überschneidung von deutscher Sprache und Zeitzone

Warum das wichtig ist: BSI-Dokumentation, Kommunikation mit den Regulierungsbehörden, interne Nachprüfungen und die meisten Beschaffungsaudits finden auf Deutsch statt. Ein Nearshore-Partner ohne deutschsprachige Projektmanager (nicht nur Vertriebsmitarbeiter) verursacht Reibungsverluste auf allen kritischen Kommunikationswegen.

Mit einer deutschen GmbH mit Hauptsitz in Hessen und 14 Jahren Erfahrung in der DACH-Region gehört ein deutschsprachiges Projektmanagement zum Standardmodell.

9. Benannte leitende Ingenieure (nicht „das Team“)

Warum das wichtig ist: Body-Shop-Nearshore-Modelle ersetzen Ingenieure beliebig zwischen Projekten. Die NIS2-Verpflichtungen zur Zugriffskontrolle und Rechenschaftspflicht erfordern klare Rollen. Sie müssen genau wissen, welche Personen Zugriff auf Ihre Systeme und Daten haben und persönlich dafür verantwortlich sind.

Ascendro stellt Lebensläufe für leitende Positionen vor der Vertragsunterzeichnung zur Verfügung, wobei die Bindung der Ingenieure in den SOW integriert ist. Wir haben unsere interne CV-Generator-Methode veröffentlicht, die die Identität der Ingenieure nach außen hin anonymisiert, während die Verantwortlichkeit innerhalb des Kundenauftrags gewahrt bleibt.

10. Dokumentierte Einführungs- und Anlaufzeit-Benchmarks

Warum das wichtig ist: Produktivitätsangaben von Anbietern brauchen Daten. Ein erfahrener Partner hat die Zeit bis zur Produktivität bei früheren Aufträgen gemessen und kann zeigen, wie sich ein neuer Ingenieur in einer unbekannten Codebasis zurechtfindet.

Mit unserer internen Skill Matrix und den PM Autotools können wir die Ramp Time über alle Aufträge hinweg verfolgen und potenziellen Kunden auf Wunsch anonymisierte Benchmark-Daten im Rahmen des Beschaffungsprozesses zur Verfügung stellen.

Abschnitt C – Technische Praktiken (5 Kriterien)

In diesem Bereich versagen viele Anbieter, die auf dem Papier konform sind, in der Praxis.

11. Sauberer Umgang mit IP und Quellcode

Warum das wichtig ist: Die Maßnahmen der NIS2-Lieferkette setzen kontrollierbare IP-Grenzen voraus. Wenn ein Anbieter nicht eindeutig erklären kann, wo sich der Quellcode befindet, wer Zugriff hat und wie der Zugriff protokolliert wird, ist Ihr Prüfpfad unterbrochen, bevor es überhaupt zu einem Vorfall kommt.

Standardvertragsvorlagen weisen dem Kunden ab dem ersten Commit IP zu. Kontrollen auf Geräteebene (vollständige Festplattenverschlüsselung, überwachter Zugriff) sind Teil des ISO 27001-Managementsystems, wobei Zugriffsprotokolle für den in den Kundenverträgen festgelegten Zeitraum aufbewahrt werden.

12. Sicherheitsbewusster Entwicklungslebenszyklus (SAST/DAST in Vorbereitung)

Warum das wichtig ist: Gemäß §30 BSIG müssen die technischen Maßnahmen den gesamten Lebenszyklus der Software abdecken, nicht nur die Produktionshärtung(YPOG, Februar 2026). Statische und dynamische Sicherheitstests für Anwendungen müssen in die CI/CD-Pipeline integriert werden und dürfen nicht ad-hoc vor der Veröffentlichung durchgeführt werden.

Pipeline Security Gates sind Teil unseres DevOps-Engagements, wobei die spezifischen Tools an den vorhandenen Stack des jeweiligen Kunden angepasst werden. Unser veröffentlichter DevOps Infrastructure Blueprint umreißt den Standardansatz.

13. Status der Cloud-Partnerschaft (AWS, Azure oder GCP)

Warum das wichtig ist: Der Hyperscaler Partnerstatus beweist, dass der Anbieter über geschulte, zertifizierte Techniker und Zugang zu Architekturprüfungsprogrammen verfügt. Für NIS2-relevante Workloads benötigen Sie Partner, die Cloud-Workloads gegen bestimmte Compliance-Baselines wie AWS European Sovereign Cloud oder die Microsoft Azure EU Data Boundary konfigurieren können.

Ascendro ist Mitglied des AWS-Partner-Netzwerks und verfügt über zertifizierte Ingenieure. Cloud-Engagements werden für deutsche Kunden standardmäßig auf EU-Residenz-Baselines skaliert.

14. KI-unterstützte Kodierungssteuerung

Warum das wichtig ist: KI-Codierungstools (Claude Code, GitHub Copilot, Cursor, Codex) sind heute in fast jedem technischen Arbeitsablauf zu finden. Laut der Analyse von The Hacker News vom Mai 2026 über die Sicherheit von agentenbasierter KI sind diese Tools bereits in die Arbeitsabläufe von Entwicklern eingebettet, unabhängig davon, ob sie offiziell zugelassen sind oder nicht, und „auf welche Daten sie zugreifen können, wie sie mit Codebases interagieren und welche Aktionen sie ausführen können, ist heute grundlegendes Sicherheitswissen.“ Die Haftung der NIS2-Verwaltung erstreckt sich auch darauf, wie Ihr Anbieter KI für Ihren Code einsetzt.

Im vergangenen Jahr haben wir einen strukturierten Ansatz für die KI-gestützte Programmierung entwickelt und veröffentlicht, einschließlich unseres Architecture Lock File Frameworks und unserer internen KI-Richtlinie. Das Framework wurde entwickelt, um die KI-Generierung innerhalb überprüfbarer, auditierbarer Grenzen zu halten, anstatt sie ungehindert in den Client-Code einfließen zu lassen.

15. Nachhaltiger Skalierungspfad (BOT, eigenes Team oder Verstärkung)

Warum das wichtig ist: NIS2 erwartet einen Governance-Reifegrad, der mit Ihrem Engagement wächst. Ein Anbieter, der nur ein einziges Modell anbietet, ist möglicherweise nicht der richtige Partner für eine mehrjährige Roadmap, bei der sich Ihre Anforderungen von der Erweiterung über ein eigenes Team bis hin zu einem internen Hub ändern können.

Ascendro unterstützt die Verstärkung von IT-Personal, vollständig verwaltete, dedizierte Nearshore-Teams und Build-Operate-Transfer-Engagements, bei denen Kunden schließlich ihr eigenes Entwicklungszentrum einrichten. Alle drei Modelle operieren unter der gleichen deutsch-rumänischen Rechtsstruktur, was die Übergänge zwischen ihnen vereinfacht.

Zusammenfassung der Punktevergabe

NIS2 ist nicht wirklich ein neues Regelwerk. Es geht darum, wie deutsche Unternehmen ihre Software-Lieferkette behandeln sollen: als regulierte Erweiterung ihres eigenen Sicherheitsbereichs, mit persönlicher Verantwortung für die Personen, die diese Kette abzeichnen.

Die 15 Kriterien in dieser Checkliste allein werden Sie nicht konform machen. Sie sind ein Hilfsmittel, um das Feld der Nearshore-Partner auf diejenigen einzugrenzen, die glaubwürdig die Art von Audit überstehen können, die Ihre Unternehmenskunden zunehmend von Ihnen verlangen, um sie an Ihre Lieferanten weiterzugeben. Das ist der eigentliche Wert, wenn Sie diese Übung frühzeitig durchführen: Sie verwandelt die Auswahl des Anbieters von einem Kostengespräch in ein Risikogespräch und gibt Ihnen eine vertretbare Dokumentation, dass die Wahl auf der Grundlage der Substanz und nicht des Preises getroffen wurde.

Die Merkmale eines NIS2-kompatiblen Partners sind klar erkennbar. EU-Rechtsprechung, aktuelle Zertifizierungen, stabile Führung, benannte Verantwortlichkeit, Governance-Reife, die mit dem Wachstum Ihres Engagements wächst. Viele Anbieter werden einige dieser Kriterien erfüllen. Noch weniger werden die meisten erfüllen. Und noch weniger haben sich von Anfang an auf diese Anforderungen eingestellt.

Ascendro wurde auf dem deutsch-rumänischen Modell aufgebaut, weil die Kunden, die wir beliefern – Automobilzulieferer der Stufe 1, regulierte Hersteller, Fintech- und Gesundheitsunternehmen – immer diese Kombination aus EU-Rechtsprechung, Informationssicherheit auf Automobilniveau und stabiler, langfristiger Partnerschaft gefordert haben. NIS2 hat die Anforderungen explizit gemacht. Das Modell, das dahinter steht, haben wir seit 2011 aufgebaut.

Wenn Sie sehen möchten, wie Ascendro jedes der 15 Kriterien nachweist, gehen wir es gerne mit Ihnen durch. Kontaktieren Sie uns unter info@ascendro.de.