Eine neue EU-Verordnung, 29.500 betroffene deutsche Unternehmen, ein spezifisches operatives Problem ohne bezahlbare Softwarelösung — und ein klares Fenster für einen First Mover.
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) gilt in Deutschland seit dem 6. Dezember 2025. Die Registrierungsfrist beim BSI lief am 6. März 2026 ab. Das BSI ist jetzt in aktiver Aufsichts- und Durchsetzungsphase.
Die EU-Richtlinie 2022/2555 (NIS2) verpflichtet Unternehmen in 18 kritischen Branchen — von Energie und Logistik über Maschinenbau bis hin zu Gesundheit und digitaler Infrastruktur — zu nachweisbarer Cybersicherheit. Deutschland hat diese Richtlinie mit dem NIS2UmsuCG in nationales Recht umgesetzt.
Was das konkret bedeutet: Betroffene Unternehmen müssen Risikomanagementmaßnahmen in zehn Bereichen dokumentieren, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden melden, und ihre Geschäftsleitung haftet persönlich für die Umsetzung (§38 BSIG). Das BSI kann Bußgelder bis zu €10 Mio. oder 2 % des weltweiten Jahresumsatzes verhängen.
Von den zehn Pflichtbereichen ist Lieferkettensicherheit (Art. 21 Abs. 2d NIS2 / §30 Abs. 2 Nr. 4 BSIG) der operativ aufwendigste: Betroffene Unternehmen müssen die Cybersicherheit ihrer Zulieferer aktiv prüfen, dokumentieren und nachweisen können — auf Anfrage des BSI jederzeit.
Ein typisches Mittelstandsunternehmen hat 50 bis 200 relevante Lieferanten. Das bedeutet: Fragebögen verschicken, Antworten einsammeln, Nachweise archivieren, Verfallsdaten überwachen. Heute läuft das so ab:
Das ist kein theoretisches Risiko. Die BSI-Registrierungsfrist ist abgelaufen, der Aufsichtsmodus hat begonnen. Unternehmen, die ihren ISB fragen, erhalten heute die Antwort: "Wir wissen nicht genau, wie wir das sauber dokumentieren sollen."
Es gibt Lösungen — aber keine, die das spezifische Problem der ausgehenden Lieferantenattestierung für den Mittelstand löst. Hier eine direkte Gegenüberstellung:
| Kriterium | Enterprise GRC OneTrust, UpGuard |
nisd2.eu Open Source |
DataGuard / Secjur DE-Anbieter |
Excel + E-Mail Status quo |
Unser Tool Idee |
|---|---|---|---|---|---|
| Preis | €20.000+/Jahr | Kostenlos | €500–2.000/Mo. | €0 | €49–299/Mo. |
| Zielgruppe | Konzerne | Alle | KMU–Mittelstand | Alle | Mittelstand |
| Fragebogen rausschicken & tracken | ✓ Ja | ✗ Nein | ~ Teilweise | ✗ Manuell | ✓ Ja (Kernfunktion) |
| Automatische Erinnerungen | ✓ Ja | ✗ Nein | ~ Teilweise | ✗ Nein | ✓ Ja |
| Audit-fähiger Export (BSI) | ✓ Ja | ~ Intern nur | ✓ Ja | ✗ Nein | ✓ Ja |
| Lieferant füllt Profil einmal aus | ✗ Nein | ~ Nur push | ✗ Nein | ✗ Nein | ✓ Ja (viral loop) |
| Deutschsprachig & DSGVO | ✗ EN-first | ✓ Ja | ✓ Ja | — | ✓ Ja |
| Für 100–500 Lieferanten geeignet | ✓ Ja | ✗ Nein | ~ Ja, aber teuer | ✗ Nicht skalierbar | ✓ Ja |
Das Ergebnis: Die Lücke liegt genau zwischen "kostenlosem internem Compliance-Tool ohne Outbound-Flow" und "Enterprise-Suite für Konzerne". Für den deutschen Mittelstand mit 50–200 Lieferanten gibt es heute keine bezahlbare, funktionierende Lösung.
Das Modell ist einfach: SaaS-Abonnement, gestaffelt nach Anzahl der verwalteten Lieferanten. Der Käufer ist der IT-Sicherheitsbeauftragte oder IT-Leiter — jemand mit gesetzlichem Druck und Budgetverantwortung.
Wir konkurrieren nicht mit Enterprise-GRC-Suiten — wir bauen das Tool, das für den Mittelstand zu teuer und komplex ist, und lösen dabei ein einziges Problem besser als irgendjemand sonst.
Wir lösen ausschließlich den Lieferanten-Attestierungsprozess — Fragebogen raus, Antwort rein, Nachweis gespeichert, Audit-Log fertig. Kein überladenes GRC-Suite.
Lieferanten füllen ihr Sicherheitsprofil einmal aus und teilen es mit allen Kunden. Jeder neue Lieferant bringt potenzielle neue zahlende Kunden (deren Kunden) mit.
BSIG-Terminologie, deutsche Benutzeroberfläche, DSGVO-konforme Datenhaltung in Deutschland. Enterprise-Anbieter sprechen Englisch — wir sprechen Mittelstand.
Das Gesetz ist seit Dezember 2025 in Kraft, die Registrierungsfrist abgelaufen. Unternehmen suchen jetzt aktiv nach Lösungen — das Zeitfenster für einen First Mover ist offen, aber nicht unbegrenzt.
Wir bauen noch nichts. Zuerst wollen wir bestätigen, dass der Schmerz real und groß genug ist, um ein Produkt zu rechtfertigen. Dafür brauchen wir direkte Rückmeldungen von betroffenen Unternehmen.
Wenn du 1–3 Kontakte aus den genannten Branchen (Maschinenbau, Logistik, Energie, Gesundheit) kennst — Unternehmen ab ca. 100 Mitarbeitern — wäre es sehr wertvoll, wenn du sie mit diesen zwei Fragen ansprechen könntest:
Kein Verkaufsgespräch, keine Präsentation — nur zwei kurze Fragen. Ihre Antworten entscheiden, ob wir weiterbauen oder den Ansatz anpassen. Jede Antwort — positiv oder negativ — ist wertvoll.