Interne Marktanalyse  ·  Juli 2026  ·  Vertraulich

NIS2 Lieferanten-Attestierung
als Micro-SaaS Opportunity

Eine neue EU-Verordnung, 29.500 betroffene deutsche Unternehmen, ein spezifisches operatives Problem ohne bezahlbare Softwarelösung — und ein klares Fenster für einen First Mover.

Erstellt: Juli 2026 Status: Pre-Validation Fokus: DACH-Markt Vertraulich — nicht weitergeben
29.500
Unternehmen in DE betroffen
(Quelle: BSI, 2025)
€10 Mio.
Max. Bußgeld bei Verstoß
+ persönliche GF-Haftung
0
Bezahlbare Tools für den
Mittelstand — aktuell
1
Das Gesetz — was ist NIS2 und warum jetzt?
⚡ Bereits in Kraft — keine Übergangsfrist

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) gilt in Deutschland seit dem 6. Dezember 2025. Die Registrierungsfrist beim BSI lief am 6. März 2026 ab. Das BSI ist jetzt in aktiver Aufsichts- und Durchsetzungsphase.

Die EU-Richtlinie 2022/2555 (NIS2) verpflichtet Unternehmen in 18 kritischen Branchen — von Energie und Logistik über Maschinenbau bis hin zu Gesundheit und digitaler Infrastruktur — zu nachweisbarer Cybersicherheit. Deutschland hat diese Richtlinie mit dem NIS2UmsuCG in nationales Recht umgesetzt.

Was das konkret bedeutet: Betroffene Unternehmen müssen Risikomanagementmaßnahmen in zehn Bereichen dokumentieren, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden melden, und ihre Geschäftsleitung haftet persönlich für die Umsetzung (§38 BSIG). Das BSI kann Bußgelder bis zu €10 Mio. oder 2 % des weltweiten Jahresumsatzes verhängen.

2
Das spezifische Problem — Lieferantensicherheit

Von den zehn Pflichtbereichen ist Lieferkettensicherheit (Art. 21 Abs. 2d NIS2 / §30 Abs. 2 Nr. 4 BSIG) der operativ aufwendigste: Betroffene Unternehmen müssen die Cybersicherheit ihrer Zulieferer aktiv prüfen, dokumentieren und nachweisen können — auf Anfrage des BSI jederzeit.

Ein typisches Mittelstandsunternehmen hat 50 bis 200 relevante Lieferanten. Das bedeutet: Fragebögen verschicken, Antworten einsammeln, Nachweise archivieren, Verfallsdaten überwachen. Heute läuft das so ab:

Fragebogen erstelltWord-Dokument, per E-Mail verschickt
Warten & mahnen30–40 % antworten nicht
Nachweise sammelnPDFs per E-Mail, keine Struktur
Excel aktualisierenVerfallsdaten manuell tracken
BSI-PrüfungKein Audit-Trail, kein Nachweis — Bußgeld droht
Das BSI selbst begrüßt in seinen offiziellen FAQ Bestrebungen der Wirtschaft, standardisierte Sicherheitsfragebögen für Lieferanten zu entwickeln — und signalisiert damit ausdrücklich, dass ein einheitlicher, toolgestützter Ansatz erwartet wird. Quelle: BSI NIS-2-FAQ — bsi.bund.de › NIS-2-FAQ

Das ist kein theoretisches Risiko. Die BSI-Registrierungsfrist ist abgelaufen, der Aufsichtsmodus hat begonnen. Unternehmen, die ihren ISB fragen, erhalten heute die Antwort: "Wir wissen nicht genau, wie wir das sauber dokumentieren sollen."

3
Wettbewerbslandschaft — wo ist die Lücke?

Es gibt Lösungen — aber keine, die das spezifische Problem der ausgehenden Lieferantenattestierung für den Mittelstand löst. Hier eine direkte Gegenüberstellung:

Kriterium Enterprise GRC
OneTrust, UpGuard
nisd2.eu
Open Source
DataGuard / Secjur
DE-Anbieter
Excel + E-Mail
Status quo
Unser Tool
Idee
Preis €20.000+/Jahr Kostenlos €500–2.000/Mo. €0 €49–299/Mo.
Zielgruppe Konzerne Alle KMU–Mittelstand Alle Mittelstand
Fragebogen rausschicken & tracken ✓ Ja ✗ Nein ~ Teilweise ✗ Manuell ✓ Ja (Kernfunktion)
Automatische Erinnerungen ✓ Ja ✗ Nein ~ Teilweise ✗ Nein ✓ Ja
Audit-fähiger Export (BSI) ✓ Ja ~ Intern nur ✓ Ja ✗ Nein ✓ Ja
Lieferant füllt Profil einmal aus ✗ Nein ~ Nur push ✗ Nein ✗ Nein ✓ Ja (viral loop)
Deutschsprachig & DSGVO ✗ EN-first ✓ Ja ✓ Ja ✓ Ja
Für 100–500 Lieferanten geeignet ✓ Ja ✗ Nein ~ Ja, aber teuer ✗ Nicht skalierbar ✓ Ja

Das Ergebnis: Die Lücke liegt genau zwischen "kostenlosem internem Compliance-Tool ohne Outbound-Flow" und "Enterprise-Suite für Konzerne". Für den deutschen Mittelstand mit 50–200 Lieferanten gibt es heute keine bezahlbare, funktionierende Lösung.

4
Wie verdienen wir Geld?

Das Modell ist einfach: SaaS-Abonnement, gestaffelt nach Anzahl der verwalteten Lieferanten. Der Käufer ist der IT-Sicherheitsbeauftragte oder IT-Leiter — jemand mit gesetzlichem Druck und Budgetverantwortung.

Starter
€49/Monat
bis 25 Lieferanten
Für kleine Einrichtungen — erste Schritte ohne Risiko
Beliebteste Option
Professional
€149/Monat
bis 100 Lieferanten
Vollständiger Workflow + Audit-Export + automatische Erinnerungen
Business
€299/Monat
Unbegrenzt
Für größere Einrichtungen + SSO + Priority Support
Konservative MRR-Projektion (nur Deutschland)
Jahr 1
€4.500 MRR
Jahr 2
€15.000 MRR
Jahr 3
€37.500 MRR
Basis: 30 → 100 → 250 zahlende Kunden · Ø €150/Mo. · Bei 29.500 betroffenen Unternehmen entspricht das einer Durchdringung von <1 % — ein realistisches Ziel für ein fokussiertes B2B-SaaS-Produkt.
5
Warum können wir das gewinnen?

Wir konkurrieren nicht mit Enterprise-GRC-Suiten — wir bauen das Tool, das für den Mittelstand zu teuer und komplex ist, und lösen dabei ein einziges Problem besser als irgendjemand sonst.

🎯

Fokus auf einen Workflow

Wir lösen ausschließlich den Lieferanten-Attestierungsprozess — Fragebogen raus, Antwort rein, Nachweis gespeichert, Audit-Log fertig. Kein überladenes GRC-Suite.

🔄

Viraler Lieferanten-Loop

Lieferanten füllen ihr Sicherheitsprofil einmal aus und teilen es mit allen Kunden. Jeder neue Lieferant bringt potenzielle neue zahlende Kunden (deren Kunden) mit.

🇩🇪

Deutsche Lokalisierung

BSIG-Terminologie, deutsche Benutzeroberfläche, DSGVO-konforme Datenhaltung in Deutschland. Enterprise-Anbieter sprechen Englisch — wir sprechen Mittelstand.

Timing-Vorteil

Das Gesetz ist seit Dezember 2025 in Kraft, die Registrierungsfrist abgelaufen. Unternehmen suchen jetzt aktiv nach Lösungen — das Zeitfenster für einen First Mover ist offen, aber nicht unbegrenzt.

6
Was wir jetzt brauchen — deine Hilfe

Wir bauen noch nichts. Zuerst wollen wir bestätigen, dass der Schmerz real und groß genug ist, um ein Produkt zu rechtfertigen. Dafür brauchen wir direkte Rückmeldungen von betroffenen Unternehmen.

Wenn du 1–3 Kontakte aus den genannten Branchen (Maschinenbau, Logistik, Energie, Gesundheit) kennst — Unternehmen ab ca. 100 Mitarbeitern — wäre es sehr wertvoll, wenn du sie mit diesen zwei Fragen ansprechen könntest:

Bitte stelle diesen Kontakten genau diese zwei Fragen
1
„Habt ihr einen strukturierten Prozess, um die IT-Sicherheit eurer Lieferanten für NIS2 zu prüfen und zu dokumentieren?"
2
„Wie macht ihr das aktuell — nutzt ihr ein Tool dafür, oder läuft das über Excel und E-Mail?"

Kein Verkaufsgespräch, keine Präsentation — nur zwei kurze Fragen. Ihre Antworten entscheiden, ob wir weiterbauen oder den Ansatz anpassen. Jede Antwort — positiv oder negativ — ist wertvoll.