NIS2 in der Lieferkette · von Buzzard AI

Ihr Großkunde verlangt plötzlich Cyber-Nachweise von Ihnen?

Auch wer selbst nicht direkt unter NIS2 fällt, wird über die Lieferkette zum Nachweis gezwungen. TULPAR prüft Ihr Netzwerk und liefert dokumentierte technische Evidenz über Ihre Schwachstellen — den Beleg, den Ihr Auftraggeber sehen will. Läuft bei Ihnen im Haus, keine Cloud.

Läuft im Haus · keine Cloud · Daten bleiben Ihre Nur ansehen — aktiver Test nur mit Ihrer Freigabe Dokumentierte Evidenz für den Auftraggeber
Warum der Nachweis zählt

Ihr Auftraggeber will sehen, wo Sie angreifbar sind.

Eine Zusicherung reicht dem Großkunden nicht — er muss das Risiko seiner Lieferkette belegen. TULPAR zeigt den Weg, den ein Angreifer durch Ihr Netz nehmen würde, und macht ihn dokumentierbar. Tippen Sie auf einen Schritt, um den Fix zu sehen.

Beispielhafter Angriffspfad · so liest TULPAR Ihr Netz

🖨️
Druck-Server
PRINT-01 · 10.10.10.50
PrintNightmare · CVE-2021-34527
✅ Fix: Druckspooler auf Servern deaktivieren bzw. Sicherheitsupdate einspielen — schon hier reißt die Kette.
💻
Mitarbeiter-PC
WS-042 · 10.10.10.42
NTLM-Relay
✅ Fix: SMB-Signing erzwingen und NTLM einschränken — der Angreifer kann die Anmeldung nicht mehr weiterreichen.
🔑
Service-Konto
svc_sql
Kerberoasting → DCSync
✅ Fix: langes, zufälliges Passwort für Service-Konten und Rechte einschränken — kein Sprung zum Domänen-Controller.
👑
Volle Kontrolle
Domain-Admin · DC01
Game Over
✅ Wäre einer der Schritte davor geschlossen, käme der Angreifer hier nie an.
Vom kleinen Drucker bis zur vollen Kontrolle — ein einziger Fix unterbricht die Kette. TULPAR dokumentiert, welcher — und liefert den Nachweis für Ihren Auftraggeber.
Das Problem

Über die Lieferkette werden auch Nicht-Pflichtige in die Pflicht genommen.

📨

Die Anforderung kommt von oben

Das NIS2-Umsetzungsgesetz ist in Deutschland in Kraft (rund Dezember 2025). Ihr NIS2-pflichtiger Großkunde muss das Risiko seiner Lieferkette managen — und fordert deshalb Belege von Ihnen ein.

🤷

Sie sind vielleicht nicht direkt betroffen

NIS2 trifft der Größenordnung nach rund 29.500 Unternehmen in 18 Sektoren, grundsätzlich ab rund 50 Mitarbeitenden oder über 10 Mio. EUR Umsatz. Viele Zulieferer fallen selbst nicht darunter — und stehen trotzdem in der Verantwortung.

⏱️

Und der Druck ist real

Laut BSI treffen rund 80 % der gemeldeten Angriffe kleine und mittlere Unternehmen. Wer keinen Nachweis liefern kann, riskiert im schlimmsten Fall den Auftrag — der Beleg wird zur Voraussetzung der Zusammenarbeit.

Was TULPAR ist

Ihr technischer Nachweis gegenüber dem Auftraggeber.

Eine Software, die in Ihrem Netzwerk läuft und alles automatisch prüft — so, wie ein Angreifer es sehen würde. Sie liefert dokumentierte technische Evidenz über Ihre Schwachstellen, die Sie Ihrem Großkunden vorlegen können, und zeigt Ihnen verständlich, was Sie zuerst beheben sollten.

  • Dokumentierte Evidenz. Ein nachvollziehbarer Stand Ihrer Schwachstellen — der Beleg, den die Lieferkette verlangt.
  • Kein Cloud-Zwang. Läuft komplett bei Ihnen im Haus — und Sie entscheiden, welchen Bericht Sie weitergeben.
  • Nur ansehen als Standard. Ein aktiver Test erfolgt ausschließlich mit Ihrer ausdrücklichen Freigabe.
So einfach geht's

In drei Schritten zum Nachweis.

1

Installieren

TULPAR im Netzwerk einrichten — startklar in Minuten.

2

Prüfen lassen

🟢 Nur ansehen (empfohlen) oder 🟡 aktiv testen — mit Ihrer Freigabe.

3

Vorlegen

Dokumentierter Bericht mit Schulnote und Ampel — als Nachweis für den Auftraggeber.

4Ausreichend
Sicherheits-Zeugnis
Beispiel-Auswertung · Netzwerk „Musterfirma GmbH"
Druck-Server mit bekannter Lückekritisch
Service-Konto mit schwachem Passwortkritisch
Windows-Updates teils veraltetmittel
SMB-Signing nicht erzwungenmittel
Firewall & Virenschutz aktivok
Ihre wichtigste Maßnahme: Druckspooler absichern — schließt allein den gefährlichsten Angriffspfad. Illustratives Beispiel.
Warum TULPAR

Ein Beleg, den auch der Einkauf versteht.

Ein Bericht, den auch eine Geschäftsführung ohne IT liest — und den Sie Ihrem Auftraggeber vorlegen können: Schulnote, Ampel, und die drei Maßnahmen, die am meisten bringen, in dieser Reihenfolge.

📋

Klartext-Bericht

Schulnote & Ampel statt Fachchinesisch — verständlich für Chef und Kunde.

⚖️

Nachweis unterstützt

Liefert dokumentierte technische Evidenz Richtung NIS2-Lieferkette — keine Garantie, kein Siegel, kein Ersatz für Beratung.

🔒

Bleibt im Haus

Läuft offline — keine Cloud, keine Datenabflüsse, DSGVO-freundlich.

🛡️

Nichts ohne Freigabe

Wir greifen nichts an, was Sie nicht ausdrücklich freigeben.

Anlässe

Wann ein Sicherheits-Nachweis jetzt sinnvoll ist.

Preis

Erst sehen, wo Sie stehen. Individuell für Ihr Netzwerk.

TULPAR Nachweis-Check
Individuell
Erster Sicherheitscheck schnell startklar · Angebot auf Anfrage
  • Automatischer Schwachstellen-Scan im eigenen Netz
  • Angriffspfad-Analyse — die Kette und der eine Fix
  • Dokumentierte technische Evidenz zum Vorlegen beim Auftraggeber
  • On-Premise, keine Cloud — Ihre Daten bleiben im Haus
  • Nur ansehen als Standard — aktiver Test nur mit Ihrer Freigabe
Nachweis-Check anfragen →
Häufige Fragen

Häufige Fragen zu NIS2 in der Lieferkette.

Nicht unbedingt direkt. Das NIS2-Umsetzungsgesetz trifft in Deutschland der Größenordnung nach rund 29.500 Unternehmen aus 18 regulierten Sektoren, grundsätzlich ab rund 50 Mitarbeitenden oder über 10 Mio. EUR Umsatz. Viele Zulieferer fallen selbst nicht unter diese Schwelle — werden aber über die Lieferkette in die Pflicht genommen, weil ihr NIS2-pflichtiger Auftraggeber das Risikomanagement seiner Lieferkette nachweisen muss und deshalb Belege von Ihnen einfordert. Ob und wie Sie selbst betroffen sind, hängt von Ihrem Sektor und Ihrer Größe ab. Das ersetzt keine Rechtsberatung; die Betroffenheit ist ein Einzelfall.

Nein. TULPAR ist keine Zertifizierung, kein Siegel und keine Rechtsberatung und macht Sie nicht automatisch konform. Was TULPAR tut: Es deckt den technischen Teil ab — es identifiziert Schwachstellen in Ihrem Netzwerk und liefert dokumentierte technische Evidenz, die Sie Ihrem Auftraggeber als Nachweis über Ihren Sicherheitsstand vorlegen können. NIS2 verlangt unter anderem rund zehn verbindliche Maßnahmenbereiche im Risikomanagement; der technische Schwachstellen-Nachweis ist einer der Bausteine, die TULPAR unterstützt. Die rechtliche und organisatorische Einordnung bleibt Ihre Aufgabe und ist ein Einzelfall.

Weil ein NIS2-pflichtiger Großkunde im Rahmen seines eigenen Lieferketten-Risikomanagements belastbare, nachvollziehbare Belege braucht — keine bloße Zusicherung. Eine Firewall sagt nichts darüber aus, ob ein vergessener Drucker, ein schwaches Dienstkonto oder veraltete Updates einen Angriffspfad offen lassen. TULPAR liefert genau das: einen dokumentierten Stand Ihrer konkreten Schwachstellen mit Schulnote und Ampel, den Sie als technische Evidenz weiterreichen können — statt nur zu behaupten, dass alles in Ordnung sei.

Nein. TULPAR läuft on-premise und offline direkt bei Ihnen im Netzwerk. Es gibt keinen Cloud-Zwang, die Ergebnisse bleiben in Ihrem Haus — und Sie entscheiden selbst, welchen Bericht Sie an Ihren Auftraggeber weitergeben. Das ist gerade dann wichtig, wenn Ihre eigenen Kunden- oder Produktionsdaten sensibel sind, und unterstützt die Anforderungen der DSGVO an Datenhoheit. Im Übrigen ist TULPAR eine autorisierte Selbstprüfung Ihres eigenen Netzes und greift nichts an, was Sie nicht ausdrücklich freigeben.

Sie erhalten einen Klartext-Bericht mit Schulnote und Ampel sowie eine dokumentierte Auflistung der gefundenen Schwachstellen und des Angriffspfads — also der Kette, über die sich einzelne Schwächen zu einem Risiko verbinden. Diese dokumentierte technische Evidenz können Sie Ihrem Auftraggeber vorlegen, um Ihren Sicherheitsstand zu belegen, und sie hilft Ihnen zugleich, die wichtigsten Lücken zuerst zu schließen. TULPAR liefert damit den technischen Baustein; ein Siegel oder eine Zertifizierung ist es ausdrücklich nicht.

Nein. Der Bericht kommt im Klartext — mit einer Schulnote, einer Ampel und einer priorisierten Liste, was Sie zuerst tun sollten. Auch eine Geschäftsführung ohne IT-Hintergrund versteht auf einen Blick, wie es um die Sicherheit steht und welche Maßnahme am meisten bringt. So können Sie der Anforderung Ihres Auftraggebers begegnen, ohne erst eine teure Übersetzung in Fachsprache einkaufen zu müssen.

TULPAR schließt die Lücke zwischen einem einfachen Scan und einem einmaligen, teuren Penetrationstest. Solche Tests bewegen sich typisch zwischen rund 2.000 und 25.000 EUR und sind nur eine Momentaufnahme. TULPAR macht Ihre Angreifbarkeit dauerhaft und verständlich sichtbar und liefert die dokumentierte technische Evidenz für Ihren Auftraggeber zu einem Bruchteil der Kosten. Verlangt ein Großkunde ausdrücklich einen vollwertigen Pentest, kann der weiterhin nötig sein — TULPAR sagt Ihnen, wo sich der Aufwand lohnt.

Der Umfang richtet sich nach der Größe Ihres Netzwerks und der Anforderung Ihres Auftraggebers — wir erstellen Ihnen ein individuelles Angebot. Starten können Sie mit einem ersten Sicherheitscheck, der Ihnen im Klartext zeigt, wo Sie stehen, und der die erste dokumentierte Evidenz für die Lieferkette liefert.

TULPAR ist ein autorisiertes Selbstprüfungs-Werkzeug für das eigene Netzwerk und wird von Buzzard AI angeboten. Aktive Tests erfolgen nur im eigenen Netz und ausschließlich mit ausdrücklicher Freigabe. TULPAR liefert dokumentierte technische Evidenz zur Schwachstellen-Dokumentation und unterstützt den technischen Nachweis gegenüber Auftraggebern, ist aber keine Zertifizierung, kein Siegel und keine Rechtsberatung und garantiert keine NIS2-, BSI- oder DSGVO-Konformität. Das ersetzt keine Rechtsberatung; die Betroffenheit ist ein Einzelfall. Genannte Marken und CVE-Kennungen gehören ihren Inhabern und dienen der sachlichen Einordnung.
Kostenloses Erstgespräch

Ihr Kunde fordert einen Nachweis — und Sie wissen nicht, wo Sie stehen?

Lassen Sie es uns gemeinsam herausfinden. In einem kurzen Gespräch klären wir die Anforderung Ihres Auftraggebers und zeigen, wie der Nachweis-Check bei Ihnen abläuft — on-premise, nur ansehen als Standard, dokumentierte Evidenz inklusive.

Schritt 1 von 3
Was ist gerade Ihr größtes Thema?
Mustafa Sahinli
Mustafa Sahinli · Buzzard AI
Prozessarchitekt · 06183 / 909 99 92 · WhatsApp