NIS-2 im Bauwesen: Warum Baubetriebe jetzt handeln sollten

CoCrafter Blog Autor Profilbild
Florian Siegel
March 25, 2026
Bild vom Baukran eines GUs

Zusammenfassung

Seit Dezember 2025 gilt das NIS-2-Umsetzungsgesetz – direkt betroffen sind rund 29.500 Unternehmen kritischer Sektoren. Baubetriebe stehen nicht auf der Liste. Doch über Auftraggeber aus Energie, IT, Gesundheit oder Verkehr geraten sie zunehmend in den Wirkungsbereich der Richtlinie. Wer das früh erkennt, verschafft sich einen echten Wettbewerbsvorteil und vermeidet das Risiko, bei bestimmten Aufträgen in der Ausschreibung nicht berücksichtigt zu werden.

Was ist NIS-2 – und was hat das mit meinem Betrieb zu tun?

NIS-2 (Network and Information Security Directive 2) ist eine EU-Richtlinie zur Stärkung der Cybersicherheit in kritischen Infrastrukturen. In Deutschland gilt sie seit dem 6. Dezember 2025 als NIS2UmsuCG. Rund 29.500 Unternehmen in Sektoren wie Energie, Gesundheit, Wasser und Transport sind direkt verpflichtet – mit strengen Anforderungen an IT-Sicherheitsmanagement, Meldepflichten bei Vorfällen und die Sicherheit ihrer Lieferkette.

Genau diese Lieferkettenpflicht ist der Grund, warum das Thema für Elektro-, HKLS- und weitere Ausbaubetriebe relevant wird – auch wenn sie selbst nicht auf der Pflichtliste stehen.

Die Kaskade: Wie NIS-2 auf Ausbaubetriebe durchschlägt

Direkt betroffene Unternehmen – etwa ein Netzbetreiber oder ein Krankenhausträger – sind gesetzlich verpflichtet, die IT-Sicherheit ihrer Auftragnehmer zu bewerten. Diese Pflicht geben sie wie folge vertraglich weiter:

Stufe Akteur Rolle
1 Kritische Infrastruktur (Netzbetreiber, Krankenhaus, Rechenzentrum) Direkt NIS-2-pflichtig
2 Generalunternehmer Empfängt Anforderungen, gibt sie weiter
3 Ausbaubetrieb (Elektro, HKLS, MSR) Wird nach IT-Sicherheit gefragt
4 Nachunternehmer des Ausbaubetriebs Kann ebenfalls in den Fokus geraten

Wichtig: Das ist kein automatischer gesetzlicher Durchgriff. Es ist eine vertragliche Dynamik – und sie trifft vor allem Betriebe mit Zugang zu Steuerungstechnik, Gebäudeleittechnik oder vernetzten Systemen auf der Baustelle.

Wer ist als Ausbaubetrieb besonders betroffen?

Nicht jeder Baubetrieb ist gleich stark im Fokus. Das Risiko steigt erheblich, wenn einer dieser Punkte zutrifft:

  • Elektrobetriebe, die Netzwerk-, Steuerungs- oder MSR-Technik installieren
  • HKLS-Betriebe, deren Anlagen an Gebäudeleittechnik oder BMS-Systeme angebunden werden
  • Betriebe, die für Krankenhäuser, Rechenzentren, Energieversorger oder Verkehrsinfrastruktur tätig sind
  • Betriebe mit Remote-Zugängen zu Baustellen-IT oder Anlagentechnik
  • Betriebe, die ihrerseits Nachunternehmer auf solchen Projekten einsetzen

Was Auftraggeber konkret fragen werden

Wer für NIS-2-pflichtige Auftraggeber baut, muss damit rechnen, bei Ausschreibungen oder im laufenden Projekt folgende Fragen gestellt zu bekommen:

  1. Selbstauskunft zur IT-Sicherheitslage – Haben Sie grundlegende Schutzmaßnahmen implementiert?
  2. Multi-Faktor-Authentifizierung (MFA) – Ist der Remote-Zugang zu Baustellen-IT abgesichert?
  3. Vorfallmeldung – Können Sie Sicherheitsvorfälle, die projektrelevante Systeme betreffen, zeitnah melden?
  4. Nachunternehmerkontrolle – Wie stellen Sie sicher, dass Ihre eigenen Subunternehmer keine unkontrollierten Risiken einbringen?
  5. Dokumentation – Können Sie Ihre Prüfprozesse auf Anfrage nachweisen? Wie sehen Evaluationsprozesse aus? Haben Sie ein Qualitätsmanagement und QM-Bewertungen Ihrer Nachunternehmer?

Wer auf diese Fragen keine Antwort hat, riskiert den Ausschluss aus Ausschreibungen – nicht wegen gesetzlicher Sanktionen, sondern weil der Auftraggeber die Konformität seiner gesamten Lieferkette nachweisen muss. Kommen Sie auf uns zu, um dies zu vermeiden und insbesondere rund um die Nachunternehmerkontroll-Prozesse als auch Dokumentation richtig aufzustellen.

5 praktische Maßnahmen, die Ausbaubetriebe jetzt umsetzen können

Diese Schritte sind realistisch, verhältnismäßig und stärken gleichzeitig die eigene Betriebssicherheit:

1. Auftraggeber-Analyse durchführen: Prüfen Sie, für welche Ihrer aktuellen und potenziellen Auftraggeber NIS-2 gilt. Krankenhäuser, Energieversorger, Wasserwerke, Rechenzentren und Verkehrsinfrastruktur sind typische Kandidaten.

2. Remote-Zugänge absichern: Stellen Sie sicher, dass jeder Remote-Zugang zu Baustellen-IT oder Anlagensteuerung mit Multi-Faktor-Authentifizierung geschützt ist. Das ist eine der meistgefragten Einzelmaßnahmen.

3. Nachunternehmerdokumentation strukturieren: Führen Sie mit CoCrafter ein nachvollziehbares Verfahren ein, mit dem Sie dokumentieren können, welche Nachunternehmer Sie auf welchem Projekt eingesetzt haben – und welche Prüfungen Sie dabei durchgeführt haben. Dies ist natürlich schon allein aus den anderen Compliance-Gründen rund um Mindestlohn, A1-Bescheinigungen oder beispielsweise auch Sicherheitsunterweisungen wichtig - und zahlt auch direkt auf die NIS-2-Anforderungen ein.

4. Selbstauskunft vorbereiten: Erstellen Sie eine einfache interne Übersicht Ihrer IT-Sicherheitsmaßnahmen. Sie müssen kein Zertifikat vorweisen – aber eine strukturierte Antwort auf Standardfragen zeigt, dass Sie das Thema ernst nehmen. Dokumentieren Sie außerdem klare Prozesse, wie Meldungen von Vorfällen aussehen.

Was auf dem Spiel steht

Direkte Bußgelder treffen Baubetriebe nicht – die NIS-2-Sanktionen (bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes) betreffen nur die direkt verpflichteten Einrichtungen.

Das eigentliche Risiko für Ausbaubetriebe ist ein anderes: verlorene Aufträge. Wer bei einer Ausschreibung für ein Krankenhaus oder ein Rechenzentrum keine Antwort auf Sicherheitsfragen hat, verliert den Auftrag an jemanden, der vorbereitet ist.

Fazit: Jetzt informieren – bevor die Anfragen kommen

NIS-2 ist längst in Kraft. Das BSI-Portal läuft seit Januar 2026, die ersten Registrierungsfristen für direkt betroffene Einrichtungen sind im März 2026 abgelaufen. Die Auftraggeber, die unter das Gesetz fallen, schauen gerade intensiv auf ihre Lieferkette.

Für Ausbaubetriebe gilt: Wer sich heute vorbereitet, ist morgen besser positioniert – in Ausschreibungen, bei Nachunternehmerbewertungen und im Vertrauen seiner Auftraggeber.

Kommen Sie gerne direkt auf uns zu, um auch Ihre Nachunternehmer-Verwaltung bereit für die Anforderungen von NIS-2 zu machen!

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI), bsi.bund.de

Mehr Infos per Mail
Pfeil Rechts
Vielen Dank. Sie erhalten demnächst eine Mail.
Es tut uns Leid! Leider ist etwas schief gelaufen. Bitte probieren Sie es erneut.
Artikel zu ähnlichen Themen
NIS-2 Compliance Formulare

NIS-2 im Bauwesen: Warum Baubetriebe jetzt handeln sollten

Trockenbauer beim Ausmessen

Schlussrechnung VOB/B: Wichtige Tipps zum Abrechnen mit Nachunternehmern

Heute noch starten

Mehr Partnerbetriebe.
Weniger Stress in der Verwaltung.

In unter 5 Minuten registrieren
2000+ Unternehmen vertrauen bereits auf CoCrafter.
CoCrafter Auftragsplattform
Nachunternehmer: Digital gedacht. Einfach gemacht.
GDPR Icon
DSGVO-konform
IN EUROPA GEHOSTET
SSL Icon
SSL-verschlüsselt
GESICHERTE DATENÜBERTRAGUNG
Y Combinator Logo
Y Combinator
BATCH W24
Mehr Infos
Für Nachunternehmer
Für Auftraggeber
Blog
CoCrafter
Über Uns
Jobs bei CoCrafter
Kontakt
+49 (0) 8122 553 837
info@cocrafter.com
Taufkirchener Str.21
85435 Erding
© 2026 CoCrafter GmbH. All rights reserved.
AGB
Datenschutz
Impressum
Subunternehmer Finden
Nachunternehmer Gesucht