NIS2 für Managed Service Provider: die Doppelrolle

Warum NIS2 für MSPs eine Doppelrolle ist

NIS2 trifft Managed Service Provider auf zwei Ebenen gleichzeitig. Das macht die Lage anspruchsvoller als für ein normales Unternehmen, eröffnet aber auch eine klare Marktposition.

• Eigene Betroffenheit. MSPs und MSSPs gelten in der Regel als „wichtige Einrichtungen“ und müssen die NIS2-Pflichten für den eigenen Betrieb erfüllen — Risikomanagement, technische Maßnahmen, Meldepflichten, Geschäftsleitungs-Haftung.
• Verantwortung in der Lieferkette. Sobald ein MSP NIS2-pflichtige Kunden betreut, wird er Teil deren Lieferkette. Die Kunden sind verpflichtet, die Sicherheit ihrer Lieferanten zu bewerten und vertraglich abzusichern.

Kurz: Wer Sicherheit als Dienstleistung verkauft, muss sie im eigenen Haus zuerst belegen können.

Ebene 1: Der MSP als regulierte Einrichtung

Als selbst betroffene Einrichtung muss der MSP die Kernpflichten umsetzen. Dazu gehören ein dokumentiertes Risikomanagement, technische und organisatorische Maßnahmen nach Stand der Technik, ein funktionierendes Patch- und Schwachstellenmanagement sowie etablierte Melde- und Reaktionsprozesse.

Entscheidend ist die Nachweisbarkeit: Es reicht nicht, dass Patches eingespielt werden — der Stand muss jederzeit belegbar sein. Genau hier wird das RMM zum zentralen Nachweissystem.

Ebene 2: Der MSP als Teil der Kunden-Lieferkette

NIS2 verlängert die Verantwortung explizit in die Lieferkette hinein. Ein NIS2-pflichtiger Kunde muss seine Dienstleister bewerten, vertraglich verpflichten und die Sicherheitslage nachhalten. Für den MSP heißt das:

• Auditfähigkeit. Asset-, Patch- und Risiko-Nachweise müssen auf Anforderung pro Kunde lieferbar sein.
• Vertragliche Härtung. Sicherheitsanforderungen, Meldewege und Reaktionszeiten werden Teil der Verträge.
• Vererbtes Cloud-Risiko. Nutzt der MSP ein US-betriebenes RMM, trägt jeder betreute Kunde dessen Jurisdiktions-Exposure mit.

Der MSP wird damit zum geprüften Glied einer Kette — und ein schwaches Glied gefährdet die Compliance der Kunden mit.

Warum das RMM zur Schlüsselstelle wird

Das RMM ist das Werkzeug mit der tiefsten Reichweite in alle betreuten Flotten: Es inventarisiert Assets, verteilt Patches, führt Skripte aus und dokumentiert Vorfälle. Für einen MSP ist es damit zugleich die größte Angriffsfläche und das wichtigste Nachweissystem.

Daraus folgt eine einfache Anforderung: Das RMM muss mandantenfähig die richtigen Nachweise erzeugen — und es darf nicht selbst unter fremde Jurisdiktion fallen.

OneLog für den NIS2-pflichtigen MSP

OneLog ist als souveränes, NIS2-konformes RMM genau auf diese Doppelrolle ausgelegt:

• EU-souverän. Betrieb in der STACKIT Sovereign Cloud, Sitz Deutschland, kein US-Cloud-Exposure — das Lieferketten-Risiko wird nicht an die Kunden weitergereicht.
• Nachweise mandantenfähig. Asset-Inventar, Patch-Stand und Risiko-Dokumentation lassen sich pro Kunde auf die NIS2-Pflichten gemappt erzeugen, statt je Audit manuell zusammengetragen zu werden.
• Autonome Remediation. Definierte Vorfälle werden von KI-Agenten Ende-zu-Ende gelöst — das hält den Patch- und Reaktionsstand über viele Mandanten hinweg belastbar.
• Zertifizierter Betrieb. ISO 27001:2022, TOM nach Art. 32 DSGVO öffentlich — die Grundlage, um die eigene Betroffenheit und die Lieferanten-Bewertung der Kunden zu bedienen.

OneLog wurde in einem KRITIS-Klinikum unter realen Betriebsbedingungen validiert. Für MSPs bedeutet das: ein RMM, das die eigene NIS2-Pflicht erfüllt und gleichzeitig die Audit-Anforderungen der Kunden bedient — aus einer souveränen Quelle.