Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
Lieferkette Compliance: LkSG & NIS2 Navigator | vsca
LieferketteZuletzt aktualisiert: 2026-06-23

Lieferketten-Compliance-Navigator: LkSG, NIS2 und CSRD auf einer Seite

Zuletzt aktualisiert: 23.06.2026

LkSG, NIS2-Lieferkettensicherheit, CSRD/CSDDD – drei Regelwerke, die sich an Ihrer Lieferkette überschneiden, aber selten zusammen gedacht werden. Das Ergebnis: Sie beantworten dieselben Lieferantenfragen dreimal, übersehen Pflichten, die über Ihre großen Kunden auf Sie durchschlagen, oder bauen Doppelstrukturen auf. Der Lieferketten-Compliance-Navigator ist ein kompakter One-Pager mit Vendor-Risk-Checkliste, der die Überschneidungen sichtbar macht und Ihnen zeigt, welche Pflichten Sie wirklich treffen – direkt und mittelbar. Erstellt von der vsquadrat compliance advisory GmbH, faktenbasiert und ohne Panikmache.

Navigator herunterladen · oder direkt Fragen mit uns klären.

Warum Lieferketten-Compliance 2026 neu sortiert werden muss

Die Lage hat sich 2025/2026 spürbar verschoben – und zwar in beide Richtungen. Während der Berichtsdruck beim Lieferkettengesetz nachlässt, verschärft sich die Sicherheitsanforderung über NIS2. Wer beides separat betrachtet, verschätzt sich:

  • LkSG: Berichtspflicht entschärft, Sorgfaltspflichten bleiben. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) prüft seit dem 1. Oktober 2025 keine LkSG-Berichte mehr (BAFA, 2025). Die Berichtspflicht soll fallen – die materiellen Sorgfaltspflichten in Ihrer Lieferkette bleiben jedoch bestehen. „Kein Bericht" heißt also ausdrücklich nicht „keine Pflicht".
  • CSDDD: per EU-Omnibus deutlich entschärft. Nach übereinstimmenden Kanzlei-Briefings wurde die europäische Lieferketten-Richtlinie (CSDDD) abgeschwächt: Anwendungsschwelle voraussichtlich 5.000 Mitarbeitende / 1,5 Mrd. € Umsatz, Fokus auf Tier-1-Lieferanten, Streichung der zivilrechtlichen Haftung. Unsicherheits-Flag: Diese Eckwerte stammen aus Kanzlei-Briefings und sind noch nicht abschließend im finalen Rechtstext gesichert – vor strategischen Entscheidungen gegen die Primärquelle prüfen.
  • NIS2: Sicherheit fließt vertraglich die Lieferkette hinunter. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist in Deutschland seit dem 6. Dezember 2025 in Kraft (BSI, 2025) und erfasst rund 29.500 Einrichtungen in 18 Sektoren. Risikomanagement der Lieferkette ist Pflicht – betroffene Unternehmen geben diese Anforderungen vertraglich an ihre Dienstleister und Zulieferer weiter.

Hinzu kommt der wirtschaftliche Hebel, der unabhängig vom Gesetzestext wirkt: ESG-Druck kommt heute vor allem per Vertrag – von Großkunden, die selbst berichten müssen, und von Banken, die Nachhaltigkeitskriterien in ihre Kreditkonditionen einbauen. Der freiwillige VSME-Standard (Voluntary SME Standard) wird so zum Wettbewerbsfaktor: nicht weil ein Gesetz ihn vorschreibt, sondern weil Ihr Kunde ihn in der Ausschreibung verlangt.

„Sie fallen nicht drunter? Ihr Kunde schon." – der Flow-down-Effekt

Der häufigste Trugschluss im Mittelstand lautet: „Wir sind zu klein für NIS2, LkSG oder CSDDD – das betrifft uns nicht." Formal mag das stimmen. Praktisch ist es oft irrelevant, denn die Pflichten fließen über Verträge zu Ihnen durch:

  • NIS2-Flow-down: Betroffene Einrichtungen müssen nach den NIS2-Risikomanagementmaßnahmen die Sicherheit ihrer Lieferkette gewährleisten. Sie reichen diese Anforderungen – Sicherheitsstandards, Meldepflichten, Audit-Rechte – per Vertrag an ihre Zulieferer weiter. So wird ein 30-Personen-IT-Dienstleister mittelbar in die Pflicht genommen, obwohl er die Schwelle von 50 Mitarbeitenden oder 10 Mio. € Umsatz selbst nicht erreicht.
  • LkSG/CSDDD-Flow-down: Auch wenn Ihr Unternehmen weit unter den Schwellen liegt, verlangen große Auftraggeber Selbstauskünfte, Verhaltenskodizes und Nachweise zu Menschenrechts- und Umweltsorgfalt – als Voraussetzung dafür, überhaupt Lieferant bleiben zu dürfen.
  • ESG-/Banken-Flow-down: Großkunden, die unter die CSRD-Berichtspflicht fallen, brauchen Daten aus ihrer Lieferkette. Banken koppeln Konditionen an ESG-Kriterien. Beides erreicht Sie als Fragebogen, nicht als Gesetz.

Genau hier setzt der Navigator an: Er trennt die direkte Betroffenheit (Greift das Gesetz auf mich selbst?) von der mittelbaren Betroffenheit (Bekomme ich die Pflicht über meinen Kunden?) – damit Sie auf den nächsten Lieferanten-Fragebogen vorbereitet sind, statt überrascht zu werden.

Was der Lieferketten-Compliance-Navigator enthält

Der Navigator ist bewusst schlank: ein One-Pager als Überblick plus eine praxistaugliche Vendor-Risk-Checkliste. Kein Lehrbuch, sondern ein Arbeitsdokument.

  • Überschneidungs-Matrix LkSG / NIS2 / CSRD: Welche Anforderung taucht in welchem Regelwerk auf – und wo können Sie Nachweise und Prozesse einmal aufbauen und mehrfach nutzen, statt drei Silos zu pflegen.
  • Direkt-/Mittelbar-Filter: Eine schnelle Einordnung, ob Sie selbst in den Anwendungsbereich fallen oder „nur" über Ihre Kunden in die Pflicht geraten – mit den jeweiligen Konsequenzen.
  • Vendor-Risk-Checkliste: Die zentralen Prüfpunkte zur Bewertung Ihrer Lieferanten – Cybersicherheit (NIS2-relevant), Menschenrechts- und Umweltsorgfalt (LkSG-relevant) und ESG-/Nachhaltigkeitsdaten (CSRD-relevant) – kompakt auf einer Seite.
  • Flow-down-Hinweise: Wo typischerweise vertragliche Anforderungen durchschlagen und worauf Sie in Kundenverträgen achten sollten.
  • VSME-Einordnung: Was der freiwillige VSME-Standard ist und warum er als Antwort auf Kunden- und Banken-Fragebögen zum Wettbewerbsvorteil werden kann.

Wichtig: Der Navigator ist ein fundierter Überblick und ein hervorragender Startpunkt – er ersetzt keine Rechtsberatung im Einzelfall. Anwendungsbereiche und Schwellen hängen von Größe, Branche und Kundenstruktur ab; die CSDDD-Eckwerte sind zudem noch nicht final gesichert (Stand 23.06.2026).

So nutzen Sie den Navigator – in drei Schritten

  1. Herunterladen und Position bestimmen: Sie erhalten den Navigator per E-Mail. Mit dem Direkt-/Mittelbar-Filter klären Sie zuerst, ob Sie selbst betroffen sind oder über Ihre Lieferkette in die Pflicht kommen.
  2. Lieferanten bewerten: Mit der Vendor-Risk-Checkliste priorisieren Sie Ihre Lieferanten nach Risiko – statt jeden Zulieferer mit demselben Fragebogen zu überziehen, konzentrieren Sie sich auf die kritischen.
  3. Prozesse zusammenführen: Anhand der Überschneidungs-Matrix bauen Sie geteilte Nachweise und Prozesse auf – ein Lieferanten-Self-Assessment, das Cyber-, Menschenrechts- und ESG-Aspekte gemeinsam abdeckt, statt drei getrennte Abfragen.

So machen Sie aus drei nebeneinanderstehenden Regelwerken ein abgestimmtes Lieferketten-Risikomanagement – mit überschaubarem Aufwand.

Lieferketten-Compliance-Navigator kostenlos anfordern {#navigator-formular}

Tragen Sie Ihre Daten ein und Sie erhalten den Navigator samt Vendor-Risk-Checkliste umgehend per E-Mail. Kostenlos, unverbindlich und sofort einsetzbar.

  • Name
  • Unternehmen
  • Geschäftliche E-Mail-Adresse
  • (optional) Unternehmensgröße (Auswahl)

Navigator herunterladen

Nach der Bestätigung Ihrer E-Mail-Adresse (Double-Opt-in) liegt der Navigator direkt in Ihrem Postfach. Kein Vertrieb, keine versteckten Kosten.

Nach dem Download: vom Überblick zum belastbaren Prozess

Der Navigator schafft Klarheit über das Ob und das Wo. Das Wie der Umsetzung gehen wir auf Wunsch gemeinsam an – pragmatisch und auf Ihre Lieferkette zugeschnitten:

  • Betroffenheit sauber klären: Ob LkSG-Sorgfaltspflichten, NIS2-Lieferkettensicherheit oder CSRD-Datenanforderungen – wir grenzen direkte und mittelbare Pflichten klar ab. Tiefer einsteigen können Sie auf unseren Themenseiten Lieferkettengesetz und NIS2.
  • Lieferanten-Risikomanagement aufbauen: Wir helfen, ein abgestuftes Vendor-Risk-Verfahren zu etablieren, das die drei Regelwerke gemeinsam bedient – effizient statt redundant.
  • In ein Managementsystem überführen: Damit Sorgfaltspflichten und Sicherheitsanforderungen nicht in Einzeldokumenten versanden, verankern wir sie in einem Compliance-Management-System, das Verantwortlichkeiten, Nachweise und Prüfungen bündelt.

Wie eine begleitete Umsetzung konkret aussieht, lesen Sie auf der Seite zur Lieferkettengesetz-Beratung.

Häufige Fragen zur Lieferketten-Compliance (LkSG, NIS2, CSRD)

Gilt das LkSG noch, wenn die Berichtspflicht fällt? Ja. Die BAFA prüft seit dem 1. Oktober 2025 keine LkSG-Berichte mehr (BAFA, 2025), und die Berichtspflicht soll entfallen. Die materiellen Sorgfaltspflichten in der Lieferkette bleiben davon jedoch unberührt. Wegfall der Berichtspflicht bedeutet also nicht Wegfall der Pflicht, Menschenrechts- und Umweltrisiken in Ihrer Lieferkette zu adressieren.

Mein Unternehmen ist zu klein für NIS2 und CSDDD – betrifft mich Lieferketten-Compliance trotzdem? Sehr wahrscheinlich ja, über den Flow-down-Effekt. Unternehmen, die unter NIS2 fallen, müssen die Sicherheit ihrer Lieferkette gewährleisten und geben diese Anforderungen vertraglich an ihre Zulieferer weiter. Großkunden mit CSRD-Berichtspflicht und Banken verlangen ESG-Daten ebenfalls per Vertrag. Sie fallen also vielleicht selbst nicht unter das Gesetz – Ihr Kunde aber schon, und er reicht die Pflicht an Sie weiter.

Wie hängen LkSG, NIS2 und CSRD zusammen? Sie überschneiden sich an Ihrer Lieferkette, verfolgen aber unterschiedliche Schutzziele: LkSG (Menschenrechte und Umwelt), NIS2 (Cybersicherheit der Lieferkette) und CSRD/CSDDD (Nachhaltigkeitsberichterstattung und -sorgfalt). Wer Lieferanten ohnehin prüft, kann diese Aspekte in einem gemeinsamen Vendor-Risk-Verfahren bündeln, statt drei getrennte Abfragen zu fahren. Genau diese Überschneidungen macht der Navigator sichtbar.

Was ist der VSME-Standard und brauche ich ihn? Der VSME (Voluntary SME Standard) ist ein freiwilliger Berichtsstandard für kleine und mittlere Unternehmen. Vorgeschrieben ist er nicht. In der Praxis wird er aber zunehmend von Großkunden und Banken in Fragebögen und Ausschreibungen abgefragt – und damit zu einem Wettbewerbsfaktor. Ob er sich für Sie lohnt, hängt von Ihrer Kundenstruktur ab.

Sind die genannten CSDDD-Schwellen verbindlich? Nicht abschließend. Die Eckwerte der CSDDD-Entschärfung – voraussichtlich 5.000 Mitarbeitende / 1,5 Mrd. € Umsatz, Fokus Tier 1, gestrichene zivilrechtliche Haftung – stammen aus übereinstimmenden Kanzlei-Briefings und sind als unsicher zu behandeln (Stand 23.06.2026). Vor strategischen Entscheidungen sollten Sie sie gegen den finalen Rechtstext prüfen lassen; wir unterstützen Sie dabei.

Was kostet der Navigator? Nichts. Der Lieferketten-Compliance-Navigator inklusive Vendor-Risk-Checkliste ist kostenlos. Sie erhalten ihn nach Bestätigung Ihrer E-Mail-Adresse (Double-Opt-in) – ohne Verpflichtung.

Jetzt Navigator sichern – und auf Wunsch gemeinsam umsetzen {#kontakt}

Laden Sie den Lieferketten-Compliance-Navigator herunter und verschaffen Sie sich in wenigen Minuten Überblick über LkSG, NIS2 und CSRD an Ihrer Lieferkette. Möchten Sie Ihr Lieferanten-Risikomanagement konkret aufbauen oder die Pflichten für Ihren Fall sauber abgrenzen, klären wir das in einem kostenlosen, unverbindlichen Erstgespräch.

Navigator herunterladen

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Mehr zum Thema: Lieferkettengesetz – Pflichten und Stand · Lieferkettengesetz-Beratung · NIS2 im Überblick

Zuletzt aktualisiert: 23.06.2026. Alle regulatorischen Angaben geben den Stand vom 23.06.2026 wieder; die CSDDD-Eckwerte stammen aus Kanzlei-Briefings und sind noch nicht final gesichert – bitte die Primärquelle gegenprüfen. Der Navigator und dieser Text ersetzen keine Rechtsberatung im Einzelfall.

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.