Nachweispflicht in der Lieferkette
Lieferkettensorgfaltspflichtengesetz (LkSG)
Was regelt es?
Sorgfaltspflichten zum Schutz von Menschenrechten und Umwelt entlang der Lieferkette.
Wer ist betroffen?
– Unternehmen mit ≥ 1.000 Mitarbeitenden
– Sitz oder Niederlassung in Deutschland
Was ist zu beachten?
– Risikoanalyse in der Lieferkette
– Präventions- und Abhilfemaßnahmen
– Beschwerdemechanismus
– Dokumentation und (angepasste) Berichterstattung
Überwachung / Behörde
– BAFA (Bundesamt für Wirtschaft und Ausfuhrkontrolle)
Status 2026
– Gilt weiterhin
– Wird perspektivisch an die EU-Lieferkettenrichtlinie angepasst
– Fokus stärker auf Risikomanagement statt formaler Berichte
KMU sind in der Regel nicht direkt verpflichtet, werden jedoch als Lieferanten großer Unternehmen regelmäßig in Risikoanalysen, Lieferantenbefragungen und vertragliche Sorgfaltspflichten einbezogen. 2026 steigt der Erwartungsdruck, menschenrechtliche und ökologische Mindeststandards nachvollziehbar darzustellen.
Corporate Sustainability Due Diligence Directive (CSDDD)
Was regelt sie?
EU-weite Sorgfaltspflichten zu Menschenrechten, Umwelt und Klimarisiken entlang der gesamten Wertschöpfungskette.
Wer ist betroffen?
– Große Unternehmen mit 1.000 Mitarbeitenden und 450 Mio. € Umsatz
– Auch Nicht-EU-Unternehmen mit relevantem EU-Umsatz
Was ist zu beachten?
– Erweiterte Risiko- & Wirkungsanalysen
– Maßnahmen zur Vermeidung und Behebung negativer Auswirkungen
– Integration in Unternehmensstrategie & Governance
– Klimabezogene Übergangspläne (abgeschwächt, aber relevant)
Überwachung / Behörde
– Nationale Aufsichtsbehörden (in DE voraussichtlich BAFA)
Status 2026
– Nationale Umsetzung bis 2026/27
– Erste Anwendung ab 2027+ (je nach Unternehmensgröße)
Auch wenn KMU nicht unmittelbar erfasst sind, führt die CSDDD zu einer EU-weiten Weitergabe von Sorgfaltspflichten entlang der Wertschöpfungskette. KMU müssen damit rechnen, strukturierte Nachweise und Maßnahmen gegenüber Kunden erbringen zu müssen.
Corporate Sustainability Reporting Directive (CSRD)
Was regelt sie?
Verpflichtende ESG- und Nachhaltigkeitsberichterstattung nach EU-Standards (ESRS).
Wer ist betroffen?
– Große Kapitalgesellschaften
– Mutterunternehmen von Konzernen
– Kapitalmarktorientierte Unternehmen (Schwellenwerte abhängig von finaler EU-Umsetzung)
Was ist zu beachten?
– Berichte nach ESRS-Standards
– Lieferketten-, Umwelt- und Sozialdaten
– Prüfbarkeit & digitale Veröffentlichung
Überwachung / Prüfung
– Wirtschaftsprüfer
– Nationale Finanzaufsichten
Status 2026
– Einführung gestaffelt
– Teilweise Fristverschiebungen („Stop-the-clock“)
– Enge Verzahnung mit LkSG & CSDDD
KMU sind häufig Datenlieferanten für CSRD-pflichtige Unternehmen, insbesondere zu Lieferketten-, Umwelt- und Sozialinformationen. 2026 steigt die Bedeutung von konsistenten ESG-Basisdaten, auch ohne eigene Berichtspflicht.
NIS2-Richtlinie (in DE umgesetzt)
Was regelt sie?
Pflichten zur Cyber-Sicherheit von Netz- und Informationssystemen, inkl. IT-Lieferketten.
Wer ist betroffen?
– Mittelgroße & große Unternehmen
– In definierten Sektoren (z. B. IT, Energie, Logistik, Industrie, Gesundheit, Lebensmittel, Wasser)
– Teilweise auch ohne KRITIS-Status
Was ist zu beachten?
– Cyber-Risikomanagement
– Schutz von IT-Lieferanten & Dienstleistern
– Incident- & Meldeprozesse
– Management-Verantwortung & Schulungen
Überwachung / Behörde
– BSI (Bundesamt für Sicherheit in der Informationstechnik)
Status 2026
– Registrierung & Pflichten aktiv
– Deutlich größerer Unternehmenskreis als früher
KMU können indirekt betroffen sein, wenn sie IT-Dienstleister, Softwareanbieter oder sonstige Zulieferer von NIS2-pflichtigen Unternehmen sind. In der Praxis verlangen Kunden zunehmend nachweisbare IT-Sicherheitsmaßnahmen als Voraussetzung für Geschäftsbeziehungen.
Cyber Resilience Act (CRA)
Was regelt er?
Mindest-Sicherheitsanforderungen für digitale Produkte & Software („Security by Design“).
Wer ist betroffen?
Hersteller & Anbieter von
– Software
– vernetzten Geräten
– digitalen Komponenten
Was ist zu beachten?
– Sicherheitsanforderungen über den gesamten Produktlebenszyklus
– Schwachstellen-Management
– Dokumentations- und Meldepflichten
Überwachung / Behörde
– Nationale Marktüberwachungsbehörden
– EU-Koordinierung
Status 2026
– Übergangsphase
– Relevanz steigt deutlich für Tech- und Industrieunternehmen
KMU, die Software, digitale Produkte oder Komponenten entwickeln oder zuliefern, fallen unabhängig von ihrer Größe unter die Anforderungen. Zudem werden CRA-Pflichten häufig vertraglich an Zulieferer weitergegeben, auch wenn diese selbst keine Endprodukte vertreiben.
Formular zur Änderungsmitteilung
© 2026 KTW Messtechnik. Alle Rechte vorbehalten.
Verantwortliche Stelle: Sebastian Walter Wagner
Trupbacher Straße 82 · 57072 Siegen
Hinweis zur Darstellung:
Dargestellt werden ausschließlich unternehmensbezogene, öffentlich zugängliche Metadaten sowie der verifizierte Ist-Status öffentlich zugänglicher Zertifikats- und/oder Akkreditierungsinformationen.
Das Verifizierungsnetzwerk ersetzt keine Zertifizierungs- oder Akkreditierungsstellen, sondern stellt eine zentrale, neutrale Verifikations- und Auffindbarkeitsebene für bestehende Nachweise bereit.
Unsere Mitgliedschaften bei der DGQ und IAF