Aktuelles
Kuratierte Liste der wichtigen Änderungen an Plattform, Kurs und Compliance-Dokumenten. Keine vollständige Commit-Historie - nur was für Nutzer, Käufer und Auditoren relevant ist.
Mai 2026
Zwei neue Einträge in der Regulierungs-Timeline. Am 19. Mai 2026 hat die EU-Kommission den Entwurf der Leitlinien zur Hochrisiko-Einstufung nach Art 6 KI-Verordnung veröffentlicht; die Konsultation läuft bis 23. Juni 2026, und die Leitlinien klären u.a., dass die Hochrisiko-Einstufung für Kritische Infrastrukturen über eine CER-Benennung (Richtlinie 2022/2557) ausgelöst wird, nicht über den NIS-2-Status. Ebenfalls aufgenommen wurde das BMI/BKA-Bundeslagebild Cybercrime 2025 vom 12. Mai 2026 mit rund 335.000 Fällen und 202,4 Mrd. Euro Schaden als politische Kulisse für die einsetzende NIS-2-Prüfphase.
Drei neue Einträge in der Regulierungs-Timeline. Am 13. Mai 2026 wurde die BSI–Mecklenburg-Vorpommern-Kooperationsvereinbarung aufgenommen — damit kooperiert das BSI mit zwölf Bundesländern. Die BSI-Handreichung v1.0 zur Geschäftsleitungs-Schulung nach §38(3) BSIG (veröffentlicht 17. April 2026) wurde nachgepflegt; sie definiert die Erwartungen der Aufsicht an Schulungsorganisation, Inhalte und Selbst-Check. Am 19. Mai 2026 hat der niederländische Senat (Eerste Kamer) die schriftliche Inbreng-Phase zur Cyberbeveiligingswet eröffnet.
Eine 8-lektionige Tabletop-Übung für Geschäftsleitungen, die im Krisenfall typische NIS-2-Entscheidungen durchspielt: Ransomware-Eintritt, Kundenbenachrichtigung nach §35 BSIG, 24-Stunden-Frühmeldung, Lieferketten-Auswirkungen und Wiederanlauf. Verfügbar in Deutsch und Englisch.
Ein neuer kostenloser Kurs zur Cyber Resilience Act (CRA) Verordnung 2024/2847 mit Fokus auf Software Bill of Materials (SBOM) — Anforderungen, Formate (SPDX, CycloneDX) und Pflichten für Hersteller digitaler Produkte. Gleichzeitig wurde die Kurs-Übersicht um einen Kurs-Wechsler erweitert, sodass mehrere Kurse nebeneinander zugänglich sind.
Eine neue öffentliche Seite vergleicht 145 GRC/ISMS-Plattformen für den europäischen Markt — Preis, Kategorie (KMU, Mid-Market, Enterprise), regionale Verfügbarkeit, Open-Source-Status und Datenexport-Portabilität. Die Datenbasis ist eine sechswöchige Marktrecherche; jeder Eintrag verlinkt zur Anbieter-Seite, sodass Angaben nachprüfbar bleiben.
Jede NIS-2-Anforderung im Compliance-Portal trägt jetzt einen strukturierten Verweis auf die einschlägige Annex-Passage der EU-Durchführungsverordnung 2024/2690 (CIR). Auditor:innen und Compliance-Berater:innen können damit direkt zwischen Anforderung und EU-Rechtsquelle navigieren.
Drei neue Einträge in der Regulierungs-Timeline. Am 7. Mai 2026 veröffentlichten BSI und Bundesministerium für Verkehr den ersten gemeinsamen Bericht zur IT-Sicherheit öffentlicher Ladeinfrastruktur, an der Schnittstelle der NIS-2-Sektoren Verkehr und Energie. Am 11. Mai erschien der BSI-Cybersicherheitsmonitor 2026 mit Verbraucher-Umfragedaten. Am 12. Mai veröffentlichten BSI und Italiens ACN gemeinsam die G7-Mindestleitlinie "SBOM for AI", direkt einschlägig für die NIS-2-Lieferkettenpflicht nach Art. 21(2)(d) und für den AI-Act-Compliance-Pfad.
Lernende des kostenlosen CEO-Kurses erhalten jetzt eine tägliche, gebündelte Erinnerung an offene Lektionen mit jeweils einer kurzen Verständnisfrage. Die Erinnerungs-Serie lässt sich pro Kurs abbestellen; separate Opt-outs gelten für die täglichen Deadline-Mails und für den wöchentlichen Compliance-Digest. Jede transaktionale Mail enthält ab sofort einen sichtbaren Abmelde-Link.
Zwei Ergänzungen der Regulierungs-Timeline. Luxemburg hat NIS 2 mit dem Gesetz vom 5. Mai 2026 umgesetzt, in Kraft seit 10. Mai 2026; das ILR-Registrierungsportal ist live. Am 29. April 2026 hat die Europäische Kommission Bulgarien, Frankreich, Luxemburg, die Niederlande, Polen, Spanien und Schweden beim EuGH wegen fehlender CER-Umsetzung verklagt und finanzielle Sanktionen beantragt. Erste größere EuGH-Durchsetzung im CER/NIS-2-Paket.
Die NIS-2-Inhaltsseiten verwenden jetzt durchgängig die EU-Richtlinien-Terminologie ("wesentliche Einrichtungen", "wichtige Einrichtungen") statt der BSIG-Variante ("besonders wichtige Einrichtungen"). Damit sind die deutschen, englischen ("essential entities") und niederländischen ("essentiële entiteiten") Fassungen konsistent. Der BSIG-Begriff bleibt als Vergleichsangabe im Glossar und in der EU-vs-BSIG-Terminologie-Tabelle erhalten.
Wer eine Anforderung abzeichnet, erhält jetzt automatisch Gutschrift für jede verknüpfte Anforderung in NIS 2, DSGVO, EU AI Act und Cyber Resilience Act, deren Nachweis dasselbe zugrunde liegende Artefakt teilt (gleiche Vorfallakte, gleiches Lieferantenregister, gleiche Risikomethodik). 16 Pärchen sind als 'gleichwertig' markiert und ketten sich transitiv; 22 als 'überlappend' geben Gutschrift nur einen Schritt weiter.
Das Compliance-Portal deckt jetzt vier EU-Rahmenwerke ab: NIS 2, DSGVO, EU AI Act (10 Kategorien, 24 Anforderungen verankert in Verordnung 2024/1689) und EU Cyber Resilience Act (10 Kategorien, 21 Anforderungen verankert in Verordnung 2024/2847). 27 Cross-Framework-Satisfaction-Pairs verknüpfen verwandte Pflichten, sodass ein einzelner Sign-Off mehrere Regime gleichzeitig erfüllen kann.
Am 7. Mai 2026 haben der Rat der EU und das Europäische Parlament eine vorläufige politische Einigung zum AI Act Digital Omnibus erzielt. Annex III-Hochrisiko-Pflichten werden auf den 2. Dezember 2027 verschoben, Annex I-eingebettete Hochrisiko-Pflichten auf den 2. August 2028, Wasserzeichen-Pflicht nach Art 50(2) auf den 2. Dezember 2026. Neues Verbot in Art 5 für KI zur Erzeugung nicht-einvernehmlicher intimer Aufnahmen und Material zum sexuellen Missbrauch von Kindern. Aufgenommen in unsere Regulierungs-Timeline.
Die öffentliche /nis2-meldepflicht-Seite dokumentiert jetzt die vollständige Art 23-NIS-2-Meldekette in fünf Stufen: 24-Stunden-Frühwarnung, 72-Stunden-Vorfallsmeldung, Zwischenbericht auf Anforderung, Abschlussbericht innerhalb eines Monats und Fortschrittsbericht (falls Vorfall noch andauert). Jede Stufe verweist auf den entsprechenden Richtlinien-Artikel.
Öffentliche Informationsseiten verwenden jetzt locale-spezifische Pfade über die pathnames-Funktion von next-intl. Sitemap und hreflang-Header werden automatisch ausgegeben, damit Suchmaschinen die korrekte URL pro Sprache indexieren. Keine Aktion seitens bestehender Nutzer erforderlich.
Am 4. Mai 2026 haben das BSI, CISO Bund und das Bundesministerium für Digitales und Staatsmodernisierung CyberGovSecure gestartet — der ressortübergreifende Rahmen zur Umsetzung der NIS-2-Cybersicherheitsmaßnahmen in allen Bundesbehörden. Aufgenommen in unsere Regulierungs-Timeline.
Die `asset_supplier_offering`-Tabelle und der `asset_service_type`-Enum (saas / on_prem / pro_services / managed) leben jetzt im OSS-Paket neben `asset` und `supplier` — vorher lagen sie im App-Repo, obwohl sie auf zwei Paket-Tabellen referenzierten. Reine Code-Verlagerung, kein Datenmigrations-Diff.
Neue Referenzseite unter /nis2-documents listet die Dokumente und Aufzeichnungen, die NIS 2 (Richtlinie 2022/2555) und die Durchführungsverordnung 2024/2690 verlangen — mit Artikel-Verweis, CIR-Annex-Abschnitt und dem konkreten Plattform-Modul, das das Dokument als Live-Daten pflegt. 42 Dokumente in 14 Themenbereichen.
Die GRC-Datenbasis (49 NIS 2-Anforderungen, 7 GDPR-Anforderungen, 11 Cross-Framework-Pairs, Drizzle-Schemas für Lieferanten / Assets / Risiken / Vorfälle) ist jetzt als eigenständiges, MIT-lizenziertes Paket auf GitHub und npm verfügbar. REFERENCE.md gibt jeden Eintrag, jede Verknüpfung und jedes Mapping in einem Dokument wieder. Die Plattform selbst nutzt dasselbe Paket.
Die Plattform deckt jetzt GDPR neben NIS 2 ab. 11 GDPR↔NIS 2-Satisfaction-Pairs sind verknüpft: ein Sign-Off auf eine NIS 2-Anforderung schließt automatisch die überlappende GDPR-Anforderung ab (oder umgekehrt). GDPR-Sidebar-Gruppen, Art. 28-Felder bei Lieferant / Asset / Vorfall und seed-Daten zum Onboarding sind enthalten.
Fünf häufig gefundene Seiten (Bußgelder, Meldepflicht, Registrierung, Registrierung verpasst, NIS 2 in Deutschland) wurden mit präziseren Titeln versehen — ohne Marken-Suffix. Neu: /llms.txt mit Liste der zentralen Inhalte für LLM-Crawler, ergänzt durch Article-/Breadcrumb-/FAQ-JSON-LD auf Schlüsselseiten.
Der Sprachumschalter im Schulungsportal hat unter bestimmten Routen die Locale nicht mehr persistiert. Behoben.
April 2026
Neue öffentliche Seite /training/nis2-ceo/outline zeigt alle 47 Lektionen mit Modulstruktur und Zeitschätzungen - ohne Account oder OAuth. Im Sitemap für beide Sprachen indexiert.
Neue Einseiter unter /5-schritte (DE) und /5-steps (EN): die fünf NIS2-Pflichten, die ein Geschäftsführer persönlich nicht delegieren kann, in einer Reihenfolge. Schritt 4 verlinkt direkt die Gap-Analyse.
Die Selbsteinschätzung wurde durch direkte Verweise auf die zuständigen nationalen Behörden für DE, AT, BE, FR, IT und NL ersetzt. Wir entscheiden nicht mehr, ob ein Unternehmen unter NIS2 fällt - das beantwortet nur die Behörde verbindlich.
Interner Security-Review durchlaufen. Härtungen an authentifizierten Endpunkten, am Account-Anlegen-Flow und an Inhalts-Loadern. Kein Handlungsbedarf für Kunden.
Neue Seite /status zeigt Plattform-Status und vergangene Vorfälle öffentlich an.
Standard-Disclosure-Endpunkt unter /.well-known/security.txt für Sicherheitsforschende: Kontakt, bevorzugte Sprachen, kanonische URL, Ablaufdatum.
Zwei Repositories unter github.com/NISD2: nis2-gap-assessment-schema (116 Fragen, 15 Domänen, Zod-Schema mit Scoring-Logik) und nis2-supply-chain-questionnaire-schema (56 Felder, 6 Sektionen). Dual-lizenziert (MIT für Code, CC BY 4.0 für Inhalte). Jede Frage und jedes Feld ist an eine konkrete Rechtsquelle verankert.
Neue Seite /changelog dokumentiert sichtbare Änderungen an Plattform, Kurs und Compliance-Dokumenten - kuratiert, nicht jeder Commit. Filterbar nach Kategorie (Produkt, Inhalt, Kurs, Compliance, Regulierung) mit monatlichen Überschriften.
Landingpage zeigt jetzt die vollständige NIS2-Bußgeldobergrenze: bis zu 10 Mio. € oder 2 % des weltweiten Konzernumsatzes - je nachdem, was höher ist. Vorher war nur die 10-Mio.-€-Zahl genannt.
Neue öffentliche Dokumente unter /avv und /toms. Audit-Log erfasst jetzt IP-Adresse und User-Agent bei jeder authentifizierten Mutation. AWS S3 setzt AES256-Server-Side-Encryption explizit bei jedem Upload. Dependabot ist aktiviert. Impressum erweitert um EUID, § 18 Abs. 2 MStV-Verantwortlichkeit und EU-Streitschlichtung.
Landing Page zeigt jetzt die vollständige EU-Rechtskette als Badges: NIS2-Richtlinie → BSIG → CIR 2024/2690 → IT-Grundschutz. Neue /corrections-Seite dokumentiert öffentlich, wenn wir Inhalte korrigieren - Transparenz statt stille Edits.
Eigene /about-Seite mit Geschäftsführer Simon Orzel und COO Cory Sales. Klare Verantwortlichkeiten und Hintergründe - sichtbar in der Top-Navigation.
Der NIS2-CEO-Kurs steht jetzt zusätzlich auf Niederländisch zur Verfügung - vollständige Übersetzung aller 47 Lektionen.
Vollständige deutsche Lokalisierung des CEO-Kurses: 329 Wörterbuch-Begriffe, 47 Lektionstitel, 45 Quizze - mit korrekten Umlauten, BSIG-Terminologie und Artikelformat.
Öffentliche NIS2 Gap-Analyse mit 116 strukturierten Fragen über 15 Domänen, ausgelegt für eine 5-Tage-Bearbeitung. PDF-Export der Ergebnisse verfügbar.
Niederländische NIS2-Umsetzung getrackt im /nis2-timeline. Außerdem: ENISA NCAF 2.0 Update und Status der NL-Registrierungsportals aktualisiert.
Konsolidierte Übersicht über alle nationalen NIS2-Registrierungsportale in der EU mit Status, Direktlinks und Anweisungen pro Land.
Teilnehmer des CEO-Kurses erhalten nach Abschluss ein zitierbares HTML-Zertifikat, das als PDF gedruckt werden kann.
CIR-Badge ersetzt durch BSIG § 30 + IT-Grundschutz auf der Landing Page - präzisere Verankerung in der deutschen Umsetzung.
Februar 2026
Anforderungen können jetzt durch operative Module (Asset-Inventar, Risikoregister, Zulieferer, Vorfälle) erfüllt werden statt durch separate Formulare - die Plattform selbst ist der Nachweis.
Vollständige Rechtsdokumente nach deutschem Standard: AGB orientiert an Anbieter-Support-Modell (kein Compliance-Garantie-Versprechen), Impressum nach § 5 DDG, Datenschutzerklärung nach DSGVO.