30:["$","$L34",null,{"formats":"$undefined","locale":"de","messages":{"applicability":{"title":"NIS2-Betroffenheitsprüfung - Bin ich betroffen?","metaDescription":"Prüfen Sie in unter 2 Minuten, ob Ihr Unternehmen unter NIS2 fällt. Kostenloser Schnellcheck nach Sektor, Größe und Sonderfällen.","subtitle":"Finden Sie in unter 2 Minuten heraus, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt.","cta":"Demo buchen","steps":{"exclusion":"Ausnahmeprüfung","sector":"Sektorauswahl","size":"Unternehmensgröße","specialCases":"Sonderfälle","result":"Ergebnis"},"step":"Schritt {current} von {total}","exclusion":{"title":"Fällt Ihre Organisation in eine ausgenommene Kategorie?","description":"Die folgenden Einrichtungen sind gesetzlich von NIS2 ausgenommen. Falls zutreffend, endet die Prüfung hier - NIS2 gilt nicht für Sie.","noneOfTheAbove":"Nein - nichts davon trifft auf uns zu","noneHelp":"Auswählen um fortzufahren. Die meisten privatwirtschaftlichen Unternehmen wählen diese Option."},"sector":{"title":"In welchem Sektor ist Ihr Unternehmen tätig?","description":"Wählen Sie alle zutreffenden Sektoren. Ein Unternehmen kann in mehreren NIS2-Sektoren tätig sein.","annexI":"Sektoren mit hoher Kritikalität","annexII":"Sonstige kritische Sektoren","noSector":"Keiner dieser Sektoren trifft auf mein Unternehmen zu","selectedCount":"{count, plural, =0 {Keine Sektoren ausgewählt} =1 {1 Sektor ausgewählt} other {# Sektoren ausgewählt}}"},"size":{"title":"Wie groß ist Ihr Unternehmen?","description":"Die Größe wird auf Ebene des gesamten Unternehmensverbunds berechnet, einschließlich Mutter- und Tochtergesellschaften.","employees":"Mitarbeiteranzahl gesamt (VZÄ)","employeesHelp":"Einschließlich aller Konzernunternehmen, es sei denn, Ihre Einheit hat eine vollständig unabhängige IT-Infrastruktur.","turnover":"Jahresumsatz (EUR Millionen)","turnoverHelp":"Weltweiter konsolidierter Umsatz des gesamten Unternehmensverbunds.","balanceSheet":"Jahresbilanzsumme (EUR Millionen)","balanceSheetHelp":"Weltweite konsolidierte Bilanzsumme des gesamten Unternehmensverbunds.","independentIt":"Unsere deutsche Einheit hat vollständig unabhängige IT-Systeme vom Mutterkonzern","independentItHelp":"Falls aktiviert, gelten nur die Kennzahlen Ihrer deutschen Einheit."},"specialCases":{"title":"Trifft einer der folgenden Fälle zu?","description":"Diese Einrichtungen fallen unabhängig von der Unternehmensgröße unter NIS2.","noneOfTheAbove":"Keine der genannten","noneHelp":"Die meisten Organisationen wählen diese Option.","selectedCount":"{count, plural, =1 {1 ausgewählt} other {# ausgewählt}}"},"result":{"notInScope":"Voraussichtlich nicht betroffen","important":"Wichtige Einrichtung","importantLabel":"Voraussichtlich wichtige Einrichtung","essential":"Wesentliche Einrichtung","essentialLabel":"Voraussichtlich wesentliche Einrichtung","kritis":"Betreiber kritischer Anlagen","kritisLabel":"Voraussichtlich KRITIS-Betreiber","reason":{"excluded":"Ihre Organisation scheint vom NIS2-Anwendungsbereich ausgenommen zu sein (hoheitliche Funktion).","no_sector":"Nach Ihrer Auswahl scheint Ihr Unternehmen in keinem von NIS2 erfassten Sektor tätig zu sein. Im Zweifelsfall prüfen Sie die vollständige NIS2-Sektorenliste oder holen Sie rechtliche Beratung ein.","below_threshold":"Ihr Unternehmen scheint in einem NIS2-Sektor tätig zu sein, liegt aber möglicherweise unter der Schwelle für mittlere Unternehmen. Allerdings können NIS2-Anforderungen über Lieferkettenverträge mit betroffenen Kunden gelten.","special_case":"Aufgrund seiner Einstufung fällt Ihre Organisation voraussichtlich unabhängig von der Größe in den Anwendungsbereich.","size_and_sector":"Nach den vorliegenden Informationen scheint Ihr Unternehmen sowohl die Sektor- als auch die Größenkriterien für NIS2 zu erfüllen."},"disclaimer":"Dies ist eine indikative Orientierungshilfe auf Basis öffentlich zugänglicher Quellen (NIS 2, BSIG, BSI-FAQ), keine Rechtsberatung und keine verbindliche Einstufung im Einzelfall. Die NIS2-Betroffenheit hängt von Faktoren ab, die hier nicht vollständig erfasst werden, darunter Konzernstruktur, unabhängige IT-Infrastruktur und behördliche Auslegungen. Für eine verbindliche Einstufung im Einzelfall wenden Sie sich an eine Rechtsanwältin oder einen qualifizierten Berater.","obligations":"Gesetzliche Anforderungen laut NIS 2 / BSIG","penalty":"Bußgeldrahmen","penaltyValue":"{amount} oder {percent} des weltweiten Jahresumsatzes","penaltyInfo":"Gesetzlicher Bußgeldrahmen nach § 65 BSIG bei Verstößen gegen Cybersicherheitsmaßnahmen, Meldepflichten oder BSI-Anordnungen. Die umsatzbasierte Alternative gilt nach Gesetzeswortlaut für Unternehmen mit > 500 Mio. EUR Umsatz. Die konkrete Höhe richtet sich nach Schwere des Verstoßes.","supervisionLabel":"Aufsicht","supervisionProactive":"Proaktiv (ex-ante) - BSI kann jederzeit prüfen","supervisionReactive":"Reaktiv (ex-post) - BSI handelt bei Hinweisen auf Nichteinhaltung","supervisionInfo":"Proaktiv: Das BSI kann nach Gesetzeslage unangekündigt prüfen, Dokumentation anfordern und spezifische Sicherheitsmaßnahmen anordnen. Reaktiv: Das BSI wird nur nach Vorfällen oder bei begründetem Verdacht auf Nichteinhaltung tätig.","registration":"BSI-Registrierung","registrationDeadline":"Selbstregistrierung beim BSI bis 6. März 2026 (für betroffene Einrichtungen)","registrationInfo":"Das BSIG sieht eine Selbstregistrierung über das BSI-Portal vor (aktiv seit 6. Jan. 2026). Benötigt: Unternehmensname, Adresse, Sektoren, IP-Bereiche und Erklärung zur Einrichtungskategorie. In der Praxis zuerst ein 'Mein Unternehmenskonto' (MUK) über ELSTER erstellen, dann auf dem BSI-Portal registrieren.","riskManagement":"Risikomanagement","riskManagementValue":"10 Maßnahmen nach § 30 BSIG","riskManagementInfo":"Nach § 30 BSIG sieht das Gesetz zehn Maßnahmenbereiche vor: Risikoanalyse, Vorfallbewältigung, Business Continuity, Lieferkettensicherheit, sichere Entwicklung, Wirksamkeitsbewertung, Cyberhygiene-Schulungen, Kryptographie, Zugriffskontrolle/Asset-Management und Multi-Faktor-Authentifizierung.","incidentReporting":"Meldepflichten","incidentReportingValue":"24 Std. / 72 Std. / 1 Monat Meldekaskade an das BSI","incidentReportingInfo":"Art. 23 NIS 2 / § 32 BSIG sehen für erhebliche Sicherheitsvorfälle eine dreistufige Meldekaskade an das BSI vor: (1) Frühwarnung innerhalb von 24 Stunden, (2) aktualisierte Meldung innerhalb von 72 Stunden, (3) Abschlussmeldung innerhalb von 1 Monat. Inhalte und Schwellen sind im Gesetzestext geregelt.","managementLiability":"Geschäftsführerhaftung","managementLiabilityValue":"Persönliche Haftung nach § 38 BSIG","managementLiabilityInfo":"Der Gesetzestext (§ 38 BSIG) regelt eine persönliche Innenhaftung der Geschäftsleitung mit drei Kernpflichten: (1) formelle Billigung der Cybersicherheitsmaßnahmen, (2) aktive Überwachung der Umsetzung, (3) Pflichtschulung. Ein Haftungsverzicht durch Gesellschafter ist nach dem Gesetzeswortlaut ausgeschlossen.","managementTraining":"Schulungspflicht","managementTrainingValue":"Pflichtschulung Cybersicherheit nach § 38 BSIG","managementTrainingInfo":"§ 38 BSIG sieht vor, dass Mitglieder der Geschäftsleitung regelmäßig persönlich an einer Cybersicherheitsschulung teilnehmen. Diese Pflicht ist nach dem Gesetzeswortlaut nicht an einen CISO oder die IT-Abteilung delegierbar.","cta":"Walkthrough buchen","ctaVoluntary":"Trotzdem Walkthrough buchen","restart":"Neu starten","supplyChainNote":"Auch wenn nicht direkt betroffen, können NIS2-Anforderungen über Verträge mit betroffenen Kunden gelten."},"nav":{"back":"Zurück","next":"Weiter","checkResult":"Ergebnis anzeigen"},"leadCapture":{"title":"Kostenlose Compliance-Roadmap erhalten","description":"Wir senden Ihnen einen personalisierten Maßnahmenplan basierend auf Ihrer Einstufung — kein Spam, nur die nächsten Schritte.","placeholder":"ihre@firma.de","cta":"Roadmap senden","success":"Prüfen Sie Ihren Posteingang — Ihre Compliance-Roadmap ist unterwegs.","error":"Etwas ist schiefgelaufen. Bitte versuchen Sie es erneut."}},"assets":{"title":"Asset-Register","description":"Inventar aller IT- und OT-Systeme, die wesentliche Dienste unterstützen. Erforderlich nach CIR 2024/2690 §12 und NIS2 Art. 21(2)(i).","helpText":"Erfassen Sie jedes IT-System, OT-Gerät, jeden Cloud-Dienst und jedes physische Asset, auf das Ihre Organisation angewiesen ist. Markieren Sie kritische Assets und OT-Systeme separat - diese unterliegen strengeren NIS2-Anforderungen.","add":"Asset hinzufügen","edit":"Asset bearbeiten","empty":"Noch keine Assets vorhanden. Fügen Sie Ihr erstes Asset hinzu.","deleteConfirm":"Sind Sie sicher, dass Sie dieses Asset löschen möchten?","actions":"Aktionen","critical":"Kritisch","ot":"OT","otherType":"Sonstige","otherTypePlaceholder":"Eigenen Asset-Typ eingeben","types":{"application":"Anwendung","server":"Server","endpoint":"Endgerät","network":"Netzwerk","database":"Datenbank","cloud_service":"Cloud-Dienst","data_store":"Datenspeicher","ot_ics":"OT / ICS","iot":"IoT","physical":"Physisch"},"typeDescriptions":{"application":"Geschäftsanwendungen (ERP, CRM, E-Mail)","server":"Physische oder virtuelle Server","endpoint":"Laptops, Arbeitsplatzrechner, Mobilgeräte","network":"Router, Switches, Firewalls, VPN","database":"Datenbanken, Data Warehouses","cloud_service":"SaaS, IaaS, PaaS","data_store":"Dateifreigaben, Backups, Archive","ot_ics":"SCADA, SPS, Industriesteuerungen","iot":"IoT-Geräte, Sensoren","physical":"Gebäude, Räume, Infrastruktur"},"fields":{"name":"Asset-Name","type":"Typ","description":"Beschreibung","status":"Status","isOT":"OT-Asset","isCritical":"Kritisches Asset","owner":"Verantwortlicher","location":"Standort","ipAddress":"IP-Adresse","hostname":"Hostname","operatingSystem":"Betriebssystem","softwareVersion":"Softwareversion","hasMfa":"MFA aktiviert","encryptionAtRest":"Verschlüsselung ruhender Daten","encryptionInTransit":"Verschlüsselung übertragener Daten","cryptoImplementation":"Krypto-Implementierung","hasBackup":"Backup aktiviert","lastPatchDate":"Letztes Patch-Datum","lastVulnScanDate":"Letzter Vulnerability-Scan","backupFrequency":"Backup-Häufigkeit","backupLocation":"Backup-Standort","lastBackupTestDate":"Letzter Backup-Test","rto":"RTO (Stunden)","rpo":"RPO (Stunden)","endOfLife":"End of Life","quantity":"Anzahl","processesPersonalData":"Verarbeitet personenbezogene Daten"},"fieldDescriptions":{"name":"Eindeutiger Name zur Identifizierung dieses Assets im Inventar Ihrer Organisation.","type":"Kategorie des Assets gemäß NIS2-Gefahrenübergreifendem Ansatz.","description":"Kurze Beschreibung der Funktion und des Einsatzzwecks dieses Assets.","status":"Wählen Sie den aktuellen Betriebsstatus des Assets.","isOT":"Aktivieren, wenn es sich um ein Operational-Technology-System (z. B. SCADA, ICS) handelt.","isCritical":"Aktivieren, wenn dieses Asset für die Erbringung wesentlicher Dienste unverzichtbar ist.","owner":"Person oder Rolle, die für Betrieb und Sicherheit dieses Assets verantwortlich ist (CIR 2024/2690 Erwägungsgrund).","location":"Physischer oder logischer Standort des Assets (z. B. Rechenzentrum, Cloud-Region, Büro).","ipAddress":"Primäre IP-Adresse dieses Assets.","hostname":"Vollständiger Hostname oder DNS-Name dieses Assets.","operatingSystem":"Betriebssystem und Version (z. B. Ubuntu 22.04, Windows Server 2022).","softwareVersion":"Aktuell installierte Software- oder Firmwareversion.","hasMfa":"Ob für den Zugriff auf dieses Asset Multi-Faktor-Authentifizierung erforderlich ist.","encryptionAtRest":"Zugelassener Algorithmus aus der Kryptographierichtlinie für ruhende Daten (z. B. AES-256-GCM).","encryptionInTransit":"Zugelassene TLS-Suite aus der Kryptographierichtlinie für übertragene Daten (z. B. TLS_AES_256_GCM_SHA384).","cryptoImplementation":"Werkzeug oder Hardware zur Umsetzung der Verschlüsselung (z. B. BitLocker + TPM, AWS KMS, Let's Encrypt).","hasBackup":"Ob regelmäßige Datensicherungen konfiguriert sind.","lastPatchDate":"Datum des letzten Sicherheitspatches (CIR 2024/2690 Erwägungsgrund).","lastVulnScanDate":"Datum des letzten Schwachstellen-Scans.","backupFrequency":"Häufigkeit der Backups.","backupLocation":"Speicherort der Backups.","lastBackupTestDate":"Datum des letzten Backup-Wiederherstellungstests.","rto":"Recovery Time Objective in Stunden.","rpo":"Recovery Point Objective in Stunden.","endOfLife":"Datum, an dem dieses Asset das Ende der Lebensdauer/Unterstützung erreicht (CIR 2024/2690 Erwägungsgrund).","quantity":"Anzahl identischer Einheiten in dieser Asset-Gruppe (BSI-200-2 §8.1 Gruppierung).","processesPersonalData":"Aktivieren, wenn dieses Asset personenbezogene Daten speichert, verarbeitet oder übermittelt (löst DSGVO-Aspekte aus und fließt in das Verarbeitungsverzeichnis ein)."}},"auth":{"title":"NIS2-Compliance starten","description":"Konto erstellen oder anmelden.","email":"E-Mail","password":"Passwort","signIn":"Anmelden","register":"Konto erstellen","signInGoogle":"Mit Google fortfahren","switchToRegister":"Noch kein Konto? Jetzt registrieren","switchToLogin":"Bereits ein Konto? Anmelden","or":"oder","orgDomain":"Organisation: {domain}","errorInvalid":"E-Mail oder Passwort ist falsch.","errorGeneric":"Ein Fehler ist aufgetreten. Bitte versuchen Sie es erneut.","errorConsentRequired":"Bitte akzeptieren Sie die Nutzungsbedingungen und Datenschutzerklärung, um fortzufahren.","consentLabel":"Ich akzeptiere die Nutzungsbedingungen und habe die Datenschutzerklärung zur Kenntnis genommen.","backToHome":"Zuruck zu nisd2.eu"},"audit":{"title":"Audit-Protokoll","subtitle":"Manipulationssicheres Protokoll aller compliance-relevanten Aktionen","noEntries":"Noch keine Audit-Einträge vorhanden.","description":"Beschreibung","action":"Aktion","user":"Benutzer","time":"Zeit"},"audit-readiness":{"title":"Audit-Bereitschaft","subtitle":"Bewerten Sie Ihre BSIG/NIS2 Audit-Bereitschaft mit KI-Analyse","startEvaluation":"Bewertung starten","evaluating":"Alle Abschnitte werden bewertet...","reEvaluate":"Neu bewerten","reEvaluating":"Wird neu bewertet...","overallScore":"Gesamtbewertung","verdict":"Ergebnis","pass":"Audit-bereit","partial":"Nacharbeit nötig","fail":"Wesentliche Lücken","sectionsPassing":"{count} bestanden","sectionsPartial":"{count} teilweise","sectionsFailing":"{count} nicht bestanden","strengths":"Stärken","structureGaps":"Strukturelle Lücken","dataGaps":"Datenlücken","recommendations":"Empfehlungen","showDetails":"Details anzeigen","hideDetails":"Details ausblenden","severity":{"critical":"Kritisch","important":"Wichtig","nice-to-have":"Optional"},"fieldKey":"Feld","requirement":"Anforderung","issue":"Problem","recommendation":"Empfehlung","noGaps":"Keine Lücken identifiziert","disclaimer":"KI-generierte Bewertung - ersetzt keine formelle Prüfung"},"changes":{"title":"Änderungsmanagement","description":"IT/OT-Änderungsanträge mit Risikobewertung und Genehmigungsworkflow. Unterstützt NIS2 Art. 21(2)(e).","helpText":"Verfolgen Sie alle Änderungen an IT- und OT-Systemen durch einen formalen Genehmigungsprozess. Jeder Änderungsantrag umfasst Risikobewertung, Implementierungsplan und Rollback-Verfahren. NIS2 erfordert kontrolliertes Änderungsmanagement zur Vermeidung von Sicherheitsrückschritten.","add":"Neuer Änderungsantrag","edit":"Änderungsantrag bearbeiten","empty":"Noch keine Änderungsanträge. Erstellen Sie Ihren ersten Antrag.","deleteConfirm":"Sind Sie sicher, dass Sie diesen Änderungsantrag löschen möchten?","actions":"Aktionen","type":{"standard":"Standard","normal":"Normal","emergency":"Notfall"},"changeType":{"standard":"Standard","normal":"Normal","emergency":"Notfall"},"status":{"draft":"Entwurf","submitted":"Eingereicht","approved":"Genehmigt","implementing":"In Umsetzung","implemented":"Umgesetzt","rolled_back":"Zurückgesetzt","closed":"Geschlossen"},"fields":{"title":"Titel","description":"Beschreibung","changeType":"Änderungstyp","status":"Status","createdAt":"Erstellt am","businessJustification":"Geschäftliche Begründung","securityImpactAssessment":"Sicherheitsfolgenabschätzung","rollbackPlan":"Rückfallplan"},"fieldDescriptions":{"title":"Geben Sie eine prägnante Bezeichnung für die geplante Änderung an (z. B. 'Firewall-Regelwerk-Update Standort Berlin').","description":"Beschreiben Sie die geplante Änderung im Detail: Was wird geändert und welche Systeme sind betroffen?","changeType":"Wählen Sie den Änderungstyp: Standard (vorab genehmigt), Normal (CAB-Genehmigung erforderlich) oder Notfall.","status":"Wählen Sie den aktuellen Bearbeitungsstatus des Änderungsantrags.","createdAt":"Datum, an dem dieser Änderungsantrag erstellt wurde.","businessJustification":"Erläutern Sie die geschäftliche Notwendigkeit und den erwarteten Nutzen dieser Änderung.","securityImpactAssessment":"Bewerten Sie die Auswirkungen dieser Änderung auf die Informationssicherheit Ihrer Organisation.","rollbackPlan":"Beschreiben Sie das Verfahren zur Rücknahme der Änderung, falls die Implementierung fehlschlägt oder Sicherheitsprobleme auftreten."}},"common":{"save":"Speichern","saving":"Speichern...","cancel":"Abbrechen","back":"Zurück","next":"Weiter","open":"Öffnen","optional":"Optional","loading":"Laden...","entries":"{count} Einträge","select":"Auswählen...","yes":"Ja","no":"Nein","noData":"Keine Daten","user":"Benutzer","modules":{"asset":"Assets","risk":"Risiken","incident":"Vorfälle","supplier":"Lieferanten","policy":"Richtlinien","training_record":"Schulungsnachweise","exercise":"Übungen","management_review":"Management-Reviews","kpi_measurement":"KPI-Messungen","change_request":"Änderungsanträge","patch_record":"Patch-Einträge","internal_audit":"Interne Audits","improvement_item":"Verbesserungen","bsi_registration":"BSI-Registrierung","bsi_incident_report":"BSI-Vorfallmeldungen"},"moduleRef":{"confirmCompliance":"Compliance bestätigen","noRecords":"Noch keine Einträge - zuerst Daten im Modul anlegen"}},"status":{"not_started":"Offen","in_progress":"In Bearbeitung","completed":"Erledigt","not_applicable":"N/A","needs_review":"Review nötig","approved":"Genehmigt","rejected":"Abgelehnt"},"priority":{"P0":"Kritisch - sofortiges Handeln erforderlich","P1":"Hoch - im laufenden Zyklus umsetzen","P2":"Mittel - für nächsten Zyklus einplanen","P3":"Niedrig - bei Gelegenheit umsetzen"},"metadata":{"title":"NIS2 Compliance Platform","description":"NIS2/BSIG 2025 Compliance Management"},"companyLookup":{"title":"Ist Ihr Unternehmen von NIS2 betroffen?","subtitle":"Verbindlich entscheidet Ihre nationale Aufsichtsbehörde. Hier finden Sie offizielle Anlaufstellen pro Land und einen kostenlosen Selbst-Check als Orientierung. Unsicher? Sehen Sie sich praxisnahe Grenzfälle an.","authorityCallout":{"heading":"Verbindliche Einstufung: Ihre nationale Aufsichtsbehörde","body":"Die endgültige NIS2-Einstufung trifft die zuständige Behörde Ihres Landes. Wir verlinken die offiziellen Stellen — der Selbst-Check unten ist nur eine schnelle Orientierungshilfe.","seeAll":"Alle 27 EU-Mitgliedstaaten ansehen"},"selfCheckHeading":"Schneller Selbst-Check","selfCheckSubtitle":"Eine Orientierungshilfe nach Sektor, Größe und Sonderfällen — ersetzt nicht die offizielle Einstufung Ihrer Behörde.","placeholder":"Firmenname eingeben (z.B. Stadtwerke München)","noResults":"Kein Unternehmen gefunden. Prüfen Sie die Schreibweise oder verwenden Sie den vollständigen Firmennamen.","error":"Die Unternehmenssuche ist derzeit nicht verfügbar. Bitte versuchen Sie es später erneut.","sectors":"NIS2-Sektoren","companyData":"Unternehmensdaten","legalForm":"Rechtsform","register":"Handelsregister","founded":"Gegründet","capital":"Stammkapital","companySize":"Unternehmensgröße","revenue":"Umsatz","industryCodes":"Wirtschaftszweige (WZ)","purpose":"Unternehmensgegenstand","missingData":"Einige Daten konnten nicht automatisch ermittelt werden. Die Einstufung basiert auf den verfügbaren Informationen und kann sich ändern, wenn alle Daten vorliegen.","ctaInScope":"Nächste Schritte besprechen","checkNis2":"NIS2-Status prüfen","loading":"Unternehmensdaten werden analysiert…","ctaNotInScope":"Trotzdem absichern","disclaimer":"Unternehmensdaten stammen aus öffentlichen Registern und werden zur Verbesserung unseres Dienstes gespeichert.","holdingWarning":"Dieses Unternehmen scheint eine Holding oder Konzernmutter zu sein. Die NIS2-Betroffenheit wird pro Einrichtung bewertet — Tochtergesellschaften mit eigenem Betrieb, Mitarbeitern und IT-Systemen können unabhängig betroffen sein, auch wenn die Holding selbst es nicht ist. Prüfen Sie jede Tochtergesellschaft einzeln.","resultDisclaimer":"Dies ist eine indikative Einschätzung auf Basis öffentlich verfügbarer Registerdaten, keine Rechtsberatung. Die tatsächliche NIS2-Betroffenheit hängt von hier nicht vollständig erfassten Faktoren ab. Lassen Sie Ihren Status von einem qualifizierten Berater bestätigen.","result":{"not_in_scope":"Voraussichtlich nicht betroffen","important":"Voraussichtlich wichtige Einrichtung","essential":"Voraussichtlich wesentliche Einrichtung","kritis":"Voraussichtlich Betreiber kritischer Anlagen (KRITIS)"},"reason":{"excluded":"Ihre Organisation scheint vom NIS2-Anwendungsbereich ausgenommen zu sein.","no_sector":"Keiner der registrierten Wirtschaftszweige scheint unter einen NIS2-Sektor zu fallen.","below_threshold":"Ihr Unternehmen scheint in einem NIS2-Sektor tätig zu sein, liegt aber nach verfügbaren Daten möglicherweise unter der Größenschwelle.","special_case":"Aufgrund seiner Einstufung fällt Ihre Organisation voraussichtlich unabhängig von der Größe in den Anwendungsbereich.","size_and_sector":"Nach verfügbaren Daten scheinen sowohl Sektor- als auch Größenkriterien für NIS2 erfüllt zu sein."},"orSeparator":"oder manuell prüfen","manualFallback":"Sie finden Ihr Unternehmen nicht?","manualLink":"Manuelle Prüfung starten"},"compliance":{"title":"NIS2 Compliance","subtitle":"BSIG 2025 - {totalReqs} Anforderungen in {steps} Schritten","startAssessment":"Compliance-Bewertung starten","startDescription":"Durchlaufen Sie systematisch alle NIS2/BSIG-Anforderungen. Pro Domäne werden die relevanten Anforderungen angezeigt und können direkt bearbeitet werden.","startButton":"Bewertung starten","continueButton":"Fortsetzen","completeAssessment":"Bewertung abschließen","domains":"{count} Compliance-Domänen","loadingCategories":"Lade Kategorien...","loadingRequirements":"Lade Anforderungen...","categoryNotFound":"Kategorie nicht gefunden.","noFrameworkData":"Keine Framework-Daten verfügbar.","noRequirements":"Keine Anforderungen für diese Kategorie gefunden.","frequency":"Frequenz: {value}","mandatory":"Pflicht","requiredEvidence":"Erforderlicher Nachweis","progress":"{completed} von {total}","progressTooltip":"{completed} von {total} Anforderungen abgeschlossen ({percentage}%)","assign":"Zuweisen","categoryOwner":"Verantwortlicher","noOwner":"Kein Verantwortlicher zugewiesen","assignedTo":"Zugewiesen an {name}","assignedCount":"{count} zugewiesen","unassigned":"Nicht zugewiesen","readOnlyBanner":"Diese Kategorie ist {name} zugewiesen. Wenden Sie sich an Ihren Admin.","noUsersToAssign":"Keine Teammitglieder verfügbar","inviteMember":"Neues Mitglied einladen","invitePlaceholder":"name@firma.de","assignFailed":"Zuweisung fehlgeschlagen","unassignFailed":"Aufhebung fehlgeschlagen","moduleBacked":"Modulbasiert - verknüpft mit operativen Daten","signOff":"Freigeben","signOffAllCount":"Alle freigeben ({count})","bulkSignOffSuccess":"{count} Anforderungen freigegeben","signedOffBy":"Freigegeben von {role} am {date}","notApplicable":"Nicht anwendbar","notApplicablePlaceholder":"Erklären Sie, warum diese Anforderung für Ihre Organisation nicht gilt (§30 BSIG Verhältnismäßigkeit)...","confirmNotApplicable":"N/A bestätigen","exportPolicy":"Richtlinie exportieren","completedSectionCount":"Freigegeben ({count})","implementationGuide":"Umsetzungsleitfaden","showMore":"Mehr anzeigen","showLess":"Weniger anzeigen","deadline":{"overdue":"{days}d überfällig","dueToday":"Heute fällig","dueIn":"Fällig in {days}d"},"guided":{"banner":"Geführte Einrichtung","progress":"Kategorie {current} von {total}","skipToDashboard":"Zum Dashboard","finish":"Einrichtung abschließen"},"overview":{"title":"Compliance-Übersicht","subtitle":"Verfolgen Sie den Fortschritt über alle NIS2-Anforderungskategorien","requirements":"{count} Anforderungen"},"requirement":{"backToCategory":"Zurück zu {category}","whatSection":"Was ist gefordert","whySection":"Warum das wichtig ist","howSection":"So setzen Sie das um","specificsSection":"Ihre Angaben","evidenceSection":"Nachweise","noFieldsNeeded":"Keine spezifischen Daten erforderlich - prüfen Sie die Anleitung und geben Sie frei.","viewDetails":"Details anzeigen","prevRequirement":"Vorherige","nextRequirement":"Nächste","threatContext":"Bedrohungskontext","legalConsequence":"Rechtliche Folgen","businessValue":"Geschäftlicher Nutzen","signedOff":"Freigegeben","signedOffByOn":"Freigegeben von {name} am {date}","rejectionFeedback":"Prüfungshinweise","moduleData":"Operative Daten","goToRegister":"Zum Register","requiredRole":"Diese Anforderung erfordert Freigabe durch: {role}","signOffProgress":"{signed} von {total} Freigaben abgeschlossen","details":"Details","priority":"Priorität","frequency":"Häufigkeit","deadline":"Frist","importance":"Wichtigkeit","implSteps":"Umsetzungsschritte","whyItMatters":"Warum das wichtig ist","prerequisitesTitle":"Voraussetzungen","prerequisiteComplete":"Erledigt","prerequisitePending":"Erforderlich","prerequisitesBlocked":"Schließen Sie zuerst folgende Anforderungen ab:"},"frameworkName":"NIS2 / BSIG 2026","categories":{"GOV":{"name":"Governance & Haftung","description":"Leitungsverantwortung, persönliche Haftung und organisatorische Steuerung der Cybersicherheit","legalBasis":"Art. 20 NIS2 · §38 BSIG","threatLandscape":"Ohne klare Governance fehlt Cybersicherheitsmaßnahmen die Richtung und Verantwortlichkeit. Eine Geschäftsleitung, die sich nicht mit Sicherheit befasst, schafft eine Kultur der Nachlässigkeit und macht die Organisation anfällig für systematische Fehler.","bsiGuidance":"Das BSI erwartet, dass die Geschäftsleitung Cybersicherheits-Risikomaßnahmen formell genehmigt, verantwortliche Personen benennt, ausreichendes Budget bereitstellt und regelmäßig an Cybersicherheitsschulungen teilnimmt (§38 BSIG). Die persönliche Haftung gilt für Geschäftsführer."},"RSK":{"name":"Risikomanagement","description":"Risiken identifizieren, bewerten und behandeln nach dem Gefahrenübergreifenden Ansatz (Cyber, physisch, Umwelt) - Grundlage aller weiteren Maßnahmen","legalBasis":"Art. 21(2)(a) NIS2 · §30(2) Nr. 1 BSIG","threatLandscape":"Organisationen ohne strukturierten Risikobewertungsprozess können Sicherheitsinvestitionen nicht effektiv priorisieren, was dazu führt, dass kritische Systeme ungeschützt bleiben, während Ressourcen in risikoarme Bereiche fließen.","bsiGuidance":"Das BSI erwartet eine dokumentierte Risikobewertungsmethodik, ein vollständiges Risikoregister, einen Behandlungsplan mit von der Geschäftsleitung genehmigter Risikoakzeptanz und einen regelmäßigen Überprüfungszyklus (mindestens jährlich). Muss alle kritischen Informationssysteme mit einem gefahrenübergreifenden Ansatz abdecken."},"INC":{"name":"Vorfallbehandlung","description":"Erkennung, Reaktion und Meldung von Sicherheitsvorfällen an das BSI","legalBasis":"Art. 21(2)(b), Art. 23 NIS2 · §30(2) Nr. 2, §32 BSIG","threatLandscape":"Cybervorfälle sind unvermeidlich. Ohne einen geübten Reaktionsplan gehen kritische Stunden während des 24h-BSI-Frühwarnfensters und der 72h-Meldefrist verloren, was neben dem operativen Schaden regulatorische Strafen riskiert.","bsiGuidance":"Das BSI erwartet einen Vorfallbehandlungsplan mit klaren Rollen und Eskalationswegen, 24h-Frühwarnfähigkeit (§32(1)), 72h-Vorfallmeldung mit Auswirkungsbewertung, Klassifizierungsschema, Übungsnachweise und Nachbereitungsprozess."},"BCP":{"name":"Business Continuity","description":"Backup, Wiederherstellung und Krisenmanagement - Aufrechterhaltung des Betriebs","legalBasis":"Art. 21(2)(c) NIS2 · §30(2) Nr. 3 BSIG","threatLandscape":"Ransomware und Infrastrukturausfälle können den Betrieb vollständig zum Stillstand bringen. Ohne getestete Backup-/Wiederherstellungsverfahren und einen Krisenmanagementplan verlängern sich Wiederherstellungszeiten von Stunden auf Wochen und gefährden das Fortbestehen des Unternehmens.","bsiGuidance":"Das BSI erwartet eine Business-Impact-Analyse, einen dokumentierten BCP mit RPO/RTO-Zielen, regelmäßige Backup- und Wiederherstellungstests, Krisenkommunikationsverfahren und Nachweise jährlicher BCP-Tests."},"SUP":{"name":"Lieferkettensicherheit","description":"Sicherheit der Lieferkette - Risikomanagement für Drittanbieter","legalBasis":"Art. 21(2)(d) NIS2 · §30(2) Nr. 4 BSIG","threatLandscape":"Lieferkettenangriffe (SolarWinds, Kaseya) zeigen, dass ein einziger kompromittierter Lieferant Tausende von Organisationen gefährden kann. Drittanbieterrisiken sind heute ein primärer Angriffsvektor.","bsiGuidance":"Das BSI erwartet ein Lieferantenregister mit Sicherheitskritikalitätsklassifizierung, Sicherheitsanforderungen in Verträgen (SLAs, Auditrechte), laufende Lieferantenüberwachung, Vorfallmeldeklauseln und Bewertung von Single Points of Failure."},"PRO":{"name":"Beschaffung & Entwicklung","description":"Sichere Beschaffung, Patch-Management und Änderungskontrolle","legalBasis":"Art. 21(2)(e) NIS2 · §30(2) Nr. 5 BSIG","threatLandscape":"Ungepatchte Schwachstellen sind der häufigste Einstiegspunkt für Angreifer. Organisationen ohne strukturiertes Schwachstellen- und Patch-Management bleiben wochen- oder monatelang bekannten Exploits ausgesetzt.","bsiGuidance":"Das BSI erwartet Sicherheitsanforderungen bei der Beschaffung, sichere SDLC bei Eigenentwicklung, Schwachstellenscanning und Patching mit definierten SLAs, koordinierte Offenlegungsrichtlinie, Konfigurationshärtungsbaselines und Drittkomponenten-Tracking."},"EFF":{"name":"Wirksamkeitsbewertung","description":"Audits, KPIs und Managementbewertungen - Wirksamkeit nachweisen","legalBasis":"Art. 21(2)(f) NIS2 · §30(2) Nr. 6 BSIG","threatLandscape":"Sicherheitsmaßnahmen verlieren mit der Zeit an Wirksamkeit. Ohne regelmäßige Wirksamkeitsbewertungen entwickeln Organisationen ein falsches Sicherheitsgefühl, während das tatsächliche Schutzniveau durch Konfigurationsdrift und sich entwickelnde Bedrohungen sinkt.","bsiGuidance":"Das BSI erwartet definierte KPIs/Metriken für die Cybersicherheitswirksamkeit, regelmäßige interne Audits, Managementbewertungen, Trendanalyse von Vorfällen und Findings sowie Korrekturmaßnahmen-Tracking aus Bewertungen."},"TRN":{"name":"Cyberhygiene & Schulung","description":"Sensibilisierung, Phishing-Tests und Schulungen der Geschäftsleitung","legalBasis":"Art. 21(2)(g) NIS2 · §30(2) Nr. 7 BSIG","threatLandscape":"Menschliches Versagen ist für über 80% der Sicherheitsverletzungen verantwortlich. Phishing, Social Engineering und Credential-Missbrauch sind die effektivsten Angriffstechniken, die alle auf ungeschulte Mitarbeiter abzielen.","bsiGuidance":"Das BSI erwartet ein Cybersicherheits-Awareness-Schulungsprogramm für alle Mitarbeiter, rollenspezifische Schulungen für IT/Security-Personal, Schulungsabschluss-Tracking, mindestens jährliche Auffrischungskurse, Phishing-Simulationen und Sicherheits-Onboarding für neue Mitarbeiter."},"CRY":{"name":"Kryptographie & Verschlüsselung","description":"Verschlüsselungsrichtlinien und Schlüsselverwaltung gem. BSI TR-02102","legalBasis":"Art. 21(2)(h) NIS2 · §30(2) Nr. 8 BSIG","threatLandscape":"Schwache oder veraltete Verschlüsselung legt Daten bei der Übertragung und Speicherung offen. Schlechtes Schlüsselmanagement kann selbst starke Verschlüsselung nutzlos machen, und Quantencomputing bedroht aktuelle kryptographische Standards.","bsiGuidance":"Das BSI erwartet eine Kryptographierichtlinie mit zugelassenen Algorithmen (gem. BSI TR-02102), Verschlüsselung von Daten im Ruhezustand und bei der Übertragung, Schlüsselmanagementverfahren (Erzeugung, Rotation, Widerruf), Zertifikatsmanagement und ein Inventar kryptographischer Assets."},"ACC":{"name":"Zugriffskontrolle & HR-Sicherheit","description":"Identitätsmanagement, privilegierte Zugänge und HR-Sicherheitsprozesse","legalBasis":"Art. 21(2)(i) NIS2 · §30(2) Nr. 9 BSIG","threatLandscape":"Übermäßige Zugriffsrechte sind ein Multiplikator für jeden anderen Angriff. Ein kompromittiertes Konto mit weitreichenden Privilegien kann weit mehr Daten zugreifen, exfiltrieren oder zerstören als nötig. Insiderbedrohungen nutzen schlechte Zugriffskontrollen aus.","bsiGuidance":"Das BSI erwartet eine Zugriffskontrollrichtlinie nach dem Prinzip der geringsten Berechtigung, Benutzer-Provisionierung/-De-Provisionierung, regelmäßige Zugriffsüberprüfungen, Privileged Access Management (PAM), Asset-Management-Richtlinie und HR-Sicherheitsprozesse einschließlich Joiner-Mover-Leaver."},"AUT":{"name":"Authentifizierung & Kommunikation","description":"Multi-Faktor-Authentifizierung, sichere Kommunikation und Notfallkanäle","legalBasis":"Art. 21(2)(j) NIS2 · §30(2) Nr. 10 BSIG","threatLandscape":"Credential-Diebstahl und reine Passwort-Authentifizierung sind die primären Vektoren für Kontokompromittierung. Ohne MFA gewährt ein einziges gephishtes Passwort vollen Zugang. Unsichere Kommunikation kann zu Spionagezwecken abgefangen werden.","bsiGuidance":"Das BSI erwartet Multi-Faktor- oder kontinuierliche Authentifizierung für kritische Systeme und Fernzugriff, sichere Sprach-/Video-/Textkommunikationslösungen, Notfall-Out-of-Band-Kommunikationskanal, zentralisiertes Identitätsmanagement und Session-Management-Richtlinien."},"REG":{"name":"Registrierung & Meldung","description":"BSI-Registrierung, jährliche Aktualisierung und Compliance-Nachweise","legalBasis":"Art. 3, Art. 23 NIS2 · §33, §34, §39 BSIG","threatLandscape":"Versäumnisse bei der BSI-Registrierung und Pflege aktueller Kontaktdaten bedeuten, dass die Organisation keine Bedrohungswarnungen erhalten und keine Meldepflichten erfüllen kann, was das regulatorische Risiko erhöht.","bsiGuidance":"Das BSI erwartet eine abgeschlossene Registrierung (§33), eine benannte Kontaktstelle, aktuelle Registrierungsdaten (jährliche Aktualisierung), Einhaltung der Informationspflichten (§34), Pflege der Domänenregistrierung (§39 falls zutreffend) und dokumentierte behördliche Korrespondenz."},"AI-LIT":{"name":"AI Literacy","description":"Ensure staff and persons operating AI systems on the company's behalf have a sufficient level of AI literacy.","legalBasis":"Art. 4 EU AI Act","threatLandscape":"Untrained staff using AI tools cause data leakage, hallucination-driven errors, and deepfake exposure that organisations cannot defend in audit or court.","bsiGuidance":""},"AI-PRO":{"name":"Prohibited Practices","description":"Screen AI use cases against the eight (plus one) banned practices in Art. 5 and document the screening outcome.","legalBasis":"Art. 5 EU AI Act","threatLandscape":"Using a prohibited practice triggers the highest penalty tier (EUR 35M or 7% of global turnover) regardless of intent.","bsiGuidance":""},"AI-INV":{"name":"AI System Inventory","description":"Maintain an inventory of every AI system in use, classify each by risk tier, and re-classify on substantial modification.","legalBasis":"Art. 6, 25, 26 EU AI Act","threatLandscape":"Without an inventory, shadow-AI deployments evade oversight and create unmitigated compliance and liability exposure.","bsiGuidance":""},"AI-RSK":{"name":"AI Risk Management","description":"Operate a documented risk management system for high-risk AI systems, with annual review and treatment of identified risks.","legalBasis":"Art. 9 EU AI Act","threatLandscape":"Unmanaged AI risks (bias, drift, robustness failures) translate directly into incident exposure under Art. 73.","bsiGuidance":""},"AI-FRI":{"name":"Fundamental Rights Impact Assessment","description":"Conduct a Fundamental Rights Impact Assessment before deploying high-risk AI systems in public, financial, or insurance contexts.","legalBasis":"Art. 27 EU AI Act","threatLandscape":"Skipping the FRIA exposes the deployer to civil claims from affected persons and to market-surveillance enforcement.","bsiGuidance":""},"AI-OVS":{"name":"Human Oversight","description":"Designate a competent human overseer per high-risk AI system and verify oversight effectiveness annually.","legalBasis":"Art. 14, Art. 26(2) EU AI Act","threatLandscape":"Autonomous high-risk AI systems without effective human override breach Art. 14 and create direct provider/deployer liability.","bsiGuidance":""},"AI-TRA":{"name":"Transparency","description":"Disclose AI interactions and AI-generated content to end users; watermark synthetic content; disclose deepfakes.","legalBasis":"Art. 50 EU AI Act","threatLandscape":"Lack of disclosure on chatbots and synthetic content breaches Art. 50 and undermines trust with customers and regulators.","bsiGuidance":""},"AI-INC":{"name":"AI Incident Reporting","description":"Document the AI incident response procedure; notify the market surveillance authority of serious incidents within 15 days.","legalBasis":"Art. 73 EU AI Act","threatLandscape":"Failure to notify within the 15-day window triggers the second penalty tier (EUR 15M or 3% of turnover).","bsiGuidance":""},"AI-DOC":{"name":"Technical Documentation","description":"Maintain Annex IV technical documentation, automatic logging, and the EU Declaration of Conformity for high-risk AI systems.","legalBasis":"Art. 11, 12, 18, 19, 47 · Annex IV, V EU AI Act","threatLandscape":"Incomplete technical documentation prevents conformity assessment and blocks placing on the EU market.","bsiGuidance":""},"AI-GPI":{"name":"General-Purpose AI","description":"GPAI provider obligations: model card, copyright policy, training-content summary, plus systemic-risk evaluation when training compute exceeds 10^25 FLOPs.","legalBasis":"Art. 51-55 EU AI Act","threatLandscape":"GPAI providers that miss transparency obligations face EU AI Office enforcement directly, with fines under Art. 101.","bsiGuidance":""},"CRA-MFG":{"name":"Manufacturer Obligations","description":"Per-product cybersecurity risk assessment and management body sign-off before placing the product on the EU market.","legalBasis":"Art. 13 EU CRA","threatLandscape":"Manufacturers that ship without a documented risk assessment have no defence when actively exploited vulnerabilities surface.","bsiGuidance":""},"CRA-ESS":{"name":"Essential Cybersecurity Requirements","description":"Compliance with Annex I Part I: no known exploitable vulnerabilities at placing on market, secure by default, protection of data confidentiality, integrity, availability.","legalBasis":"Annex I Part I EU CRA","threatLandscape":"Products that fail essential requirements cannot legally remain on the EU market and trigger the highest penalty tier.","bsiGuidance":""},"CRA-VLN":{"name":"Vulnerability Handling","description":"Documented vulnerability handling, coordinated disclosure policy, security updates without delay, and public disclosure of fixed vulnerabilities.","legalBasis":"Annex I Part II EU CRA","threatLandscape":"Vendors without a vulnerability handling process cannot meet the 24h / 72h / 14-day reporting cascade and become liable for downstream incidents.","bsiGuidance":""},"CRA-INC":{"name":"Active Exploitation Reporting","description":"24-hour early warning to ENISA and CSIRT, 72-hour notification, 14-day final report for actively exploited vulnerabilities and severe incidents.","legalBasis":"Art. 14 EU CRA","threatLandscape":"Missed reporting deadlines (other than the 24h deadline for SMEs) trigger the highest penalty tier and product-recall powers.","bsiGuidance":""},"CRA-CONF":{"name":"Conformity Assessment","description":"Conformity assessment route per product class (self-assessment Module A, Module B+C with notified body, or Module H quality system) followed by CE marking.","legalBasis":"Art. 24, Art. 27 EU CRA","threatLandscape":"Products without valid conformity assessment cannot be placed on the EU market from 11 December 2027.","bsiGuidance":""},"CRA-DOC":{"name":"Technical Documentation","description":"Maintain Annex VII technical documentation for each product placed on the EU market.","legalBasis":"Art. 28 · Annex VII EU CRA","threatLandscape":"Missing or incomplete technical documentation blocks market surveillance verification and triggers product withdrawal.","bsiGuidance":""},"CRA-SUP":{"name":"Support Period","description":"Publicly commit to a security update support period (default five years or expected product life, whichever is longer).","legalBasis":"Art. 13(8) EU CRA","threatLandscape":"Failure to support the full period exposes the manufacturer to claims from customers stranded on insecure products.","bsiGuidance":""},"CRA-SBOM":{"name":"Software Bill of Materials","description":"Generate and maintain a machine-readable Software Bill of Materials for each product placed on the EU market.","legalBasis":"Annex I Part II §1 EU CRA","threatLandscape":"Without an SBOM, manufacturers cannot trace which products contain a vulnerable component and miss the Art. 14 reporting window.","bsiGuidance":""},"CRA-IMP":{"name":"Importer and Distributor","description":"Importers verify manufacturer compliance before placing on market; distributors perform due diligence on conformity markings.","legalBasis":"Art. 18, Art. 19 EU CRA","threatLandscape":"Importers and distributors that miss verification inherit manufacturer liability under Art. 22.","bsiGuidance":""},"CRA-OSS":{"name":"Open-Source Steward","description":"Open-source software stewards adopt a cybersecurity policy, coordinated vulnerability disclosure, and report actively exploited vulnerabilities.","legalBasis":"Art. 24 EU CRA","threatLandscape":"OSS stewards are penalty-exempt under Art. 64(10), but downstream commercial users still depend on their reporting.","bsiGuidance":""}}},"intake":{"bsiContext":"Was das BSI erwartet","threatLandscape":"Gefährdungslage","grundschutzModule":"IT-Grundschutz-Baustein","companyContext":"Ihr Unternehmensprofil","completeSection":"Diesen Abschnitt ausfüllen","operationalData":"Aus Ihren Plattformdaten","saveDraft":"Entwurf speichern","submitSignOff":"Einreichen & Freigeben","saved":"Entwurf gespeichert","submitted":"Kategorie eingereicht und freigegeben","submitFailed":"Einreichung fehlgeschlagen","incomplete":"Bitte füllen Sie alle Pflichtfelder aus, bevor Sie einreichen.","alreadySignedOff":"Freigegeben am {date}","fieldProgress":"{completed} von {total} Feldern","statusDraft":"Entwurf","statusSubmitted":"Eingereicht","statusSignedOff":"Freigegeben","validate":"Mit BSI-Panel validieren","validating":"BSI-Panel-Bewertung wird durchgeführt...","validateFailed":"Validierung fehlgeschlagen","noSchema":"Kein Aufnahmeformular für diese Kategorie verfügbar.","autoSaved":"Automatisch gespeichert","categoryOwner":"Kategorie-Verantwortlicher","noOwner":"Kein Verantwortlicher zugewiesen","onlyOwnerCanSubmit":"Nur der zugewiesene Verantwortliche oder ein Admin kann diese Kategorie einreichen.","responsiblePerson":"Verantwortliche Person","responsiblePersonDescription":"Die hier zugewiesene Person kann diese Kategorie abzeichnen.","frequencyOneTime":"Einmalig","frequencyMonthly":"Monatlich","frequencyQuarterly":"Vierteljährlich","frequencySemiAnnual":"Halbjährlich","frequencyAnnual":"Jährlich","frequencyEvery3Years":"Alle 3 Jahre","frequencyOnChange":"Bei Änderung","frequencyOngoing":"Fortlaufend"},"form":{"completeRequirement":"Anforderung abschließen","noFields":"Keine Formularfelder definiert.","requirementCompleted":"{code} abgeschlossen","requirementSaved":"Anforderung wurde gespeichert.","edit":"Bearbeiten","save":"Speichern","saving":"Speichert...","failedToSave":"Speichern fehlgeschlagen"},"evidence":{"loading":"Dateien werden geladen…","uploading":"Wird hochgeladen…","uploadFailed":"Upload fehlgeschlagen. Bitte versuchen Sie es erneut.","deleteFailed":"Löschen fehlgeschlagen. Bitte versuchen Sie es erneut."},"signoff":{"title":"Management-Freigabe erforderlich","description":"Die Geschäftsleitung muss die Umsetzung von \"{title}\" bestätigen und freigeben.","roleLabel":"Rolle / Funktion","rolePlaceholder":"z.B. Geschäftsführer, CISO, IT-Leiter","confirm":"Ich bestätige, dass die Anforderung geprüft und die Umsetzung durch die Geschäftsleitung genehmigt wurde.","saving":"Wird gespeichert...","submit":"Freigabe erteilen","granted":"Freigabe erteilt","grantedDescription":"{code} wurde von {role} freigegeben."},"llm":{"title":"KI-Ausfüllung","extractTitle":"Daten per KI extrahieren","extractDescription":"Text einfügen oder Datei hierher ziehen (PDF, DOCX, TXT). Die KI extrahiert die relevanten Daten für das Formular.","extractPlaceholder":"Text hier einfügen oder Datei hierher ziehen...\n\nBeispiel: Die Müller GmbH mit Sitz in Berlin, Energiesektor, 120 Mitarbeiter, Jahresumsatz EUR 15 Mio., ist als wichtige Einrichtung gem. NIS2 eingestuft...","extractButton":"Daten extrahieren","unsupportedFormat":"Nicht unterstütztes Format: {name}. Unterstützt: {formats}","noText":"Kein Text im Dokument gefunden.","fileError":"Fehler beim Verarbeiten der Datei","dropHere":"Datei hier ablegen","processing":"Dokument wird verarbeitet...","selectFile":"Datei auswählen","fieldsFilled":"{count} Felder ausgefüllt","extracting":"Extrahiere...","assistButton":"KI-Hilfe","assistTitle":"Ausfüllhilfe","assistDescription":"KI-generierte Hilfe zum Ausfüllen dieses Anforderungsformulars. Es werden keine Daten gesendet - nur Feldnamen und -typen.","assistLoading":"Hilfe wird generiert...","assistError":"Hilfe konnte nicht generiert werden. Bitte versuchen Sie es erneut.","assistOverview":"Überblick","assistWhatThisIs":"Was ist das?","assistWhyThisExists":"Warum gibt es das?","assistApplicability":"Gilt das für uns?","assistQuickStart":"Schnellstart","assistExample":"Beispiel einer guten Einreichung","assistExampleWhyGood":"Warum ist das gut?","assistFieldGuidance":"Feld-für-Feld-Anleitung","assistMeaning":"Was es bedeutet","assistExamples":"Gute Beispiele","assistWhereToFind":"Wo finde ich das?","assistField":"Feld","assistValue":"Wert"},"dashboard":{"title":"Dashboard","description":"Übersicht Sicherheits-Compliance","risks":"Risiken","openRisks":"Offene Risiken","highRisks":"Hohe Risiken","assets":"Assets","criticalAssets":"Kritisch","otAssets":"OT","incidents":"Vorfälle","suppliers":"Lieferanten","criticalSuppliers":"Kritisch","policies":"Richtlinien","approved":"Genehmigt","training":"Schulungen","managementTraining":"Geschäftsführung","exercises":"Notfallübungen","completed":"Abgeschlossen","kpis":"Sicherheitskennzahlen","changes":"Änderungen","openChanges":"Offen","patches":"Sicherheitsupdates","pendingPatches":"Ausstehend","audits":"Selbstbewertungen","plannedAudits":"Geplant","improvements":"Maßnahmen","openImprovements":"Offen","complianceByCategory":"Compliance nach Kategorie","riskMatrix":"Risikomatrix","riskTreatmentDistribution":"Risikobehandlungsverteilung","noRisksRegistered":"Keine Risiken erfasst","noData":"Keine Daten","incidentsBySeverity":"Vorfälle nach Schweregrad","treatmentLabel":{"mitigate":"Mindern","accept":"Akzeptieren","transfer":"Übertragen","avoid":"Vermeiden"},"severity":{"nearMiss":"Beinahevorfall","incident":"Vorfall","significant":"Erheblich"},"complianceProgress":"Compliance-Fortschritt","requirementsCompleted":"{completed} von {total} Anforderungen","allModules":"Alle Module","deadlines":{"overdue":"Überfällig","dueThisWeek":"Fällig diese Woche","dueThisMonth":"Fällig diesen Monat","upcoming":"Anstehende Fristen","overdueDays":"{days}d überfällig","dueToday":"Heute fällig","dueDays":"Fällig in {days}d"}},"exercises":{"title":"Übungen","description":"BCM/DR-Übungen und Incident-Response-Tests. Erforderlich nach NIS2 Art. 21(2)(c).","helpText":"Planen und dokumentieren Sie Business-Continuity- und Disaster-Recovery-Übungen. NIS2 verlangt regelmäßige Tests Ihrer Kontinuitätspläne. Erfassen Sie Übungstyp, Teilnehmer, Erkenntnisse und Folgemaßnahmen.","add":"Übung hinzufügen","edit":"Übung bearbeiten","empty":"Noch keine Übungen geplant. Planen Sie Ihre erste Übung.","deleteConfirm":"Sind Sie sicher, dass Sie diese Übung löschen möchten?","actions":"Aktionen","type":{"tabletop":"Planspiel","technical":"Technisch","red_team":"Red Team","full_scale":"Vollübung"},"exerciseType":{"tabletop":"Planspiel","technical":"Technisch","red_team":"Red Team","full_scale":"Vollübung"},"fields":{"title":"Titel","exerciseType":"Übungstyp","domain":"Bereich","scheduledDate":"Geplantes Datum","completedAt":"Abgeschlossen am","scenarioDescription":"Szenario","facilitator":"Moderator","lessonsLearned":"Erkenntnisse"},"fieldDescriptions":{"title":"Geben Sie eine aussagekräftige Bezeichnung für die Übung an (z. B. 'Ransomware-Planspiel Q2 2025').","exerciseType":"Wählen Sie den Übungstyp: Planspiel, Technisch, Red Team oder Vollübung.","domain":"Wählen Sie den Fachbereich, der durch diese Übung abgedeckt wird (z. B. BCM, Incident Response, DR).","scheduledDate":"Geplantes Datum für die Durchführung der Übung.","completedAt":"Datum und Uhrzeit, zu der die Übung tatsächlich abgeschlossen wurde.","scenarioDescription":"Beschreiben Sie das Übungsszenario im Detail: Ausgangslage, simulierte Bedrohung und erwartete Reaktion.","facilitator":"Name der Person, die die Übung moderiert und koordiniert hat.","lessonsLearned":"Dokumentieren Sie die wichtigsten Erkenntnisse und identifizierten Verbesserungspotenziale aus der Übung."}},"export":{"title":"Berichte exportieren","subtitle":"Compliance-Berichte für Ihre Bewertungen herunterladen","noAssessments":"Keine Bewertungen gefunden. Schließen Sie zuerst die Einrichtung ab.","download":"PDF herunterladen","started":"Gestartet","progress":"{completed} von {total} Anforderungen","compliance":"Compliance"},"funnel":{"meta":{"title":"NIS2-Compliance-Plattform – Demo buchen","description":"NIS2-Compliance für den Mittelstand: 49 BSIG-Anforderungen, geführte Formulare, automatische Nachweisführung – audit-bereit ab Tag eins."},"hero":{"headline":"49 BSIG-Anforderungen. Wir führen Sie durch jede einzelne.","subhead":"Der schnellste Weg von „NIS2 betrifft uns“ zu „wir sind audit-bereit.“ Strukturierte Formulare, Fristenmanagement und automatische Nachweisführung. Start in 48 Stunden.","cta":"30-Minuten-Demo buchen","trust":"Made in Köln · Gehostet in Deutschland"},"stats":{"heading":"Die regulatorische Realität","companies":"29.500","companiesLabel":"betroffene Unternehmen allein in Deutschland","penalty":"10 Mio. € / 2%","penaltyLabel":"Bußgeld oder 2% des weltweiten Jahresumsatzes","liability":"§38 BSIG","liabilityLabel":"Geschäftsführung persönlich haftbar","description":"Die NIS2-Richtlinie ist durch das BSIG in deutsches Recht umgesetzt. Registrierungsfristen laufen, und die Geschäftsleitung haftet persönlich bei Nichteinhaltung. Abwarten ist keine Option mehr."},"alternatives":{"heading":"Warum bestehende Lösungen nicht ausreichen","consultants":{"title":"Berater","price":"150.000–500.000 €","items":["Excel-basiertes Tracking","Keine Automatisierung oder Audit-Trail","Monate von Abstimmungsschleifen","Know-how geht mit dem Berater"]},"enterprise":{"title":"Enterprise-GRC","price":"100.000+ €/Jahr","items":["6–12 Monate Implementierung","Gebaut für DAX-Komplexität","Überdimensioniert für den Mittelstand","Erfordert dediziertes GRC-Team"]},"usPlatforms":{"title":"US-Plattformen","price":"7.500+ €/Jahr","items":["Englisch-first, angeflickte Übersetzungen","Keine BSIG-spezifische Anleitung","US-Datenhosting als Standard","Generisches Framework-Mapping"]},"nisd2":{"title":"NISD2.eu","items":["Schritt für Schritt durch alle 49 Anforderungen","Audit-bereit ab Tag eins","Deutschsprachig, EU-gehostet","Live in 48 Stunden"]},"callout":"Speziell für NIS2 und BSIG gebaut. Nicht mehr, nicht weniger."},"features":{"heading":"Was Sie bekommen","obligations":{"title":"49 Anforderungen, Schritt für Schritt geführt","description":"Jede BSIG-Anforderung in strukturierte Formulare mit klaren Anweisungen zerlegt. Kein Compliance-Vorwissen nötig, einfach die Fragen beantworten."},"evidence":{"title":"Automatische Nachweise & Audit-Trail","description":"Dokumente hochladen, Freigaben tracken und einen manipulationssicheren Audit-Trail führen. Alles mit Zeitstempel und bereit für die BSI-Prüfung."},"deadlines":{"title":"Fristenüberwachung & Eskalation","description":"BSI-Registrierung, Meldekaskaden (24 h / 72 h / 1 Monat), Schulungserneuerungen. Jede Frist überwacht mit automatischer Eskalation, damit nichts untergeht."},"bsiRegistration":{"title":"BSI-Registrierungsunterstützung","description":"Geführte Vorbereitung auf Ihre BSI-Registrierung, inklusive aller erforderlichen Dokumente und Vorab-Checklisten."}},"offer":{"heading":"Gründungspartner-Programm","subtitle":"Wir onboarden unsere ersten 10 Unternehmen mit persönlicher Betreuung.","items":["3 Monate kostenlos, voller Plattformzugang","White-Glove-Onboarding innerhalb von 48 Stunden","Direkter Zugang zum Gründer für die gesamte Laufzeit","Bevorzugte Konditionen vor allgemeiner Verfügbarkeit sichern"],"exchange":"Im Gegenzug bitten wir um ehrliches Feedback zur Produktgestaltung.","cta":"Kostenlose Demo buchen"},"faq":{"heading":"Häufige Fragen","q1":"Sind wir von NIS2 betroffen?","a1":"Wenn Ihr Unternehmen in einem der 18 kritischen Sektoren tätig ist (Energie, Transport, Gesundheit, digitale Infrastruktur etc.) und 50+ Mitarbeiter oder 10 Mio. €+ Umsatz hat, sind Sie sehr wahrscheinlich betroffen. Unser kostenloser Betroffenheitscheck dauert 2 Minuten und gibt Ihnen eine klare Antwort.","q2":"Wir haben bereits ISO 27001. Reicht das nicht?","a2":"ISO 27001 deckt ca. 60–70% der NIS2-Anforderungen ab. NIS2 ergänzt jedoch Pflichten zur Meldung von Vorfällen (24h/72h), Lieferkettensicherheit, Geschäftsführerhaftung und BSI-Registrierung, die ISO 27001 nicht adressiert. Unsere Plattform deckt all das ab.","q3":"Was kostet es nach der kostenlosen Phase?","a3":"Wir finalisieren derzeit die Preise für die allgemeine Verfügbarkeit. Gründungspartner sichern sich bevorzugte Konditionen für die gesamte Laufzeit. Details besprechen wir gerne im Demo-Gespräch.","q4":"Wie lange dauert die Implementierung?","a4":"Die meisten Unternehmen schließen ihre initiale Compliance-Baseline innerhalb von 2–4 Wochen ab. Wir onboarden Sie innerhalb von 48 Stunden, und die Plattform führt Sie durch jeden Schritt. Keine 6-monatigen Implementierungsprojekte.","q5":"Wie steht es um die Datensicherheit?","a5":"Alle Daten werden in Deutschland gehostet. Wir nutzen Verschlüsselung im Ruhezustand und bei der Übertragung, rollenbasierte Zugriffskontrollen und führen einen lückenlosen Audit-Trail. Wir leben, was wir predigen.","q6":"Was passiert nach den kostenlosen Monaten?","a6":"Sie wechseln zu einem bezahlten Plan zum während des Onboardings besprochenen Preis. Keine Überraschungen. Wenn Sie sich dagegen entscheiden, helfen wir Ihnen beim Datenexport. Kein Lock-in."},"finalCta":{"headline":"Die BSI-Registrierungsfrist ist März 2026. Wir können Sie innerhalb von 48 Stunden onboarden.","cta":"30-Minuten-Demo buchen","email":"Oder schreiben Sie uns direkt: contact@nisd2.eu"}},"gap-assessment":{"title":"NIS2 Gap-Analyse","subtitle":"Bewerten Sie Ihre NIS2-Bereitschaft über 15 Bereiche","startAssessment":"Analyse starten","resumeAssessment":"Analyse fortsetzen","viewResults":"Ergebnisse ansehen","day":"Tag {number}","dayOf":"Tag {current} von {total}","questionsAnswered":"{answered} von {total} beantwortet","saving":"Wird gespeichert...","saved":"Gespeichert","overview":{"heading":"Übersicht","description":"Eine strukturierte Selbstbewertung über alle NIS2-Compliance-Bereiche. Beantworten Sie ehrlich, wie Ihr aktueller Stand ist. Es gibt keine richtigen oder falschen Antworten.","day1":"Anwendungsbereich & Governance","day1desc":"Sind Sie betroffen? Versteht Ihre Geschäftsführung ihre Haftung?","day2":"Risikomanagement","day2desc":"Kennen Sie Ihre Assets, Ihre Risiken und Ihre Sicherheitsrichtlinien?","day3":"Vorfallmanagement & Geschäftskontinuität","day3desc":"Können Sie Vorfälle erkennen, darauf reagieren und sich erholen?","day4":"Mitarbeiter, Lieferanten & Zugang","day4desc":"Sind Ihre Mitarbeiter geschult, Lieferanten gesteuert und Zugänge kontrolliert?","day5":"Technische Kontrollen & Nachweise","day5desc":"Sind Ihre technischen Schutzmaßnahmen und Dokumentation audit-bereit?","questions":"{count} Fragen","estimatedTime":"~{minutes} Min.","noActiveSession":"Sie haben noch keine Analyse gestartet.","pastSessions":"Frühere Analysen","score":"Ergebnis: {score}%","completedOn":"Abgeschlossen am {date}","inProgress":"In Bearbeitung"},"question":{"yes":"Ja","partially":"Teilweise","no":"Nein","notApplicable":"Nicht zutreffend","showExplanation":"Was bedeutet das?","hideExplanation":"Erklärung ausblenden","legalBasis":"Rechtsgrundlage","criticality":"Wichtigkeit","criticalityLevels":{"0":"Information","1":"Niedrig","2":"Mittel","3":"Hoch"},"respondent":{"0":"Geschäftsführung","1":"IT / Sicherheit","2":"Personal","3":"Einkauf","4":"Alle"},"suggestedRespondent":"Am besten beantwortet von"},"navigation":{"previousDay":"Vorheriger Tag","nextDay":"Nächster Tag","completeAssessment":"Analyse abschließen","backToOverview":"Zurück zur Übersicht"},"results":{"heading":"Ergebnisse der Analyse","overallScore":"Gesamtergebnis","domainScores":"Ergebnisse pro Bereich","maturityLevel":"Reifegrad","priorityGaps":"Prioritäre Lücken","exportPdf":"PDF exportieren","domain":"Bereich","score":"Ergebnis","maturity":"Reifegrad","answered":"Beantwortet","noGaps":"Keine Lücken identifiziert. Ausgezeichnet.","gapRank":"Priorität","gapQuestion":"Feststellung","gapDomain":"Bereich","gapConsequence":"Konsequenz","gapTimeToFix":"Aufwand","fineRisk":"Bußgeldrisiko","viewInPlatform":"In Plattform ansehen","maturityLevels":{"critical":"Kritisch","initial":"Initial","developing":"In Entwicklung","managed":"Gesteuert","optimized":"Optimiert"},"consequenceLevels":{"0":"Audit-Feststellung","1":"Operatives Risiko","2":"Bußgeld","3":"Persönliche Haftung"},"timeToFixLevels":{"0":"Sofort umsetzbar","1":"Tage","2":"Wochen","3":"Monate"},"summary":{"criticalGaps":"{count} kritische Lücken","fineExposed":"{count} mit Bußgeldrisiko","personalLiability":"{count} mit persönlicher Haftung für die Geschäftsführung","quickWins":"{count} sofort behebbar"},"startCompliance":"Lücken schließen","retakeAssessment":"Analyse wiederholen"}},"grcComparison":{"meta":{"title":"GRC / ISMS / NIS2 Preisvergleich: 136 kommerzielle Anbieter geprüft","description":"Wir haben am 17. Mai 2026 die Preisseiten von 136 kommerziellen GRC-, ISMS- und NIS2-Plattformen besucht. 103 davon verlangen einen Demo-Termin, um den Preis überhaupt zu erfahren. Hier ist die ganze Liste, sortiert und filterbar. Neun Open-Source-Alternativen sind bewusst ausgenommen."},"hero":{"eyebrow":"Markt-Audit · 17. Mai 2026","title":"Wir haben 136 kommerzielle GRC/ISMS-Plattformen geprüft. 103 sagen dir nicht, was sie kosten.","subtitle":"Wir haben die Preisseite jedes Anbieters wörtlich erfasst. Wo Preise hinter einem Demo-Formular versteckt sind, steht 'Demo-Termin erforderlich'. Keine Schätzungen, keine Drittquellen. Neun Open-Source-Alternativen (verinice, CISO Assistant, Deming, ISMS Builder, Unicis CE, wir selbst und weitere) sind nicht in dieser Liste, weil sie dir kein Abo verkaufen.","ctaPlatform":"Kostenlos starten","ctaMethodology":"Methodik"},"stats":{"totalLabel":"Anbieter geprüft","transparentLabel":"Preise öffentlich","partialLabel":"Nur Einstiegspreis","gatedLabel":"Demo-Call nötig","nis2Label":"NIS2 als Framework","ossLabel":"Open Source","countriesLabel":"Länder","lastUpdatedPrefix":"Stand:"},"thesis":{"title":"Warum dieser Markt reif für Disruption ist","body":"76 % dieser 136 kommerziellen GRC/ISMS-Anbieter verstecken ihre Preise. Die Produkte sind im Kern Formulare, Vorlagen und Checklisten, auf eine Datenbank gesetzt. Die Grenzkosten für einen weiteren Kunden gehen gegen null. Die Preise nicht. Hier sind die Beweise.","points":[{"title":"Verträge mit 5-stelligen Jahresgebühren für ein Formular","body":"Vanta, Drata, Secureframe, OneTrust, MetricStream, IBM OpenPages, ServiceNow GRC, Archer, Diligent — alle Enterprise GRC-Suites verstecken die Preise und kassieren €30.000+/Jahr für ein Workflow-Tool mit Templates."},{"title":"Eastern-EU-Anbieter sind 10x günstiger und transparent","body":"Copla (LT) verkauft NIS2 für €3.500/Jahr als eigene SKU. NIS2 Manager (CZ) für ~€980/Monat. Conformio (HR) für €145/Monat. Gleiche Produktklasse, bessere Preisgestaltung."},{"title":"OSS-Konkurrenz wächst aus Deutschland und Frankreich","body":"ISMS Builder (DE, AGPL), CISO Assistant (FR, AGPLv3, 130+ Frameworks), Little-ISMS-Helper (DACH), Deming (FR) — alle kostenlos selbst-hostbar, alle NIS2-explizit."},{"title":"Marktkonsolidierung beschleunigt","body":"AuditBoard → Optro. CONTECHNET → i-doit. DocSetMinder → Allgeier. 3rdRisk → Diligent. RISMA + Wired Relations + ComplyCloud → Cerivo. StandardFusion → Wolters Kluwer. Galvanize → Diligent. Tugboat → OneTrust. Archer → Cinven."}]},"filters":{"searchPlaceholder":"Anbieter suchen…","tierLabel":"Preismodell","tierAll":"Alle","tierTransparent":"Transparent","tierPartial":"Teil-transparent","tierGated":"Demo-Call nötig","tierUnverifiable":"Nicht überprüfbar","countryLabel":"Land","countryAll":"Alle Länder","categoryLabel":"Kategorie","categoryAll":"Alle Kategorien","categoryIsms":"ISMS","categoryGrc":"GRC","categoryTprm":"Lieferantenrisiko","categoryConsultancy":"Beratung + SaaS","categoryAudit":"Audit","categoryRatings":"Cyber-Ratings","categoryTemplate":"Vorlagen-Shop","categoryAiGrc":"KI-GRC","categoryEndpoint":"Endpoint","categoryVuln":"Schwachstellen","categoryCspm":"Cloud-Security","categoryIam":"IAM/Insider","categoryTraining":"Awareness","categoryAsset":"Asset Mgmt","categoryReporting":"Reporting","categoryComms":"Secure Comms","nis2OnlyLabel":"Nur NIS2-Anbieter","freeTierLabel":"Mit Free-Variante","ossLabel":"Nur Open Source","resetButton":"Filter zurücksetzen"},"table":{"name":"Anbieter","country":"Land","category":"Kategorie","tier":"Preismodell","entryPrice":"Einstieg","nis2":"NIS2","freeTier":"Frei","source":"Quelle","noResults":"Keine Anbieter gefunden. Filter zurücksetzen.","tierBadgeTransparent":"Transparent","tierBadgePartial":"Teil","tierBadgeGated":"Demo-Call","tierBadgeUnverifiable":"Nicht prüfbar","nis2Yes":"Ja","nis2No":"Nein","freeTierNone":"—","freeTierTrial":"Trial","freeTierFreemium":"Free","freeTierOss":"OSS","viewVendorPricing":"Preisseite öffnen","lastVerified":"Geprüft","dataExport":"Datenexport","dataExportFullOpen":"Voll offen","dataExportPartial":"Teilweise","dataExportReportOnly":"Nur Berichte","dataExportNone":"Nichts dokumentiert","dataExportUnknown":"—"},"methodology":{"title":"Methodik","verified":"Verifiziert am","rules":["Wir haben jede Preisseite manuell besucht.","Preise wörtlich von der Anbieter-Website übernommen.","Keine Extrapolation aus G2, Capterra, Drittblogs oder LinkedIn.","Wo Preise hinter einem Demo-Formular liegen: 'Demo-Termin erforderlich'.","Wo Preise nur als 'ab €X' angegeben sind: 'Teil-transparent'.","Quartalsweise Neuprüfung. Anbieter können Korrekturen einreichen."],"correctionsTitle":"Korrektur einreichen","correctionsBody":"Sind unsere Daten zu deinem Produkt falsch? Schick uns die URL deiner Preisseite per E-Mail an simon@nisd2.eu. Wir aktualisieren innerhalb von 48 Stunden und führen einen Änderungs-Logbuch."},"cta":{"title":"Free + Open Source + kein Lock-in","body":"Wir verkaufen NIS2-Compliance nicht. Wir machen sie zugänglich. Kostenlos, Open Source, kein Vertrieb der dich anruft.","button":"Plattform starten"}},"improvements":{"title":"Verbesserungen","description":"Kontinuierliche Verbesserungsmaßnahmen aus Audits, Vorfällen und Reviews. Unterstützt den PDCA-Zyklus gemäß NIS2.","helpText":"Verfolgen Sie Verbesserungsmaßnahmen aus Audits, Nachbetrachtungen von Vorfällen, Management-Reviews und KPI-Trends. Jeder Eintrag hat Quelle, Priorität, Verantwortlichen und Zieldatum. Dieses Register belegt das Engagement Ihrer Organisation für kontinuierliche Verbesserung.","add":"Verbesserung hinzufügen","edit":"Verbesserung bearbeiten","empty":"Noch keine Verbesserungsmaßnahmen. Fügen Sie Elemente aus Audits, Vorfällen oder Reviews hinzu.","deleteConfirm":"Sind Sie sicher, dass Sie diese Verbesserungsmaßnahme löschen möchten?","actions":"Aktionen","source":{"audit":"Audit","incident":"Vorfall","pentest":"Pentest","management_review":"Management-Review","kpi_breach":"KPI-Verletzung","gap_analysis":"Gap-Analyse","regulatory_change":"Regulatorische Änderung","suggestion":"Vorschlag"},"status":{"open":"Offen","in_progress":"In Bearbeitung","resolved":"Gelöst","verified":"Verifiziert","deferred":"Zurückgestellt"},"priority":{"P0":"P0 - Sofort","P1":"P1 - 3 Monate","P2":"P2 - 6 Monate","P3":"P3 - 12 Monate"},"fields":{"title":"Titel","description":"Beschreibung","source":"Quelle","priority":"Priorität","status":"Status","targetDate":"Zieldatum","deferralReason":"Zurückstellungsgrund","verificationNotes":"Verifizierungshinweise"},"fieldDescriptions":{"title":"Geben Sie eine prägnante Bezeichnung für die Verbesserungsmaßnahme an.","description":"Beschreiben Sie die Verbesserungsmaßnahme im Detail: Was soll verbessert werden und welches Ziel wird verfolgt?","source":"Wählen Sie die Quelle, aus der diese Verbesserungsmaßnahme abgeleitet wurde (z. B. Audit, Vorfall, Management-Review).","priority":"Wählen Sie die Dringlichkeit: P0 (sofort), P1 (3 Monate), P2 (6 Monate) oder P3 (12 Monate).","status":"Wählen Sie den aktuellen Bearbeitungsstatus der Maßnahme.","targetDate":"Datum, bis zu dem die Verbesserungsmaßnahme abgeschlossen sein soll.","deferralReason":"Falls die Maßnahme zurückgestellt wird, dokumentieren Sie hier die Begründung und die geplante Wiederaufnahme.","verificationNotes":"Dokumentieren Sie, wie die erfolgreiche Umsetzung der Maßnahme überprüft und bestätigt wurde."}},"incidents":{"title":"Vorfallregister","description":"Sicherheitsvorfallprotokoll mit Schweregradklassifizierung und Zeiterfassung. Erforderlich nach NIS2 Art. 23.","helpText":"Protokollieren Sie jeden Sicherheitsvorfall bei Auftreten. NIS2 verlangt eine Frühwarnung an das BSI innerhalb von 24 Stunden und eine vollständige Meldung innerhalb von 72 Stunden bei erheblichen Vorfällen. Erfassen Sie Schweregrad, betroffene Systeme, Zeitverlauf und Behebungsschritte.","add":"Vorfall melden","edit":"Vorfall bearbeiten","empty":"Keine Vorfälle erfasst. Melden Sie einen Vorfall, wenn einer auftritt.","deleteConfirm":"Sind Sie sicher, dass Sie diesen Vorfall löschen möchten?","actions":"Aktionen","severity":{"near_miss":"Beinahevorfall","incident":"Vorfall","significant":"Erheblich"},"fields":{"title":"Titel","description":"Beschreibung","severity":"Schweregrad","situationColor":"Situationsfarbe","discoveredAt":"Entdeckt am","occurredAt":"Aufgetreten am","resolvedAt":"Gelöst am","confidentialityImpacted":"Vertraulichkeit betroffen","integrityImpacted":"Integrität betroffen","availabilityImpacted":"Verfügbarkeit betroffen","threatType":"Bedrohungstyp","rootCause":"Ursache","countermeasures":"Gegenmaßnahmen","preventiveMeasures":"Präventivmaßnahmen","requiresGdprNotification":"DSGVO-Meldung erforderlich","dataSubjectsAffected":"Betroffene Personen","gdprNotifiedAt":"Aufsichtsbehörde benachrichtigt am","notifiedDataSubjectsAt":"Betroffene Personen informiert am"},"bsiDeadlines":{"title":"BSI-Meldefristen","overdue":"Überfällig","dueIn":"Fällig in {days}d","dueToday":"Heute fällig","reportType":{"early_warning":"24h Frühwarnung","notification":"72h Meldung","intermediate":"Zwischenmeldung","final":"Abschlussbericht","progress":"Fortschrittsbericht"}},"fieldDescriptions":{"title":"Geben Sie eine kurze, aussagekräftige Bezeichnung für den Vorfall an (z. B. 'Phishing-Angriff auf Buchhaltung').","description":"Beschreiben Sie den Vorfall im Detail: Was ist passiert, welche Systeme und Daten sind betroffen?","severity":"Wählen Sie den Schweregrad: Beinahevorfall, Vorfall oder Erheblich. Erhebliche Vorfälle unterliegen der NIS2-Meldepflicht.","situationColor":"Wählen Sie die aktuelle Eskalationsstufe zur schnellen visuellen Einordnung des Vorfalls.","discoveredAt":"Datum und Uhrzeit, zu der der Vorfall entdeckt wurde. Relevant für die 24-Stunden-Frühwarnfrist nach NIS2.","occurredAt":"Geschätzter Zeitpunkt, zu dem der Vorfall tatsächlich eingetreten ist (kann vor der Entdeckung liegen).","resolvedAt":"Datum und Uhrzeit, zu der der Vorfall vollständig behoben wurde.","confidentialityImpacted":"Geben Sie an, ob vertrauliche Daten offengelegt oder unbefugt eingesehen wurden.","integrityImpacted":"Geben Sie an, ob Daten oder Systeme unbefugt verändert oder manipuliert wurden.","availabilityImpacted":"Geben Sie an, ob die Verfügbarkeit von Systemen oder Diensten beeinträchtigt war.","threatType":"Wählen Sie den Bedrohungstyp (z. B. Ransomware, Phishing, DDoS, Insider-Bedrohung).","rootCause":"Beschreiben Sie die ermittelte Ursache des Vorfalls nach abgeschlossener Analyse.","countermeasures":"Beschreiben Sie die ergriffenen Sofortmaßnahmen zur Eindämmung und Behebung des Vorfalls.","preventiveMeasures":"Beschreiben Sie Maßnahmen, die zur Verhinderung eines erneuten Auftretens umgesetzt werden sollen.","requiresGdprNotification":"Aktivieren, wenn dieser Vorfall eine Verletzung des Schutzes personenbezogener Daten umfasst, die der Aufsichtsbehörde nach Art. 33 DSGVO innerhalb von 72 Stunden nach Kenntniserlangung gemeldet werden muss.","dataSubjectsAffected":"Ungefähre Anzahl der betroffenen Personen, deren personenbezogene Daten kompromittiert wurden (Art. 33 Abs. 3 lit. a — Pflichtinhalt der Meldung).","gdprNotifiedAt":"Datum und Uhrzeit der Meldung an die Aufsichtsbehörde.","notifiedDataSubjectsAt":"Datum und Uhrzeit der Information der betroffenen Personen (Art. 34 — Pflicht bei hohem Risiko)."}},"info":{"footer":{"nis2Info":"NIS2 Informationen","whatIsNis2":"Was ist NIS2?","nis2InGermany":"NIS2 in Deutschland","nis2Requirements":"NIS2 Anforderungen","ceoLiability":"Geschäftsführerhaftung (§38)","grundschutz":"NIS2 & IT-Grundschutz","costs":"Umsetzungskosten","smeGuide":"Leitfaden Mittelstand","checklist":"Anforderungen-Checkliste","platform":"Plattform","applicabilityCheck":"Betroffenheitsprüfung","nis2Roadmap":"NIS2-Roadmap für Geschäftsführer","signIn":"Anmelden","trainingPortal":"Schulungsportal","scheduleDemo":"Demo vereinbaren","copyright":"NISD2.eu - NIS2 Compliance Plattform","disclaimer":"Diese Plattform stellt allgemeine Rechtsinformation auf Basis öffentlich zugänglicher Quellen (NIS-2-Richtlinie, BSIG, BSI-Veröffentlichungen) bereit. Keine Rechtsberatung, keine Einzelfallprüfung im Sinne des § 2 RDG. Für konkrete Einzelfälle wenden Sie sich an eine zugelassene Rechtsanwältin oder einen Rechtsanwalt. Die gesamte Compliance-Verantwortung verbleibt beim Nutzer.","features":"Funktionen","nis2Tool":"NIS2 Tool: Buyer's Guide","nis2Documents":"NIS 2 Dokumente (Pflicht-Liste)","featureGuided":"Schritt für Schritt geführt","featureLiability":"Geschäftsführerhaftung absichern","featureRequirements":"49 strukturierte BSIG-Anforderungen","featureDeadlines":"Fristenüberwachung & Eskalation","featureModules":"12 operative Sicherheitsmodule","featureAuditTrail":"Permanenter Audit-Trail & Daten","legal":"Rechtliches","mission":"Unsere Mission","team":"Team","corrections":"Korrekturen","terms":"Nutzungsbedingungen","impressum":"Impressum","datenschutz":"Datenschutzerklärung","avv":"Auftragsverarbeitung (AVV)","toms":"TOMs (Art. 32 DSGVO)","changelog":"Aktuelles","openSource":"Open Source","status":"Status","contact":"Kontakt","hostedInGermany":"Hosting in Deutschland","gdprCompliant":"DSGVO-konform","avvBadge":"AVV verfügbar","tomsBadge":"TOMs veröffentlicht","expertArticles":"Fachartikel","registration":"NIS2-Registrierungslücke","cirGuide":"CIR 2024/2690 Leitfaden","isoMapping":"ISO 27001 vs NIS2","incidentReporting":"Meldepflicht","euImplementation":"NIS2 in Europa","multiCountryReg":"NIS2 in mehreren EU-Ländern","missedRegistration":"Registrierung verpasst?","kritisComparison":"NIS2 vs KRITIS","penalties":"Bußgelder & Strafen","sectorWaste":"Abfallwirtschaft","glossary":"NIS2-Glossar","securityObligation":"IT-Sicherheitspflicht","bsiRegistration":"BSI-Registrierung Anleitung","whatToDo":"NIS2 - Was tun?","sectorFood":"NIS2 Lebensmittel","sectorManufacturing":"NIS2 Produzierendes Gewerbe","sectorHealth":"NIS2 Gesundheitswesen","sectorLogistics":"NIS2 Logistik","europeanStandard":"NIS2 Europäischer Standard","entityTypes":"NIS2 Einrichtungsarten","gapAssessment":"NIS2 Gap-Analyse","faq":"NIS2 FAQ","timeline":"NIS2-Zeitleiste","registrationPortals":"Registrierungsportale","supplyChainCompliance":"NIS2 für Zulieferer"},"relatedArticles":{"heading":"Verwandte Artikel"},"impressum":{"meta":{"title":"Impressum - Kardashev Catalyst UG","description":"Impressum der Kardashev Catalyst UG (haftungsbeschränkt) - Betreiber von NISD2.eu. Angaben gemäß § 5 DDG und Kontaktdaten."},"title":"Impressum","subtitle":"Angaben gemäß § 5 DDG (Digitale-Dienste-Gesetz).","responsible":{"heading":"Angaben gemäß § 5 DDG","company":"Kardashev Catalyst UG (haftungsbeschränkt)","represented":"Vertreten durch: Simon Orzel (Geschäftsführer)","registration":"Amtsgericht Köln, HRB 126993","euid":"EUID: DER3306.HRB126993","address":"Trierer Str. 6, 50676 Köln, Deutschland","emailLabel":"E-Mail","email":"contact@nisd2.eu"},"mstv":{"heading":"Verantwortlich für den Inhalt nach § 18 Abs. 2 MStV","name":"Simon Orzel","address":"Trierer Str. 6, 50676 Köln, Deutschland"},"dispute":{"heading":"EU-Streitschlichtung","p1":"Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit:","url":"https://ec.europa.eu/consumers/odr/","p2":"Wir sind nicht bereit oder verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen."},"liability":{"heading":"Haftung für Inhalte","p1":"Als Diensteanbieter sind wir gemäß § 7 Abs. 1 DDG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 DDG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen.","p2":"Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden wir diese Inhalte umgehend entfernen."},"links":{"heading":"Haftung für Links","p1":"Unser Angebot enthält Links zu externen Websites Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich.","p2":"Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen."},"copyright":{"heading":"Urheberrecht","p1":"Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers.","p2":"Soweit die Inhalte auf dieser Seite nicht vom Betreiber erstellt wurden, werden die Urheberrechte Dritter beachtet. Insbesondere werden Inhalte Dritter als solche gekennzeichnet. Sollten Sie trotzdem auf eine Urheberrechtsverletzung aufmerksam werden, bitten wir um einen entsprechenden Hinweis. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Inhalte umgehend entfernen."}},"datenschutz":{"meta":{"title":"Datenschutzerklärung gemäß DSGVO","description":"Datenschutzerklärung von NISD2.eu gemäß DSGVO. Informationen zur Datenverarbeitung, Ihren Rechten und den eingesetzten Diensten auf unserer Plattform."},"title":"Datenschutzerklärung","subtitle":"Informationen zur Datenverarbeitung gemäß der EU-Datenschutz-Grundverordnung (DSGVO).","responsible":{"heading":"Verantwortlicher","p1":"Der Verantwortliche für die Datenverarbeitung auf dieser Website ist:","company":"Kardashev Catalyst UG (haftungsbeschränkt)","represented":"Vertreten durch: Simon Orzel (Geschäftsführer)","registration":"Amtsgericht Köln, HRB 126993","address":"Trierer Str. 6, 50676 Köln, Deutschland","emailLabel":"E-Mail","email":"contact@nisd2.eu"},"dataCollected":{"heading":"Welche Daten wir erheben","p1":"Bei der Nutzung unserer Plattform verarbeiten wir folgende personenbezogene Daten:","account":"Kontodaten: Name und E-Mail-Adresse, die über Google OAuth bei der Anmeldung bereitgestellt werden","forms":"Formulareingaben: Daten, die Sie in Compliance-Anforderungsformulare eingeben","files":"Hochgeladene Dateien: Nachweisdokumente, die Sie auf die Plattform hochladen","technical":"Technische Daten: IP-Adresse, Browsertyp und Zugriffszeitstempel in Server-Logs"},"purpose":{"heading":"Zweck und Rechtsgrundlage","p1":"Wir verarbeiten Ihre Daten zu folgenden Zwecken:","items":{"contract":"Bereitstellung der NIS2-Compliance-Plattform (Art. 6 Abs. 1 lit. b DSGVO - Vertragserfüllung)","auth":"Benutzerauthentifizierung und Kontoverwaltung (Art. 6 Abs. 1 lit. b DSGVO)","security":"Gewährleistung der Sicherheit und Integrität unserer Plattform (Art. 6 Abs. 1 lit. f DSGVO - berechtigtes Interesse)","legal":"Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)"}},"processors":{"heading":"Auftragsverarbeiter","p1":"Wir nutzen folgende Drittanbieter zum Betrieb der Plattform:","google":"Google (OAuth): Authentifizierung - verarbeitet Ihren Namen und Ihre E-Mail-Adresse für die Anmeldung","aws":"Amazon Web Services (S3): Dateispeicherung - speichert von Ihnen hochgeladene Nachweisdokumente","resend":"Resend: Transaktions-E-Mail - versendet Benachrichtigungs- und Einladungs-E-Mails","xai":"xAI: KI-gestützte Formularvorausfüllung - verarbeitet Unternehmensinformationen zur Generierung von Formularentwürfen"},"analytics":{"heading":"Analyse","p1":"Wir verwenden Umami für Website-Analysen. Umami ist selbst gehostet auf unserer eigenen Infrastruktur. Es werden keine personenbezogenen Daten erhoben, keine Cookies gesetzt und keine einzelnen Nutzer verfolgt. Alle Daten sind aggregiert und anonym. Für diese Art der Analyse ist keine Einwilligung erforderlich."},"cookies":{"heading":"Cookies","p1":"Diese Website verwendet ausschließlich technisch notwendige Cookies:","session":"Session-Cookie (NextAuth): für die Authentifizierung erforderlich - läuft bei Abmeldung oder nach dem Session-Timeout ab","locale":"Sprach-Cookie (next-intl): speichert Ihre Spracheinstellung (EN/DE)","p2":"Wir verwenden keine Tracking-Cookies, Werbe-Cookies oder Drittanbieter-Cookies. Ein Cookie-Consent-Banner ist nicht erforderlich, da ausschließlich technisch notwendige Cookies gesetzt werden."},"rights":{"heading":"Ihre Rechte (Art. 15-21 DSGVO)","p1":"Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:","access":"Auskunftsrecht (Art. 15): Auskunft über die bei uns gespeicherten Daten verlangen","rectification":"Recht auf Berichtigung (Art. 16): unrichtige Daten korrigieren lassen","erasure":"Recht auf Löschung (Art. 17): Löschung Ihrer Daten verlangen","restriction":"Recht auf Einschränkung (Art. 18): Verarbeitung Ihrer Daten einschränken","portability":"Recht auf Datenübertragbarkeit (Art. 20): Ihre Daten in maschinenlesbarem Format erhalten","objection":"Widerspruchsrecht (Art. 21): Verarbeitung auf Basis berechtigter Interessen widersprechen","p2":"Zur Ausübung dieser Rechte kontaktieren Sie uns unter contact@nisd2.eu."},"authority":{"heading":"Beschwerderecht","p1":"Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Die zuständige Behörde für Köln ist:","name":"Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)","url":"https://www.ldi.nrw.de"},"encryption":{"heading":"SSL/TLS-Verschlüsselung","p1":"Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung personenbezogener Daten und anderer vertraulicher Inhalte eine SSL/TLS-Verschlüsselung. Sie erkennen eine verschlüsselte Verbindung am Präfix „https://“ und dem Schloss-Symbol in der Adresszeile Ihres Browsers."},"retention":{"heading":"Datenspeicherung","p1":"Ihre Daten werden gespeichert, solange Ihr Konto aktiv ist und für die oben beschriebenen Zwecke erforderlich ist. Compliance-Daten (Formulareingaben, Nachweise, Audit-Trail) werden für den gesetzlich vorgeschriebenen Zeitraum aufbewahrt. Bei Löschung Ihres Kontos werden personenbezogene Daten entfernt. Anonymisierte Audit-Trail-Einträge können erhalten bleiben."},"changes":{"heading":"Änderungen dieser Erklärung","p1":"Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Die aktuelle Version ist immer auf dieser Seite verfügbar. Letztes Update: Februar 2025."}},"avv":{"meta":{"title":"Auftragsverarbeitungsvertrag (AVV) - Art. 28 DSGVO","description":"Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO für Kunden der NISD2.eu-Plattform. Wird auf Anfrage individuell unterzeichnet."},"title":"Auftragsverarbeitungsvertrag (AVV)","subtitle":"Vertrag gemäß Art. 28 DSGVO für Kunden der NISD2.eu-Plattform.","intro":{"heading":"Worum geht es","p1":"Wenn Sie die NISD2.eu-Plattform nutzen, verarbeiten wir personenbezogene Daten in Ihrem Auftrag (z. B. Namen Ihrer Mitarbeitenden in Compliance-Formularen, hochgeladene Nachweise). Art. 28 DSGVO verlangt dafür einen schriftlichen Auftragsverarbeitungsvertrag (AVV) zwischen Ihnen als Verantwortlichem und uns als Auftragsverarbeiter.","p2":"Auf Anfrage stellen wir einen AVV bereit und unterzeichnen ihn individuell für Ihre Organisation - in der Regel innerhalb eines Werktags."},"scope":{"heading":"Inhalt des AVV","p1":"Der von uns bereitgestellte AVV entspricht den Anforderungen von Art. 28 DSGVO und enthält:","items":{"subject":"Gegenstand und Dauer der Verarbeitung","purpose":"Art und Zweck der Verarbeitung, Art der Daten, Kategorien betroffener Personen","instructions":"Weisungsgebundenheit des Auftragsverarbeiters","confidentiality":"Vertraulichkeitsverpflichtung der Mitarbeitenden","toms":"Technische und organisatorische Maßnahmen (Art. 32 DSGVO) - siehe TOMs-Dokument","subprocessors":"Liste der Unterauftragsverarbeiter und Genehmigungsverfahren","rights":"Unterstützung bei Betroffenenrechten (Art. 15-22 DSGVO)","audit":"Kontrollrechte des Verantwortlichen","deletion":"Löschung oder Rückgabe der Daten nach Vertragsende","liability":"Haftung und Mitwirkungspflichten"}},"request":{"heading":"AVV anfordern","p1":"Senden Sie uns eine E-Mail an contact@nisd2.eu mit folgenden Angaben:","items":{"company":"Vollständiger Firmenname und Anschrift","register":"Handelsregister-Nummer (falls vorhanden)","represented":"Vertretungsberechtigte Person","contact":"Ansprechperson für Datenschutzthemen"},"p2":"Wir senden Ihnen den unterzeichneten AVV in der Regel innerhalb eines Werktags per E-Mail zurück. Eine händische Unterschrift per Post ist auf Wunsch ebenfalls möglich.","emailLabel":"AVV per E-Mail anfordern","emailHref":"mailto:contact@nisd2.eu?subject=AVV-Anfrage%20NISD2.eu"},"subprocessors":{"heading":"Unterauftragsverarbeiter","p1":"Folgende Unterauftragsverarbeiter werden für den Betrieb der Plattform eingesetzt:","items":{"hetzner":"Hetzner Online GmbH (Falkenstein/Nürnberg, Deutschland) - Hosting der Anwendungsserver und Datenbank","aws":"Amazon Web Services EMEA SARL - Speicherung hochgeladener Nachweisdokumente (S3, EU-Region)","google":"Google Ireland Limited - OAuth-Authentifizierung","resend":"Resend, Inc. (USA) - Versand von Transaktions-E-Mails","xai":"xAI Corp. (USA) - KI-gestützte Formularvorausfüllung (optional, kann deaktiviert werden)"},"p2":"Änderungen am Bestand der Unterauftragsverarbeiter werden mit Vorlauf angekündigt. Sie haben das Recht, einer Änderung zu widersprechen."},"toms":{"heading":"Technische und organisatorische Maßnahmen","p1":"Die für diesen AVV maßgeblichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO sind in unserem TOMs-Dokument beschrieben.","linkLabel":"TOMs-Dokument anzeigen","linkHref":"/toms"}},"toms":{"meta":{"title":"Technische und organisatorische Maßnahmen (TOMs) - Art. 32 DSGVO","description":"Technische und organisatorische Maßnahmen der NISD2.eu-Plattform gemäß Art. 32 DSGVO. Hosting bei Hetzner Deutschland, TLS, Audit-Trail mit SHA-256-Prüfsummen, Mandantentrennung, RBAC."},"title":"Technische und organisatorische Maßnahmen (TOMs)","subtitle":"Maßnahmen gemäß Art. 32 DSGVO zur Sicherheit der Verarbeitung personenbezogener Daten auf der NISD2.eu-Plattform.","lastUpdated":"Stand: April 2026.","intro":{"heading":"Überblick","p1":"Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen, die die Kardashev Catalyst UG (haftungsbeschränkt) als Betreiber der NISD2.eu-Plattform tatsächlich umsetzt. Es ist eine ehrliche Bestandsaufnahme, keine Wunschliste - wir nennen nur, was bereits implementiert ist.","p2":"Die Maßnahmen orientieren sich an IT-Grundschutz (BSI) und werden mit dem Wachstum der Plattform erweitert."},"hosting":{"heading":"Hosting in der EU","p1":"Die produktive Verarbeitung personenbezogener Daten findet ausschließlich in der EU statt:","items":{"appServers":"Anwendungsserver und PostgreSQL-Datenbank: Hetzner Online GmbH, Rechenzentrum Falkenstein/Nürnberg, Deutschland","fileStorage":"Speicherung hochgeladener Nachweisdokumente: AWS S3, EU-Region","noUSTransfer":"Keine produktive Datenverarbeitung außerhalb der EU. US-Subdienste (Resend für Transaktions-E-Mails, xAI für optionale KI-Vorausfüllung) verarbeiten nur die für ihre Funktion notwendigen Daten."}},"pseudonymization":{"heading":"Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)","items":{"transit":"Transportverschlüsselung: TLS für sämtliche Verbindungen zur Plattform (HTTPS)","rest":"Verschlüsselung im Ruhezustand: AWS S3 Server-Side Encryption (AES256, explizit bei jedem Upload via PutObject gesetzt); PostgreSQL-Daten auf der Hetzner-Infrastruktur","secrets":"Zugangsdaten und API-Schlüssel werden über Server-Umgebungsvariablen verwaltet, nicht im Quellcode oder in Datenbanken gespeichert"}},"confidentiality":{"heading":"Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)","p1":"Maßnahmen zur Sicherstellung der Vertraulichkeit:","items":{"physical":"Zutrittskontrolle: Rechenzentren der eingesetzten Hoster (Hetzner, AWS) verfügen über ISO 27001-Zertifizierungen","auth":"Authentifizierung: ausschließlich über Google OAuth 2.0; keine Speicherung von Passwörtern auf der Plattform. MFA für Nutzer wird über deren Google-Konto bereitgestellt","rbac":"Rollenbasierte Berechtigungen: Admin, Reviewer, Member; Trennung in der Anwendungsschicht über tRPC-Middleware","separation":"Mandantentrennung: jede datentragende Abfrage filtert auf der Datenbankebene über die Company-ID des angemeldeten Nutzers; keine gemeinsamen Datenpools zwischen Kunden","secrets":"Keine Klartext-Passwörter auf der Plattform - Authentifizierung erfolgt ausschließlich über OAuth"}},"integrity":{"heading":"Integrität (Art. 32 Abs. 1 lit. b DSGVO)","items":{"input":"Eingabekontrolle: Audit-Trail aller Mutationen mit Benutzer-ID, Aktion, Entitätstyp, Zeitstempel, IP-Adresse, User-Agent sowie Vorher-/Nachher-Werten","checksum":"Manipulationserkennung im Audit-Trail: jede Audit-Zeile trägt eine SHA-256-Prüfsumme über ihren Inhalt, sodass nachträgliche Änderungen einer Zeile erkennbar sind","transfer":"Weitergabekontrolle: Datenübertragung ausschließlich über TLS; alle authentifizierten Endpunkte erfordern eine gültige Session","evidenceHash":"Nachweisdokumente: Speicherort und Metadaten werden bei Upload festgeschrieben; ein Datei-Hash kann optional vom Client mitgesendet und gespeichert werden","signoff":"Sign-Off-Mechanismus: zum Zeitpunkt einer Freigabe wird der Zustand der Anforderung in eine Sign-Off-Historie geschrieben, deren Einträge eine SHA-256-Kette bilden (jede Zeile schließt die Prüfsumme der Vorgängerzeile ein) - Manipulationen am Verlauf werden Ende-zu-Ende erkannt"}},"availability":{"heading":"Verfügbarkeit (Art. 32 Abs. 1 lit. b DSGVO)","items":{"backup":"Datenbank-Backups gemäß den Voreinstellungen des Hetzner-Cloud-Dienstes; auf Anfrage stellen wir Details zur aktuellen Backup-Konfiguration bereit","redundancy":"Speicherung von Nachweisdokumenten in AWS S3 mit der von AWS bereitgestellten Objekt-Haltbarkeit","rateLimit":"Rate-Limiting auf Login-Versuchen, öffentlichen Endpunkten (Anwendbarkeitsprüfung, Lieferantenportal) sowie ressourcenintensiven authentifizierten Endpunkten (PDF-Exports, Zertifikat-Generierung)","uploadLimit":"Hochgeladene Dateien sind auf 50 MB pro Datei begrenzt"}},"evaluation":{"heading":"Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)","items":{"review":"Diese TOMs werden anlassbezogen sowie mindestens jährlich überprüft und aktualisiert","patch":"Aktualisierung von Abhängigkeiten und sicherheitsrelevanten Bibliotheken: Dependabot ist aktiviert und stellt Sicherheits-Patches sowie Versions-Updates wöchentlich als Pull-Requests bereit","incident":"Meldepflichten: Datenschutzverletzungen werden gemäß Art. 33 DSGVO innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet","code":"Entwicklungspraxis: Codeänderungen laufen über Pull-Requests; TypeScript strict-mode wird durchgesetzt; automatisierte Tests bestehen für sicherheitskritische Logik (z. B. Anwendbarkeits-Klassifizierung)"}},"subprocessors":{"heading":"Auftragskontrolle (Unterauftragsverarbeiter)","p1":"Alle Unterauftragsverarbeiter sind durch Verträge gemäß Art. 28 DSGVO verpflichtet. Die vollständige Liste finden Sie im AVV-Dokument.","linkLabel":"Zur Liste der Unterauftragsverarbeiter (AVV)","linkHref":"/avv"},"contact":{"heading":"Kontakt für Datenschutzanfragen","p1":"Anfragen zu diesen TOMs oder zur Datenverarbeitung richten Sie bitte an:","email":"contact@nisd2.eu"}},"terms":{"meta":{"title":"Nutzungsbedingungen der Plattform","description":"Nutzungsbedingungen der NIS2-Compliance-Plattform NISD2.eu. Informationen zu Nutzungsumfang, Haftungsbeschränkung und Datenschutzrichtlinien."},"title":"Nutzungsbedingungen","subtitle":"Bitte lesen Sie diese Bedingungen sorgfältig, bevor Sie die Plattform NISD2.eu nutzen.","lastUpdated":"Letztes Update: Februar 2026.","scope":{"heading":"1. Leistungsumfang","p1":"NISD2.eu (\"Plattform\") ist ein Compliance-Management-Tool, betrieben von Simon Orzel (\"Anbieter\"). Die Plattform stellt strukturierte Workflows, Formulare, Dokumentenmanagement und Tracking-Funktionen zur Verfügung, um Organisationen bei der Verwaltung ihrer NIS2/BSIG-Compliance-Pflichten zu unterstützen.","p2":"Die Plattform dient ausschließlich der Unterstützung des Kunden in Bereichen, die in dessen alleiniger Verantwortung liegen. Der Anbieter übernimmt keine Verantwortung für ein bestimmtes Compliance-Ergebnis oder einen bestimmten Erfolg."},"noLegalAdvice":{"heading":"2. Keine Rechtsberatung","p1":"Die Plattform stellt keine Rechtsberatung, keine Einzelfallprüfung in konkreter fremder Angelegenheit im Sinne des § 2 RDG, keine anwaltliche Beratung und keine sonstige Rechtsdienstleistung dar. Inhalte der Plattform - einschließlich Anforderungsbeschreibungen, Hinweistexte, Formularfelder und Informationsseiten - sind allgemeine Rechtsinformation auf Basis öffentlich zugänglicher Quellen (NIS-2-Richtlinie, BSIG, BSI-Veröffentlichungen, ENISA-Guidance).","p2":"Die Plattform ersetzt keine qualifizierte rechtliche, regulatorische oder fachliche Beratung. Nutzer sollten für auf ihre Situation zugeschnittene Beratung qualifizierte Fachleute hinzuziehen.","p3":"Zwischen dem Anbieter und den Nutzern der Plattform wird kein Mandatsverhältnis oder professionelles Beratungsverhältnis begründet."},"customerResponsibility":{"heading":"3. Verantwortung des Kunden","p1":"Der Kunde ist allein verantwortlich für:","items":{"accuracy":"Die Richtigkeit, Vollständigkeit und Wahrhaftigkeit aller in die Plattform eingegebenen Daten","applicability":"Die Feststellung, ob bestimmte Anforderungen, Maßnahmen oder Pflichten auf seine Organisation zutreffen","compliance":"Die Erreichung und Aufrechterhaltung der Compliance mit NIS2, BSIG und allen anderen anwendbaren Gesetzen und Vorschriften","decisions":"Alle Compliance-Entscheidungen, die auf Grundlage oder im Zusammenhang mit der Nutzung der Plattform getroffen werden","review":"Die Überprüfung der Compliance-Dokumentation durch qualifizierte Fachleute, soweit angemessen"},"p2":"Die Plattform prüft die Vollständigkeit von Formulareingaben, nicht die Richtigkeit oder rechtliche Hinlänglichkeit der vom Kunden bereitgestellten Inhalte."},"noGuarantee":{"heading":"4. Keine Garantie für Compliance-Ergebnisse","p1":"Der Anbieter garantiert oder gewährleistet nicht, dass:","items":{"audit":"Die Nutzung der Plattform zum Bestehen von Audits, Prüfungen oder behördlichen Überprüfungen führt","compliant":"Die durch die Plattform bereitgestellten Informationen oder Workflows vollständig, korrekt oder für die spezifischen Compliance-Anforderungen einer Organisation geeignet sind","penalty":"Die Nutzung der Plattform Bußgelder, Sanktionen oder Durchsetzungsmaßnahmen durch Aufsichtsbehörden verhindert","requirements":"Die Plattform alle Anforderungen abdeckt, die auf eine bestimmte Organisation zutreffen können"},"p2":"Der Anbieter übernimmt keinerlei Garantien, auch nicht hinsichtlich bestimmter Eigenschaften oder Beschaffenheiten des Dienstes. Die von der Plattform bereitgestellten Ergebnisse basieren auf Kundeneingaben, Annahmen und individuellen Umständen."},"liability":{"heading":"5. Haftungsbeschränkung","p1":"Die Haftung des Anbieters beschränkt sich auf Fälle von Vorsatz und grober Fahrlässigkeit. Bei leichter Fahrlässigkeit bei Verletzung wesentlicher Vertragspflichten ist die Haftung auf vorhersehbare, vertragstypische Schäden begrenzt, maximal in Höhe der vom Kunden in den letzten zwölf (12) Monaten vor dem schadensauslösenden Ereignis gezahlten Vergütung.","p2":"Der Anbieter haftet nicht für mittelbare Schäden, Folgeschäden, entgangenen Gewinn, Datenverluste, entgangene Einsparungen, dem Kunden auferlegte Bußgelder oder Betriebsunterbrechungen, soweit dies nach geltendem Recht zulässig ist.","p3":"Die vorstehenden Beschränkungen gelten nicht für die Haftung für Personenschäden oder die Haftung nach dem Produkthaftungsgesetz."},"indemnification":{"heading":"6. Freistellung","p1":"Der Kunde stellt den Anbieter von sämtlichen Ansprüchen Dritter, Schäden, Verlusten oder Aufwendungen frei, die entstehen aus:","items":{"misuse":"Der Nutzung der Plattform durch den Kunden unter Verstoß gegen diese Bedingungen","data":"Unrichtigen, unvollständigen oder irreführenden Daten, die vom Kunden bereitgestellt wurden","claims":"Ansprüchen im Zusammenhang mit dem Compliance-Status oder den regulatorischen Pflichten des Kunden"}},"ip":{"heading":"7. Geistiges Eigentum und Daten","p1":"Alle Inhalte der Plattform, einschließlich Software, Anforderungsstrukturen, Formulargestaltungen, Hinweistexte und Workflows, sind geistiges Eigentum des Anbieters.","p2":"Alle vom Kunden in die Plattform eingegebenen Daten verbleiben im Eigentum des Kunden. Der Anbieter verarbeitet Kundendaten ausschließlich zum Zweck der Diensterbringung, gemäß der Datenschutzerklärung."},"availability":{"heading":"8. Verfügbarkeit","p1":"Der Anbieter bemüht sich um die Verfügbarkeit der Plattform, garantiert jedoch keinen unterbrechungsfreien oder fehlerfreien Betrieb. Geplante Wartungsarbeiten und unvorhergesehene Ausfälle können auftreten. Der Anbieter haftet nicht für Schäden aus Dienstunterbrechungen."},"changes":{"heading":"9. Änderungen dieser Bedingungen","p1":"Der Anbieter kann diese Bedingungen von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden registrierten Nutzern mitgeteilt. Die fortgesetzte Nutzung der Plattform nach Inkrafttreten von Änderungen gilt als Zustimmung zu den aktualisierten Bedingungen."},"governing":{"heading":"10. Anwendbares Recht und Gerichtsstand","p1":"Diese Bedingungen unterliegen dem Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesen Bedingungen ist Köln, soweit gesetzlich zulässig."},"severability":{"heading":"11. Salvatorische Klausel","p1":"Sollte eine Bestimmung dieser Bedingungen unwirksam oder undurchführbar sein, bleiben die übrigen Bestimmungen in vollem Umfang wirksam. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Bestimmung, die dem wirtschaftlichen Zweck der ursprünglichen Bestimmung am nächsten kommt."},"contact":{"heading":"12. Kontakt","p1":"Bei Fragen zu diesen Bedingungen kontaktieren Sie bitte:","name":"Simon Orzel","address":"Trierer Str. 6, 50676 Köln, Deutschland","emailLabel":"E-Mail","email":"contact@nisd2.eu"}},"whatIsNis2":{"meta":{"title":"Was ist NIS2? - EU-Richtlinie 2022/2555 erklärt","description":"EU-NIS2-Richtlinie erklärt: Zeitplan, betroffene Sektoren, Schwellenwerte und Pflichten für wesentliche und wichtige Einrichtungen."},"title":"Was ist NIS2?","subtitle":"EU-Richtlinie 2022/2555 zur Cybersicherheit - die bedeutendste Überarbeitung der EU-weiten Cybersicherheitsregulierung seit 2016.","overview":{"heading":"Überblick","p1":"Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist der aktualisierte Rahmen der Europäischen Union zur Erreichung eines hohen gemeinsamen Cybersicherheitsniveaus in allen Mitgliedstaaten. Sie ersetzt die ursprüngliche NIS-Richtlinie von 2016.","p2":"NIS2 erweitert den Anwendungsbereich der EU-Cybersicherheitsregulierung dramatisch - von etwa 10.000 Einrichtungen unter NIS1 auf geschätzt 160.000 in ganz Europa. Allein in Deutschland sind rund 29.500 Unternehmen betroffen.","p3":"Die Richtlinie schreibt harmonisierte Risikomanagement-Maßnahmen, Meldepflichten bei Sicherheitsvorfällen und Anforderungen an die Lieferkettensicherheit vor. Sie führt die persönliche Haftung der Geschäftsführung ein und sieht deutlich höhere Strafen bei Verstößen vor."},"timeline":{"heading":"Wichtige Daten","items":{"published":{"date":"27. Dezember 2022","event":"NIS2-Richtlinie im EU-Amtsblatt veröffentlicht"},"inForce":{"date":"16. Januar 2023","event":"NIS2 tritt auf EU-Ebene in Kraft"},"transposition":{"date":"17. Oktober 2024","event":"Frist für die Umsetzung in nationales Recht der Mitgliedstaaten"},"registries":{"date":"17. April 2025","event":"Frist für Mitgliedstaaten zur Erstellung von Einrichtungsregistern"},"review":{"date":"17. Oktober 2027","event":"Europäische Kommission überprüft die Funktionsweise der Richtlinie"}},"seeFullTimeline":"Vollstandige NIS2-Zeitleiste ansehen"},"nis1VsNis2":{"heading":"NIS1 vs NIS2","headers":{"aspect":"Aspekt","nis1":"NIS1 (2016)","nis2":"NIS2 (2022)"},"rows":{"scope":{"aspect":"Anwendungsbereich","nis1":"~10.000 Einrichtungen in der EU","nis2":"~160.000 Einrichtungen in der EU"},"sectors":{"aspect":"Sektoren","nis1":"7 Sektoren","nis2":"18 Sektoren (11 hochkritische + 7 sonstige kritische)"},"classification":{"aspect":"Einstufung","nis1":"Betreiber wesentlicher Dienste (OES) + Anbieter digitaler Dienste","nis2":"Wesentliche + Wichtige Einrichtungen (größenbasiert)"},"penalties":{"aspect":"Sanktionen","nis1":"Von Mitgliedstaaten festgelegt, stark variierend","nis2":"Harmonisiert: bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes"},"management":{"aspect":"Geschäftsführerhaftung","nis1":"Nicht geregelt","nis2":"Persönliche Haftung der Leitungsorgane"},"reporting":{"aspect":"Meldung von Vorfällen","nis1":"Unverzüglich","nis2":"Strenge Kaskade: 24 h / 72 h / 1 Monat"},"supplyChain":{"aspect":"Lieferkette","nis1":"Nicht geregelt","nis2":"Verpflichtende Bewertung der Lieferkettensicherheit"},"supervision":{"aspect":"Aufsicht","nis1":"Den Mitgliedstaaten überlassen","nis2":"Proaktiv (wesentlich) + reaktiv (wichtig)"}}},"sectors":{"heading":"18 betroffene Sektoren","annexI":{"heading":"Anhang I - Sektoren mit hoher Kritikalität","description":"Große Unternehmen in diesen Sektoren werden als wesentliche Einrichtungen eingestuft. Mittlere Unternehmen als wichtige Einrichtungen.","items":{"energy":"Energie (Strom, Fernwärme/-kälte, Öl, Gas, Wasserstoff)","transport":"Transport und Verkehr (Luft, Schiene, Wasser, Straße)","banking":"Bankwesen","financial":"Finanzmarktinfrastrukturen","health":"Gesundheitswesen (Krankenhäuser, Pharma, Medizinprodukte, Referenzlabore)","water":"Trinkwasser","wastewater":"Abwasser","digital":"Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren, CDN, Telekommunikation)","ict":"IKT-Dienstleistungsmanagement - B2B (MSP, MSSP)","publicAdmin":"Öffentliche Verwaltung","space":"Weltraum"}},"annexII":{"heading":"Anhang II - Sonstige kritische Sektoren","description":"Einrichtungen in diesen Sektoren werden als wichtige Einrichtungen eingestuft, unabhängig davon, ob sie mittelgroß oder groß sind.","items":{"postal":"Post- und Kurierdienste","waste":"Abfallbewirtschaftung","chemicals":"Chemische Stoffe (Herstellung, Produktion, Vertrieb)","food":"Lebensmittel (Großhandel, industrielle Produktion, Verarbeitung)","manufacturing":"Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Elektrogeräte, Maschinenbau, Kraftfahrzeuge, sonstiger Transportmittelbau)","digitalProviders":"Anbieter digitaler Dienste (Online-Marktplätze, Suchmaschinen, soziale Netzwerke)","research":"Forschungseinrichtungen"}}},"sizeThresholds":{"heading":"Schwellenwerte","description":"NIS2 verwendet die KMU-Definition der EU. Die Einstufung erfolgt nach Mitarbeiterzahl ODER Finanzkennzahlen (sowohl Umsatz ALS AUCH Bilanzsumme müssen für den Finanztest überschritten werden).","headers":{"size":"Größe","employees":"Mitarbeiter","financial":"Finanzschwelle","scope":"NIS2-Anwendungsbereich"},"rows":{"large":{"size":"Groß","employees":"≥ 250","financial":"> 50 Mio. EUR Umsatz UND > 43 Mio. EUR Bilanzsumme","scope":"Im Anwendungsbereich"},"medium":{"size":"Mittel","employees":"≥ 50 (und < 250)","financial":"> 10 Mio. EUR Umsatz UND > 10 Mio. EUR Bilanzsumme","scope":"Im Anwendungsbereich"},"small":{"size":"Klein","employees":"< 50","financial":"≤ 10 Mio. EUR Umsatz UND ≤ 10 Mio. EUR Bilanzsumme","scope":"Grundsätzlich nicht betroffen"}},"note":"Bestimmte Einrichtungstypen sind unabhängig von ihrer Größe betroffen - darunter DNS-Anbieter, TLD-Register, qualifizierte Vertrauensdiensteanbieter, KRITIS-Betreiber und alleinige Erbringer wesentlicher Dienste."},"obligations":{"heading":"Zentrale Pflichten im Überblick","items":{"risk":"Umsetzung von 10 verpflichtenden Cybersicherheits-Risikomanagement-Maßnahmen","reporting":"Meldung erheblicher Vorfälle innerhalb von 24 h / 72 h / 1 Monat","management":"Geschäftsführung muss Cybersicherheit genehmigen, überwachen und geschult werden","supplyChain":"Bewertung und Management von Cybersicherheitsrisiken in der Lieferkette","registration":"Registrierung bei der zuständigen nationalen Behörde","audit":"Nachweis der Compliance (Audits für KRITIS-Betreiber alle 3 Jahre)"}}},"nis2InGermany":{"meta":{"title":"NIS2 Deutschland: BSIG, Fristen & Bußgeld","description":"NIS2 in Deutschland 2026: NIS2UmsuCG-Stand, BSI-Registrierungsfrist, Einrichtungskategorien (BWE/WE), Bußgelder bis 10 Mio. EUR, Geschäftsführerhaftung."},"title":"NIS2 in Deutschland","subtitle":"Deutschland hat die NIS2-Richtlinie durch das NIS2UmsuCG in nationales Recht umgesetzt und dabei das BSI-Gesetz (BSIG) grundlegend überarbeitet. Alle Pflichten gelten seit dem 6. Dezember 2025.","timeline":{"heading":"Deutscher Zeitplan","items":{"euPublished":{"date":"14. Dez. 2022","event":"NIS2-Richtlinie im EU-Amtsblatt veröffentlicht"},"euForce":{"date":"16. Jan. 2023","event":"NIS2 tritt auf EU-Ebene in Kraft"},"euDeadline":{"date":"17. Okt. 2024","event":"EU-Umsetzungsfrist (von Deutschland verfehlt)"},"bundestag":{"date":"13. Nov. 2025","event":"Bundestag verabschiedet NIS2UmsuCG"},"bundesrat":{"date":"21. Nov. 2025","event":"Bundesrat stimmt zu"},"published":{"date":"5. Dez. 2025","event":"Im Bundesgesetzblatt veröffentlicht"},"inForce":{"date":"6. Dez. 2025","event":"Neues BSIG tritt in Kraft - alle Pflichten gelten sofort"},"portal":{"date":"6. Jan. 2026","event":"BSI-Registrierungsportal geht online"},"registration":{"date":"6. März 2026","event":"Frist für die BSI-Registrierung"},"kritisAudit":{"date":"~2028","event":"KRITIS-Betreiber: erster Compliance-Nachweis fällig"}},"noTransition":"Es gibt keine Übergangsfrist. Risikomanagement-Maßnahmen, Meldepflichten und Geschäftsführerhaftung gelten seit dem Tag des Inkrafttretens.","seeFullTimeline":"Vollstandige NIS2-Zeitleiste ansehen"},"categories":{"heading":"Einrichtungskategorien","description":"Deutschland verwendet eine andere Terminologie als die EU-Richtlinie. Etwa 29.500 Unternehmen in Deutschland sind betroffen.","headers":{"euTerm":"EU-Begriff","germanTerm":"Deutscher Begriff","abbreviation":"Abkürzung"},"rows":{"essential":{"eu":"Wesentliche Einrichtung","de":"Besonders wichtige Einrichtung","abbr":"bwE"},"important":{"eu":"Wichtige Einrichtung","de":"Wichtige Einrichtung","abbr":"wE"},"kritis":{"eu":"Betreiber kritischer Infrastrukturen","de":"Betreiber kritischer Anlagen","abbr":"KRITIS"}},"hierarchy":"Die Hierarchie: KRITIS ⊂ wesentliche Einrichtungen ⊂ alle NIS2-Einrichtungen. KRITIS-Betreiber werden automatisch als wesentliche Einrichtungen eingestuft."},"penalties":{"heading":"Bußgelder","byCategory":{"heading":"Nach Einrichtungskategorie","headers":{"category":"Kategorie","maxFine":"Maximales Bußgeld","turnover":"Umsatzbasierte Alternative"},"rows":{"bwe":{"category":"Wesentliche Einrichtungen","fine":"10.000.000 EUR","turnover":"2 % des weltweiten Jahresgruppenumsatzes"},"we":{"category":"Wichtige Einrichtungen","fine":"7.000.000 EUR","turnover":"1,4 % des weltweiten Jahresgruppenumsatzes"}}},"byViolation":{"heading":"Nach Verstoßart","headers":{"violation":"Verstoß","maxFine":"Maximales Bußgeld"},"rows":{"measures":{"violation":"Nichtumsetung von Cybersicherheitsmaßnahmen (§30)","fine":"10 Mio. / 7 Mio. EUR"},"incidents":{"violation":"Nichtmeldung von Sicherheitsvorfällen (§31)","fine":"10 Mio. / 7 Mio. EUR"},"bsiDirectives":{"violation":"Nichteinhaltung von BSI-Anordnungen","fine":"10 Mio. / 7 Mio. EUR"},"kritisComponents":{"violation":"KRITIS: Verstoß bei der Meldung kritischer Komponenten","fine":"5.000.000 EUR"},"kritisAudit":{"violation":"KRITIS: Verstoß bei Nachweisverfahren","fine":"2.000.000 EUR"},"registration":{"violation":"Registrierungsverstöße, unterlassene BSI-Meldung","fine":"500.000 EUR"},"obstruction":{"violation":"Behinderung von BSI-Prüfungen","fine":"500.000 EUR"},"contact":{"violation":"Nichterreichbarkeit der Kontaktstelle","fine":"100.000 EUR"}}}},"managementLiability":{"heading":"Geschäftsführerhaftung (§ 38 BSIG)","description":"Eine der wirkungsvollsten Regelungen der deutschen Umsetzung. Leitungsorgane haften persönlich für die Einhaltung der Cybersicherheit.","duties":{"heading":"Drei Kernpflichten","approval":{"title":"Billigung","description":"Die Geschäftsführung muss die Risikomanagement-Maßnahmen nach § 30 BSIG förmlich genehmigen."},"oversight":{"title":"Überwachung","description":"Aktive Kontrolle der Umsetzung - nicht bloße Kenntnisnahme. Die Geschäftsführung muss überprüfen, dass Maßnahmen tatsächlich umgesetzt werden."},"training":{"title":"Schulung","description":"Verpflichtende persönliche Teilnahme an Cybersicherheitsschulungen mindestens alle 3 Jahre. Diese Pflicht ist nicht delegierbar."}},"liability":"Geschäftsführer haften persönlich gegenüber ihrem eigenen Unternehmen, wenn sie diese Pflichten schuldhaft verletzen. Die Delegation operativer Aufgaben ist zulässig, die strategische Verantwortung und Überwachung verbleibt bei der Geschäftsführung. Mangelnde technische Kenntnisse sind kein Enthaftungsgrund.","waiver":"§ 38 BSIG verbietet ausdrücklich vertragliche Haftungsfreistellungen durch Gesellschafter, die in einem groben Missverhältnis zur bestehenden Unsicherheit über die Rechtslage stehen."},"registration":{"heading":"BSI-Registrierung","description":"Alle als wesentlich oder wichtig eingestuften Einrichtungen müssen sich beim BSI registrieren.","deadline":"Frist: 6. März 2026 (3 Monate nach Inkrafttreten des BSIG).","process":"Die Registrierung erfolgt in zwei Schritten: Zunächst ein Konto über Mein Unternehmenskonto (MUK/ELSTER) anlegen, dann über das BSI-Portal registrieren (online seit 6. Januar 2026).","selfId":"Die Registrierung ist eine Selbstidentifikationspflicht - es erfolgt keine Benachrichtigung durch das BSI. Unternehmen müssen selbst prüfen, ob sie in den Anwendungsbereich fallen. Das BSI kann Unternehmen auch zur Registrierung verpflichten."},"supervision":{"heading":"Aufsichtsmodell","headers":{"aspect":"Aspekt","bwe":"Wesentlich","we":"Wichtig"},"rows":{"approach":{"aspect":"Aufsicht","bwe":"Proaktiv (ex-ante) - BSI kann jederzeit prüfen","we":"Reaktiv (ex-post) - nur bei Hinweisen auf Verstöße"},"fines":{"aspect":"Maximales Bußgeld","bwe":"10 Mio. EUR oder 2 % des weltweiten Umsatzes","we":"7 Mio. EUR oder 1,4 % des weltweiten Umsatzes"},"audit":{"aspect":"Prüfanforderungen","bwe":"Risikobasierte Stichproben durch das BSI","we":"Nur bei begründetem Verdacht"},"kritisAudit":{"aspect":"KRITIS-Prüfzyklus","bwe":"Alle 3 Jahre (bei KRITIS-Betreibern)","we":"Entfällt"}}}},"features":{"meta":{"title":"NIS2 Compliance Software: Kostenlose Plattform — Funktionen","description":"Kostenlose NIS2-Compliance-Software mit allen 49 BSIG-Anforderungen, Fristenüberwachung, Audit-Trail, Geschäftsführerhaftung. EU-weit, ohne Lock-in."},"title":"Plattform-Funktionen","subtitle":"Schritt für Schritt durch jede NIS2-Anforderung. Kein Compliance-Vorwissen nötig, einfach starten und wir führen Sie ans Ziel.","badges":{"tenMeasures":"10 Maßnahmen","traceable":"Nachvollziehbar","requirements":"Anforderungen","measures":"§ 30 Maßnahmen","assistedPrefill":"KI-Vorausfüllung","tenPhases":"10 Phasen","granular":"Granular","exportAnytime":"Jederzeit exportieren","dataStaysForever":"Daten bleiben für immer","date":"Datum","event":"Ereignis"},"guided":{"heading":"Schritt für Schritt geführt","p1":"Sie müssen NIS2 nicht verstehen, um compliant zu werden. Die Plattform führt Sie durch jede Anforderung einzeln, mit klaren Anweisungen und strukturierten Formularen.","p2":"Dies ist kein generisches GRC-Tool. Jede Anforderung bildet direkt das BSIG ab, aufgeschlüsselt in die 10 Pflichtmaßnahmen nach § 30 und die Einrichtungskategorien nach §§ 28-29.","p3":"Einfach die Fragen beantworten, Nachweise hochladen und weiter. Am Ende haben Sie eine vollständige, auditfähige Compliance-Dokumentation."},"liability":{"heading":"Geschäftsführerhaftung absichern","p1":"§ 38 BSIG macht die Geschäftsführung persönlich haftbar für die Einhaltung der Cybersicherheit. Drei Pflichten gelten: Billigung, Überwachung und Schulung. Diese sind nicht delegierbar.","p2":"NISD2.eu strukturiert Compliance so, dass die Geschäftsführung nachweisen kann, alle drei Pflichten erfüllt zu haben. Jede Genehmigung wird mit Zeitstempel und Benutzeridentität protokolliert - genau der Nachweis, den § 38 verlangt.","p3":"Wenn das BSI Ihr Unternehmen prüft, brauchen Sie den Beweis, dass die Geschäftsführung Maßnahmen genehmigt, die Umsetzung überwacht und Schulungen absolviert hat. Diese Plattform erzeugt diesen Beweis als Nebenprodukt der normalen Nutzung."},"requirements":{"heading":"49 strukturierte BSIG-Anforderungen","p1":"Die 10 Pflichtmaßnahmen des § 30 BSIG sind in 49 konkrete, umsetzbare Anforderungen aufgeschlüsselt - jede mit eigenem strukturiertem Formular.","p2":"Jede Anforderung ist ein Formular. Jedes Formularfeld entspricht einer konkreten Compliance-Pflicht. Formular ausfüllen, Compliance dokumentiert. Keine Unklarheiten, kein Rätselraten.","p3":"Formulare unterstützen Text, Auswahl, Mehrfachauswahl, Daten und Datei-Uploads für Nachweise. KI-gestützte Vorausfüllung hilft beim Entwurf basierend auf Ihrem Unternehmensprofil - Sie verfeinern und genehmigen."},"deadlines":{"heading":"Fristenüberwachung & Eskalation","p1":"NIS2-Compliance ist kein einmaliges Projekt. BSI-Registrierung, Meldekaskaden (24 h / 72 h / 1 Monat), KRITIS-Auditzyklen und Schulungserneuerungen haben harte Fristen mit echten Bußgeldern.","p2":"Die Plattform überwacht jede Frist über den gesamten Compliance-Lebenszyklus. Benachrichtigungen eskalieren über 10 Phasen - von frühen Erinnerungen bis zu kritischen Warnungen - damit nichts untergeht.","p3":"Granulare Berechtigungen steuern, wer wofür benachrichtigt wird. Weisen Sie Verantwortung pro Anforderung, pro Modul, pro Teammitglied zu. Die richtige Person erhält die richtige Warnung zum richtigen Zeitpunkt."},"modules":{"heading":"12 operative Sicherheitsmodule","p1":"Über die Kern-Compliance-Formulare hinaus enthält NISD2.eu 12 operative Module, die den laufenden Sicherheitsbetrieb abbilden, den das BSIG verlangt:","items":{"assets":"Asset-Management - Inventar aller kritischen Systeme und Infrastruktur","risks":"Risikoregister - strukturierte Risikobewertungen mit Eintrittswahrscheinlichkeit und Auswirkung","incidents":"Vorfallmanagement - Erkennung, Reaktion und BSI-Meldeabläufe","suppliers":"Lieferantenmanagement - Bewertung und Überwachung der Lieferkettensicherheit","policies":"Richtlinienmanagement - Dokumentenlebenszyklus für Sicherheitsrichtlinien","training":"Schulungsnachweise - Nachverfolgung verpflichtender Cybersicherheitsschulungen pro Mitarbeiter","access":"Zugriffskontrolle - rollenbasiertes Zugriffsmanagement und Überprüfungen","crypto":"Kryptographie-Register - Verschlüsselungseinsatz und Schlüsselverwaltungsnachweise","continuity":"Business Continuity - Notfallwiederherstellungspläne und Testdokumentation","vulnerability":"Schwachstellenmanagement - Nachverfolgungs- und Behebungsabläufe","network":"Netzwerksicherheit - Architekturdokumentation und Segmentierungsnachweise","monitoring":"Sicherheitsüberwachung - Protokollmanagement und Erkennungssystemnachweise","communication":"Gesicherte Kommunikation - MFA-Bereitstellung und Dokumentation sicherer Kanäle"},"p2":"Jedes Modul ist speziell für NIS2 gebaut - nicht aus einer generischen GRC-Vorlage adaptiert. Daten fließen zwischen Modulen: Ein Asset in einer Risikobewertung verlinkt auf dasselbe Asset in Ihrem Vorfallbericht."},"auditTrail":{"heading":"Permanenter Audit-Trail & Langzeitdaten","p1":"Jede Aktion auf der Plattform wird protokolliert: wer was geändert hat, wann und was der vorherige Wert war. Jeder Eintrag wird per SHA-256 geprüft und ist manipulationssicher.","p2":"Alle Compliance-Daten liegen in strukturierten Formularen, die jederzeit exportiert werden können - für BSI-Audits, interne Überprüfungen oder rechtliche Verfahren. Die vollständige Historie Ihrer Compliance-Lage ist immer verfügbar.","p3":"Compliance wächst nur. Neue Anforderungen kommen hinzu, Vorschriften entwickeln sich, Ihr Unternehmen verändert sich. NISD2.eu basiert auf einer First-Principles-Datenarchitektur: Ihre Compliance-Daten bleiben hier dauerhaft. Sie geben nie Daten neu ein. Wenn sich Vorschriften ändern, wird Ihre bestehende Dokumentation fortgeführt - Sie füllen nur aus, was sich geändert hat.","p4":"Das ist keine Tabelle, die Sie verlieren, oder ein Beraterreport, der im Regal verstaubt. Es ist eine lebende, versionierte, auditierbare Aufzeichnung aller NIS2-Compliance-Maßnahmen Ihres Unternehmens - vom ersten Tag an, für immer."}},"nis2Requirements":{"meta":{"title":"NIS2 Anforderungen - 10 Maßnahmen","description":"NIS2-Anforderungen im Detail: 10 Pflichtmaßnahmen, Meldekaskade bei Vorfällen, Auditpflichten und Lieferkettensicherheit."},"title":"NIS2 Anforderungen","subtitle":"Was betroffene Einrichtungen umsetzen müssen: 10 verpflichtende Cybersicherheitsmaßnahmen, eine strenge Meldekaskade und evidenzbasierte Compliance.","measures":{"heading":"10 verpflichtende Risikomanagement-Maßnahmen (§ 30 BSIG / Art. 21)","description":"Alle wesentlichen und wichtigen Einrichtungen müssen diese Maßnahmen umsetzen. Es gibt keine Übergangsfrist - diese Pflichten gelten seit dem 6. Dezember 2025 in Deutschland.","items":{"m1":{"title":"Risikoanalyse und Informationssicherheit","description":"Erstellung und Pflege von Leitlinien für die Risikoanalyse und Informationssystemsicherheit. Regelmäßige Risikobewertungen aller kritischen Systeme und Prozesse."},"m2":{"title":"Bewältigung von Sicherheitsvorfällen","description":"Verfahren zur Vorbeugung, Erkennung, Identifizierung, Eindämmung, Abschwächung und Reaktion auf Sicherheitsvorfälle."},"m3":{"title":"Business Continuity und Krisenmanagement","description":"Backup-Management, Notfallwiederherstellung und Krisenmanagement-Verfahren zur Sicherstellung der Betriebsresilienz."},"m4":{"title":"Lieferkettensicherheit","description":"Sicherheitsmaßnahmen für die Beziehungen zu direkten Lieferanten und Dienstleistern. Einschließlich Bewertung der Cybersicherheitspraktiken aller Lieferanten und vertragliche Sicherheitsanforderungen."},"m5":{"title":"Sicherheit bei Erwerb, Entwicklung und Wartung","description":"Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen. Einschließlich Schwachstellenmanagement und Offenlegungsverfahren."},"m6":{"title":"Wirksamkeitsbewertung","description":"Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagement-Maßnahmen. Regelmäßige Tests und Evaluierung der Sicherheitskontrollen."},"m7":{"title":"Cyberhygiene und Schulungen","description":"Grundlegende Cybersicherheitsschulungen für alle Mitarbeiter. Sensibilisierungsprogramme zu Phishing, Social Engineering, Passwortmanagement und sicherem Umgang mit IT."},"m8":{"title":"Kryptographie und Verschlüsselung","description":"Konzepte und Verfahren für den Einsatz von Kryptographie und gegebenenfalls Verschlüsselung. Umfasst ruhende Daten, Daten bei der Übertragung und Schlüsselmanagement."},"m9":{"title":"Personalsicherheit, Zugriffskontrolle und Asset-Management","description":"Personalsicherheitsrichtlinien, Zugriffskontrollmechanismen und Asset-Management-Verfahren. Einschließlich On-/Offboarding, Least-Privilege-Zugriff und Bestandsverzeichnisse."},"m10":{"title":"Multi-Faktor-Authentifizierung und gesicherte Kommunikation","description":"Einsatz von MFA oder kontinuierlicher Authentifizierung. Gesicherte Sprach-, Video- und Textkommunikation. Gesicherte Notfallkommunikationssysteme."}}},"incidentReporting":{"heading":"Meldekaskade bei Sicherheitsvorfällen","description":"Alle wesentlichen und wichtigen Einrichtungen müssen erhebliche Sicherheitsvorfälle dem BSI in einer dreistufigen Kaskade melden.","stages":{"s1":{"deadline":"24 Stunden","title":"Frühwarnung (Erstmeldung)","description":"Meldung, ob der Vorfall mutmaßlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist und ob er grenzüberschreitende Auswirkungen haben könnte."},"s2":{"deadline":"72 Stunden","title":"Aktualisierte Meldung","description":"Schweregradbewertung, Auswirkungsanalyse, Kompromittierungsindikatoren und erste Ursachenanalyse, falls verfügbar."},"s3":{"deadline":"1 Monat","title":"Abschlussmeldung","description":"Detaillierte Beschreibung des Vorfalls, bestätigte Ursache, ergriffene Abhilfemaßnahmen, umgesetzte Präventionsmaßnahmen und Bewertung grenzüberschreitender Auswirkungen."}},"significant":{"heading":"Was gilt als „erheblicher“ Vorfall?","p1":"Ein Sicherheitsvorfall gilt als erheblich, wenn er schwere Betriebsstörungen oder finanzielle Verluste für die Einrichtung verursacht hat oder verursachen kann.","p2":"Er gilt auch als erheblich, wenn er andere natürliche oder juristische Personen durch erheblichen materiellen oder immateriellen Schaden beeinträchtigt hat oder beeinträchtigen kann."}},"auditRequirements":{"heading":"Audit- und Nachweispflichten","kritis":{"heading":"KRITIS-Betreiber","description":"Müssen die Einhaltung durch Audits, Inspektionen oder Zertifizierungen alle 3 Jahre nachweisen. Müssen Systeme zur Angriffserkennung einsetzen. Erste Nachweisfrist wird vom BSI bei der Registrierung festgelegt (~2028)."},"bwe":{"heading":"Wesentliche Einrichtungen (nicht-KRITIS)","description":"Kein regelmäßiger verpflichtender Auditzyklus, aber umfassende Dokumentation erforderlich. Das BSI kann proaktive Stichproben durchführen und jederzeit risikobasiert Nachweise anfordern."},"we":{"heading":"Wichtige Einrichtungen","description":"Müssen die Umsetzung aller erforderlichen Maßnahmen dokumentieren. BSI-Prüfungen erfolgen nur reaktiv - ausgelöst durch Vorfälle oder begründeten Verdacht auf Nichteinhaltung."},"evidence":{"heading":"Akzeptierte Nachweise","items":{"audits":"Interne oder externe Auditberichte","certifications":"Zertifizierungen (ISO 27001, BSI IT-Grundschutz usw.)","documentation":"Umfassende Dokumentation von Risikobewertungen, umgesetzten Maßnahmen und Wirksamkeitsüberprüfungen"},"note":"Eine ISO-27001- oder IT-Grundschutz-Zertifizierung unterstützt die NIS2-Compliance, garantiert sie aber nicht - die BSIG-Anforderungen können über den üblichen Zertifizierungsumfang hinausgehen."}},"supplyChain":{"heading":"Lieferkettensicherheit","description":"NIS2 führt verpflichtende Anforderungen an die Lieferkettensicherheit ein. Einrichtungen müssen:","items":{"assess":"Die Cybersicherheitspraktiken aller direkten Lieferanten und Dienstleister bewerten","contractual":"Cybersicherheitsanforderungen in Lieferantenverträge aufnehmen","monitor":"Die Sicherheitslage der Lieferanten laufend überwachen und überprüfen","coordinate":"Schwachstellenoffenlegung mit Lieferanten koordinieren","risk":"Die Gesamtqualität der Produkte und Praktiken der Lieferanten berücksichtigen, einschließlich deren sicherer Entwicklungsverfahren"}}},"ceoLiability":{"meta":{"title":"NIS2 Geschäftsführerhaftung - §38 BSIG erklärt","description":"§38 BSIG begründet die persönliche Haftung der Geschäftsführung für NIS2-Cybersicherheit. Die drei Pflichten, Bußgelder und Schutzmaßnahmen im Überblick."},"title":"Geschäftsführerhaftung nach NIS2","subtitle":"§38 BSIG begründet die persönliche Haftung der Geschäftsleitung für Cybersicherheitsversäumnisse - ein Novum im deutschen Recht.","overview":{"p1":"Die deutsche NIS2-Umsetzung durch das NIS2UmsuCG hat eines der strengsten Haftungsregime für Cybersicherheit auf Leitungsebene in der EU geschaffen. §38 BSIG macht Geschäftsleiter gegenüber ihrem eigenen Unternehmen persönlich haftbar, wenn sie ihre Cybersicherheitspflichten verletzen. Die Geschäftsleitung jedes NIS2-pflichtigen Unternehmens - ob GmbH, AG oder KG - trägt die persönliche Verantwortung für die Umsetzung, Überwachung und Aufrechterhaltung der Cybersicherheitsmaßnahmen. Dies ist nicht an die IT-Abteilung delegierbar.","p2":"Das ist nicht theoretisch. Unter dem früheren IT-Sicherheitsgesetz haftete das Unternehmen als juristische Person. §38 BSIG ändert die Spielregeln: Einzelne Geschäftsleiter können nun mit ihrem Privatvermögen haften, wenn sie ihre Cybersicherheitspflichten verletzen. Das Gesetz adressiert ausdrücklich Geschäftsleiter - die Personen, die im Namen des Unternehmens zeichnen.","p3":"Das Gesetz definiert drei Kernpflichten für die Geschäftsleitung: Billigung der Cybersicherheitsmaßnahmen, Überwachung ihrer Umsetzung und persönliche Schulung in Cybersicherheit. Das Versäumnis auch nur einer dieser Pflichten begründet die persönliche Haftung - selbst wenn das Unternehmen angemessene Maßnahmen umgesetzt hat."},"duties":{"heading":"Die drei Kernpflichten","description":"§38 Abs. 1 BSIG begründet drei nicht delegierbare Pflichten für die Geschäftsleitung. Diese können nicht an Mitarbeiter, Berater oder externe Dienstleister delegiert werden.","items":{"approval":{"title":"Billigung","description":"Die Geschäftsleitung muss die Risikomanagementmaßnahmen im Bereich Cybersicherheit nach §30 BSIG förmlich billigen. Das bedeutet die Prüfung und Freigabe der Informationssicherheitspolitik, der Risikobewertungen und der Risikobehandlungspläne. Ein mündliches ‚Machen Sie mal' reicht nicht - Sie benötigen dokumentierte, nachvollziehbare Freigaben mit Zeitstempel und Unterschrift."},"oversight":{"title":"Überwachung","description":"Die Geschäftsleitung muss die Umsetzung der gebilligten Maßnahmen aktiv überwachen. Das bedeutet regelmäßige Statusprüfungen, Fortschrittskontrolle und Eskalationsbehandlung. Sie müssen nachweisen können, dass Sie die tatsächliche Umsetzung der Maßnahmen überwacht haben - nicht nur, dass Sie sie genehmigt und sich abgewandt haben. Quartalsweise Management-Reviews sind die Mindestfrequenz, die verteidigbar ist."},"training":{"title":"Schulung","description":"Die Geschäftsleitung muss persönlich an Cybersicherheitsschulungen teilnehmen, um ausreichende Kenntnisse zur Bewertung von Risiken und Maßnahmen zu entwickeln. Dies ist nicht die allgemeine Mitarbeitersensibilisierung nach §30 Abs. 2 Nr. 9 - es handelt sich um eine separate Pflicht speziell für Geschäftsleiter. Die Schulung muss ausreichen, um das Risikoprofil des Unternehmens, die bestehenden Maßnahmen und die akzeptierten Restrisiken zu verstehen."}}},"consequences":{"heading":"Was bei Verstößen passiert","description":"Das BSIG sieht ein gestuftes Durchsetzungsregime vor. Das BSI kann Anordnungen erlassen, Bußgelder verhängen und in schweren Fällen die Ausübung der Leitungstätigkeit untersagen.","items":{"noMeasures":{"violation":"Keine Cybersicherheitsmaßnahmen umgesetzt","consequence":"Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist) nach §65 BSIG für wesentliche Einrichtungen. Für wichtige Einrichtungen: bis zu 7 Mio. Euro oder 1,4 % des Umsatzes. Die Geschäftsleitung haftet dem Unternehmen persönlich für Schäden, die aus dem Verstoß resultieren."},"noReporting":{"violation":"Vorfall nicht an das BSI gemeldet","consequence":"§32 BSIG verlangt eine Erstmeldung innerhalb von 24 Stunden, eine Folgemeldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Das Versäumen dieser Fristen löst Vollzugsmaßnahmen aus. War die Geschäftsleitung von einem Vorfall informiert und hat die Meldung nicht sichergestellt, greift die persönliche Haftung nach §38 wegen Überwachungsversäumnis."},"noTraining":{"violation":"Geschäftsleitung hat keine Schulung absolviert","consequence":"Direkter Verstoß gegen §38 Abs. 1 BSIG. Dies ist der am einfachsten nachweisbare Verstoß für das BSI - entweder haben Sie Schulungsnachweise oder nicht. Er untergräbt zudem Ihre Verteidigung in allen anderen Punkten: Wie können Sie angemessene Überwachung behaupten, wenn Ihnen die Schulung zur Bewertung des Überwachten fehlt?"},"noOversight":{"violation":"Keine aktive Überwachung der Umsetzung","consequence":"Wenn Maßnahmen gebilligt wurden, die Geschäftsleitung aber keine laufende Überwachung nachweisen kann (Prüfprotokolle, Statusberichte, Eskalationsdokumentation), reicht die Billigung allein nicht aus. Das Gesetz verlangt alle drei Pflichten. Billigen ohne zu überwachen ist wie einen Vertrag zu unterschreiben, ohne ihn zu lesen - Sie haften trotzdem."}}},"misconceptions":{"heading":"Häufige Irrtümer","description":"In Gesprächen mit deutschen Mittelstandsunternehmen begegnen uns immer wieder dieselben Missverständnisse. Alle schaffen eine trügerische Sicherheit.","items":{"delegate":{"myth":"Das kann ich an die IT-Abteilung delegieren","reality":"Sie können die Umsetzung delegieren, aber nicht die Verantwortung. §38 BSIG nennt ausdrücklich Geschäftsleiter - nicht IT-Manager, nicht CISOs, nicht externe Berater. Sie müssen persönlich billigen, überwachen und geschult sein. Ihr IT-Team setzt um; Sie billigen und überwachen. Der Unterschied zählt vor Gericht."},"insurance":{"myth":"Die D&O-Versicherung deckt die NIS2-Haftung ab","reality":"Die meisten D&O-Policen schließen regulatorische Bußgelder und Strafen aus. Selbst wo zivilrechtliche Haftungsansprüche gedeckt sind, können Versicherer Ansprüche ablehnen, wenn die Geschäftsleitung wissentlich gegen gesetzliche Pflichten verstoßen hat. Prüfen Sie die Ausschlussklauseln Ihrer Police - ‚Nichteinhaltung zwingender Vorschriften' ist ein Standardausschluss in deutschen D&O-Policen."},"ignorance":{"myth":"Ich bin nicht technisch - ich kann nicht verantwortlich sein","reality":"§38 Abs. 3 BSIG begründet die Schulungspflicht gerade, um diese Verteidigung auszuschließen. Das Gesetz unterstellt, dass die Geschäftsleitung nach Absolvierung einer angemessenen Cybersicherheitsschulung über ausreichende Kenntnisse zur Erfüllung ihrer Pflichten verfügt. ‚Ich verstehe nichts von Technik' ist keine Verteidigung - es ist der Beweis eines Schulungsverstoßes."},"waiver":{"myth":"Die Gesellschafter können auf meine Haftung verzichten","reality":"§38 Abs. 2 BSIG stellt ausdrücklich klar, dass Schadensersatzansprüche aus Verstößen gegen §30 BSIG weder von den Gesellschaftern verzichtet noch in einem unangemessenen Verhältnis zur Vermögenslage des Unternehmens verglichen werden können. Dies überlagert die normalen Regeln des §43 GmbHG. Die Gesellschafterversammlung kann Sie nicht von der NIS2-Haftung entbinden."},"smallCompany":{"myth":"Wir sind zu klein, als dass sich jemand dafür interessiert","reality":"Die NIS2-Schwelle beginnt bei 50 Mitarbeitern und 10 Mio. Euro Umsatz. Wenn Sie diese Schwellen in einem betroffenen Sektor überschreiten, unterliegen Sie dem vollen Regime - einschließlich der §38-Geschäftsführerhaftung. Das BSI hat bereits begonnen, Unternehmen in dieser Größenordnung zur Registrierung aufzufordern. Größe ist keine Verteidigung; es ist ein Abgrenzungskriterium, und Sie fallen darunter."}}},"personalRisk":{"heading":"Das persönliche Risiko","description":"Die besondere Natur der NIS2-Geschäftsführerhaftung im deutschen Recht.","liableToCompany":"Was die meisten Geschäftsführer überrascht: Nach §38 BSIG haften Sie gegenüber Ihrem eigenen Unternehmen. Wenn das Unternehmen Schaden erleidet, weil Sie die Cybersicherheitsmaßnahmen nicht umgesetzt, überwacht oder sich nicht haben schulen lassen, kann das Unternehmen (oder sein Insolvenzverwalter oder seine Gesellschafter) Sie persönlich auf Schadensersatz in Anspruch nehmen. Dies ist eine Innenhaftung - Ihre eigene Organisation kann Sie verklagen.","cannotWaive":"§38 Abs. 2 BSIG enthält eine im deutschen Cybersicherheitsrecht beispiellose Regelung: Gesellschafter können auf diese Haftungsansprüche nicht verzichten und sie nicht vergleichen, wenn dies in einem unangemessenen Verhältnis zur Vermögenslage des Unternehmens steht. Praktisch bedeutet das: Wenn das Unternehmen durch einen Cybervorfall insolvent wird, wird der Insolvenzverwalter auf Ihr Privatvermögen zugreifen - und die Gesellschafter können dieses Recht nicht im Voraus ausgeschlossen haben.","cannotClaimIgnorance":"Die Schulungspflicht nach §38 Abs. 3 BSIG ist keine optionale Weiterbildung - sie ist eine gesetzliche Voraussetzung, die Unwissenheit als Verteidigung ausschließt. Sobald das Gesetz eine Schulung verlangt, ist das Versäumnis, diese Schulung zu absolvieren, selbst ein Verstoß. Sie können nicht behaupten, die Risiken nicht verstanden zu haben, wenn das Gesetz verlangt, dass Sie sich darüber informieren."},"steps":{"heading":"Drei Schritte zu Ihrem Schutz","description":"Die gute Nachricht: Die Erfüllung Ihrer §38 BSIG-Pflichten ist unkompliziert, wenn Sie systematisch vorgehen. Diese drei Schritte schaffen die dokumentierte Nachweiskette, die Sie schützt.","items":{"step1":{"title":"Cybersicherheitsmaßnahmen förmlich billigen","description":"Prüfen Sie die Risikobewertung, Sicherheitsrichtlinien und Risikobehandlungspläne nach §30 BSIG. Zeichnen Sie mit Name, Datum und Funktion. Speichern Sie die Billigung in einem auditierbaren System - nicht im E-Mail-Postfach. Dies schafft den dokumentierten Nachweis, dass Sie Ihre Billigungspflicht erfüllt haben. Wiederholen Sie dies bei wesentlichen Änderungen der Maßnahmen."},"step2":{"title":"Überwachungsprozesse etablieren","description":"Planen Sie quartalsweise Management-Reviews zum Cybersicherheitsstatus. Prüfen Sie den Umsetzungsfortschritt, offene Risiken, Vorfallberichte und Wirksamkeitskennzahlen. Dokumentieren Sie Teilnahme, Entscheidungen und Maßnahmen. Dies schafft die fortlaufende Nachweiskette für Ihre Überwachungspflicht - nicht nur eine einmalige Billigung, sondern kontinuierliches Engagement."},"step3":{"title":"Cybersicherheitsschulung absolvieren","description":"Absolvieren Sie ein Schulungsprogramm, das die Bedrohungslandschaft Ihres Unternehmens, die §30 BSIG-Maßnahmen, die Vorfallmeldepflichten und Ihre persönlichen Pflichten nach §38 abdeckt. Dokumentieren Sie die Schulung: Anbieter, Datum, behandelte Inhalte, Zertifikat falls vorhanden. Jährlich auffrischen. Dies schließt die Unwissenheitslücke und erfüllt Ihre Schulungspflicht."}}},"ctaCard":{"heading":"Ihre Compliance nachweisen","description":"Die NIS2-Compliance-Plattform erfasst Billigungen der Geschäftsleitung, Überwachungsaktivitäten und Schulungsabschlüsse - und schafft so die prüfungssichere Nachweiskette, die Sie persönlich nach §38 BSIG schützt."},"cta":"NIS2-Compliance starten"},"grundschutz":{"meta":{"title":"NIS2 & IT-Grundschutz - Schnellster Weg","description":"§44 BSIG erkennt IT-Grundschutz als NIS2-Nachweis an. Die rechtliche Kette von NIS2 über BSIG zum BSI Grundschutz - der schnellste Compliance-Weg."},"title":"NIS2 und IT-Grundschutz","subtitle":"§44 Abs. 2 BSIG bietet eine rechtliche Abkürzung: Die Umsetzung von IT-Grundschutz gilt als anerkannter Nachweis der NIS2-Compliance in Deutschland.","overview":{"heading":"Die rechtliche Kette","p1":"Deutsche Unternehmen haben gegenüber ihren europäischen Pendants einen einzigartigen Vorteil bei der NIS2-Compliance. Während Unternehmen in Frankreich, Italien oder den Niederlanden direkt aus der NIS2-Richtlinie und der EU-Durchführungsverordnung arbeiten müssen, können deutsche Unternehmen den IT-Grundschutz nutzen - eine etablierte, vom BSI gepflegte Methodik, die seit über 25 Jahren der Standard für Informationssicherheit in Deutschland ist.","p2":"§44 Abs. 2 BSIG bietet die rechtliche Abkürzung: Unternehmen, die IT-Grundschutz umsetzen, können dies als Nachweis der NIS2-Compliance verwenden. Dies ist keine informelle Empfehlung - es ist im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik kodifiziert. Das BSI entwickelt und pflegt sowohl das Grundschutz-Framework als auch das NIS2-Durchsetzungsregime und stellt so die Abstimmung by Design sicher.","p3":"Diese Seite bildet die gesamte rechtliche Kette von der EU-NIS2-Richtlinie über die deutsche Umsetzung bis zur praktischen Implementierungsmethodik ab. Das Verständnis dieser Kette ist für jeden Compliance-Verantwortlichen essenziell: Sie zeigt genau, welche Anforderungen woher kommen, warum sie bestehen und wie sie mit dokumentierten Nachweisen erfüllt werden."},"chain":{"heading":"Von der EU-Richtlinie zur deutschen Praxis","description":"NIS2-Compliance in Deutschland folgt einer vierstufigen rechtlichen Kette. Jede Stufe fügt Spezifität hinzu - von übergeordneten Zielen bis hin zu konkreter Umsetzungsanleitung.","items":{"nis2":{"title":"NIS2-Richtlinie","description":"EU-Richtlinie 2022/2555 - der EU-weite Cybersicherheitsrahmen"},"bsig":{"title":"BSIG","description":"Gesetz über das Bundesamt für Sicherheit in der Informationstechnik - setzt NIS2 in deutsches Recht um"},"cir":{"title":"CIR 2024/2690","description":"EU-Durchführungsverordnung - definiert die technischen Mindestmaßnahmen"},"grundschutz":{"title":"IT-Grundschutz","description":"BSI-Methodik - das etablierte deutsche Framework zur Umsetzung dieser Maßnahmen"}}},"section44":{"heading":"§44 Abs. 2 BSIG: Grundschutz gleich Compliance","description":"Die rechtliche Abkürzung, die die meisten Unternehmen nicht kennen.","p1":"§44 Abs. 2 BSIG besagt, dass die Einhaltung der Anforderungen des §30 BSIG durch die Umsetzung anerkannter Standards nachgewiesen werden kann - und verweist ausdrücklich auf den IT-Grundschutz als solchen Standard. Das bedeutet: Wenn Sie Grundschutz nach der Methodik BSI-200-1 bis BSI-200-4 umsetzen, haben Sie eine gesetzlich anerkannte Grundlage für den Nachweis Ihrer NIS2-Compliance. Dies ist kein Freifahrtschein - Sie brauchen weiterhin Nachweise - aber es gibt Ihnen eine klare, BSI-anerkannte Methodik als Leitfaden.","p2":"In der Praxis bedeutet das: Sie müssen die NIS2-Richtlinie oder die CIR 2024/2690 nicht von Grund auf interpretieren. Das Grundschutz-Kompendium bildet die technischen Anforderungen bereits auf spezifische Bausteine und Anforderungen ab. Wenn das BSI Ihre NIS2-Compliance prüft, prüft es gegen eine Methodik, die es selbst entwickelt hat - nicht gegen eine abstrakte EU-Richtlinie. Diese Abstimmung eliminiert die Interpretationslücke, unter der Unternehmen in anderen EU-Mitgliedstaaten leiden.","p3":"Für BSI-Prüfer ist die Grundschutz-Umsetzung vertrautes Terrain. Sie prüfen seit Jahrzehnten nach Grundschutz. Das bedeutet Prüfungseffizienz: Die Prüfer wissen genau, welche Nachweise zu erwarten sind, die Terminologie ist standardisiert, und die Methodik ist auf Deutsch dokumentiert. Vergleichen Sie das mit der Verteidigung eines Ad-hoc-Compliance-Ansatzes gegen die englischsprachige CIR - der praktische Vorteil ist erheblich."},"cir":{"heading":"CIR 2024/2690: Die technische EU-Baseline","description":"Die EU-Durchführungsverordnung, die das technische Minimum definiert, das jeder EU-Mitgliedstaat durchsetzen muss.","p1":"Die CIR 2024/2690 (Durchführungsverordnung der Kommission) wurde am 17. Oktober 2024 veröffentlicht und legt die technischen und methodischen Anforderungen für die NIS2-Compliance in der gesamten EU fest. Sie gilt unmittelbar - keine Umsetzung erforderlich - und definiert die Mindestmaßnahmen, die alle wesentlichen und wichtigen Einrichtungen umsetzen müssen. Dies ist die Untergrenze, nicht die Obergrenze.","p2":"Die CIR umfasst insbesondere DNS-Diensteanbieter, TLD-Registrierungsstellen, Cloud-Computing-Dienste, Rechenzentren, Content-Delivery-Netzwerke, Managed Services, Managed Security Services, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke und Vertrauensdiensteanbieter. Das BSIG dehnt diese technischen Anforderungen jedoch auf alle NIS2-erfassten Sektoren in Deutschland aus, wodurch die technischen Maßnahmen der CIR zum De-facto-Standard für alle werden.","p3":"Das Grundschutz-Kompendium deckt jede Anforderung der CIR ab und geht darüber hinaus. Wo die CIR ‚Zugriffskontrolle implementieren' sagt, spezifiziert der Grundschutz genau wie - durch Bausteine wie ORP.4 (Identitäts- und Berechtigungsmanagement) mit schrittweiser Umsetzungsanleitung. Deshalb erkennt §44 Abs. 2 BSIG den Grundschutz an: Er ist eine Obermenge der CIR-Anforderungen, nicht nur ein Äquivalent."},"comparison":{"heading":"IT-Grundschutz vs. ISO 27001 für NIS2","description":"Beide sind anerkannte Informationssicherheits-Frameworks, aber für die NIS2-Compliance in Deutschland sind sie nicht gleichwertig.","items":{"recognition":{"title":"BSI-Anerkennung","description":"IT-Grundschutz wird in §44 Abs. 2 BSIG ausdrücklich als anerkannter Standard zum Nachweis der NIS2-Compliance referenziert. Eine ISO 27001-Zertifizierung kann Ihren Fall unterstützen, wird aber nicht spezifisch im Gesetz genannt. Wenn das BSI sowohl Autor des Frameworks als auch Durchsetzungsbehörde ist, zählt die Abstimmung."},"coverage":{"title":"Anforderungsabdeckung","description":"Der Grundschutz deckt 100 % der CIR 2024/2690-Anforderungen durch seine Kompendium-Bausteine ab. ISO 27001 deckt Informationssicherheitsmanagement breit ab, adressiert aber nicht spezifisch alle §30 BSIG-Maßnahmen - insbesondere die NIS2-spezifischen Vorfallmeldefristen, Lieferkettenpflichten und die Geschäftsführerhaftung. Sie bräuchten ISO 27001 plus zusätzliche Lückenfüllung."},"language":{"title":"Sprache & Methodik","description":"Der Grundschutz wird auf Deutsch, vom BSI, für deutsche Organisationen entwickelt. Die Terminologie entspricht exakt dem BSIG. ISO 27001 ist ein internationaler Standard in englischer Sprache mit anderer Terminologie und einer weniger präskriptiven Methodik. Für ein 100-Personen-Mittelstandsunternehmen ist die konkrete, deutschsprachige Umsetzungsanleitung des Grundschutzes deutlich praktischer als die abstrakten Kontrollziele von ISO 27001."}}},"benefits":{"heading":"Warum das für Ihr Unternehmen wichtig ist","description":"Für mittelständische deutsche Unternehmen bietet der Grundschutz-Weg drei konkrete Vorteile gegenüber alternativen Compliance-Ansätzen.","items":{"audit":{"title":"Prüfungsvorteil","description":"Wenn das BSI Ihre NIS2-Compliance prüft, bedeutet die Vorlage grundschutz-strukturierter Nachweise, dass der Prüfer Ihre Sprache spricht. Methodik, Dokumentationsstruktur und Nachweiserwartungen sind standardisiert. Das führt zu schnelleren Prüfungen, weniger Missverständnissen und klareren Ergebnissen."},"alignment":{"title":"BSI-Abstimmung","description":"Das BSI veröffentlicht das Grundschutz-Kompendium, setzt die NIS2-Compliance durch und prüft Ihre Umsetzung. Die Verwendung ihrer eigenen Methodik stellt sicher, dass Ihre Interpretation der Anforderungen mit ihrer übereinstimmt. Es gibt keine Interpretationslücke - dieselbe Organisation, die die Regeln definiert, liefert auch den Leitfaden."},"certainty":{"title":"Rechtssicherheit","description":"§44 Abs. 2 BSIG verleiht der Grundschutz-Umsetzung ausdrücklich die rechtliche Anerkennung als Compliance-Nachweis. Dies ist die stärkste verfügbare Rechtsposition: Sie folgen der vom Gesetz selbst anerkannten Methodik. Im Streitfall können Sie auf eine konkrete gesetzliche Bestimmung verweisen, die Ihren Ansatz validiert - nicht nur auf branchenübliche Best Practice oder Beratereinschätzungen."}}},"ctaCard":{"heading":"Auf dem Grundschutz-Framework aufgebaut","description":"Die Plattform strukturiert alle 49 BSIG-Anforderungen nach der IT-Grundschutz-Methodik, mit Nachweisvorlagen und prüfungsfertiger Dokumentation, die der Struktur des BSI selbst folgt."},"cta":"NIS2-Compliance starten"},"costs":{"meta":{"title":"NIS2-Kosten für den Mittelstand","description":"Was NIS2-Compliance mittelständische Unternehmen tatsächlich kostet. Aufschlüsselung: interner Aufwand, externe Beratung, Tools und Schulungen."},"title":"NIS2-Compliance-Kosten","subtitle":"Realistische Kostenerwartungen für mittelständische Unternehmen (50-250 Mitarbeiter). Was Sie tatsächlich investieren müssen - im Vergleich zu dem, was Berater Ihnen verkaufen wollen.","overview":{"heading":"Die Realität der NIS2-Kosten","p1":"NIS2-Compliance ist nicht kostenlos, muss aber auch kein sechsstelliges Beratungsprojekt sein. Der größte Kostenfaktor ist die interne Arbeitszeit - jemand muss die Anforderungen durcharbeiten, Maßnahmen dokumentieren und die Umsetzung koordinieren.","p2":"Für ein typisches mittelständisches Unternehmen (50-250 Mitarbeiter) sind Gesamtkosten im ersten Jahr zwischen 30.000 und 120.000 Euro realistisch - abhängig vom Reifegrad, der Branchenkomplexität und dem Verhältnis von Eigenleistung zu externer Unterstützung."},"approaches":{"heading":"Vier Wege zur Compliance","prosLabel":"Vorteile","consLabel":"Nachteile","consultants":{"title":"Managementberatung","price":"150.000-500.000 €","description":"Big Four oder spezialisierte Cybersicherheitsberatungen (KPMG, Deloitte, PwC oder Boutique-Firmen wie HiSolutions oder Secunet). Sie bewerten Ihren aktuellen Stand, schreiben Richtlinien, implementieren Maßnahmen und bereiten Sie auf das Audit vor. Typische Laufzeit: 6-12 Monate.","pros":["Tiefe Expertise und regulatorisches Wissen","Bewältigen Komplexität - geeignet für KRITIS-Betreiber","Liefern verteidigungsfähige externe Validierung"],"cons":["Für die meisten Mittelständler unerschwinglich teuer","Wissen geht, wenn die Berater gehen","Entwickeln oft überdimensionierte Lösungen jenseits der gesetzlichen Anforderungen","Lange Projektlaufzeiten - 6+ Monate sind üblich"]},"enterprise":{"title":"Enterprise-GRC-Plattformen","price":"100.000+ €/Jahr","description":"Plattformen wie ServiceNow GRC, SAP GRC oder Archer. Für große Unternehmen mit dedizierten GRC-Teams gebaut. Leistungsfähig, aber komplex - erfordern Implementierungsprojekte und laufende Administration. Oft mit Pflicht-Professional-Services verkauft.","pros":["Umfassende Funktionalität für große Organisationen","Integration in Enterprise-IT-Ökosysteme","Etablierter Herstellersupport und Langlebigkeit"],"cons":["Allein die Lizenzkosten übersteigen 100.000 €/Jahr","Implementierungsprojekte kosten weitere 50.000-200.000 €","Erfordern dediziertes GRC-Personal zum Betrieb","Massiv überdimensioniert für ein 100-Personen-Unternehmen"]},"usPlatforms":{"title":"US-Compliance-Plattformen","price":"7.500+ €/Jahr","description":"Plattformen wie Vanta, Drata oder Secureframe. Für SOC 2 und ISO 27001 Compliance konzipiert, primär für US-Tech-Startups. Einige bieten NIS2 als Framework-Option an, aber die Abdeckung ist oberflächlich - sie verstehen weder BSIG, noch Grundschutz, noch BSI-Registrierung.","pros":["Moderne Benutzeroberfläche und gute User Experience","Automatisierte Nachweissammlung über Cloud-Integrationen","Vernünftige Preise im Vergleich zu Enterprise-Lösungen"],"cons":["NIS2-Abdeckung ist ein Checkbox-Zusatz, nicht das Kernprodukt","Kein Verständnis der BSIG-Besonderheiten (§38 Geschäftsführerhaftung, §32 Meldepflichten)","Keine Grundschutz-Ausrichtung - der §44(2)-Vorteil entfällt","Support und Dokumentation nur auf Englisch","BSI-Prüfer erkennen die Framework-Struktur nicht an"]},"diy":{"title":"Intern / Eigenleistung","price":"20.000-80.000 €","description":"Eigenständiger Compliance-Aufbau mit Tabellenkalkulationen, Dokumentvorlagen und interner Personalzeit. Die günstigste Option bei den direkten Kosten, aber die teuerste bei den versteckten Kosten: Lernkurve, Risiko der Non-Compliance und keine externe Validierung.","pros":["Niedrigste direkte Kosten","Volle Kontrolle über den Prozess","Interner Wissenserhalt"],"cons":["Massiver Zeitaufwand - 200-500 Stunden Personalzeit","Hohes Risiko von Lücken, die erst beim BSI-Audit auffallen","Keine strukturierte Methodik oder Fortschrittsverfolgung","Tabellenbasierte Nachweise sind schwer zu pflegen und zu prüfen","Kein Nachweis des Umsetzungszeitplans gegenüber dem BSI möglich"]}},"breakdown":{"heading":"Realistische Kosten für ein 100-Personen-Unternehmen","description":"Unabhängig vom gewählten Ansatz - diese Kostenkategorien betreffen jedes NIS2-betroffene Unternehmen. Die Zahlen gehen von einem 100-Personen-Unternehmen in einem regulierten Sektor ohne bestehendes ISMS aus.","headers":{"item":"Kostenposition","oneTime":"Einmalig","annual":"Jährlich"},"rows":{"assessment":{"item":"Gap-Analyse & Scoping","oneTime":"5.000-15.000 €","annual":"-"},"documentation":{"item":"Richtlinien & Dokumentation","oneTime":"10.000-30.000 €","annual":"2.000-5.000 €"},"technical":{"item":"Technische Maßnahmen","oneTime":"15.000-50.000 €","annual":"5.000-15.000 €"},"training":{"item":"Mitarbeiterschulungen","oneTime":"3.000-8.000 €","annual":"3.000-8.000 €"},"maintenance":{"item":"Laufendes Compliance-Management","oneTime":"-","annual":"10.000-25.000 €"},"total":{"item":"Gesamt","oneTime":"33.000-103.000 €","annual":"20.000-53.000 €"}}},"nisd2Approach":{"heading":"Der NISD2.eu-Ansatz","description":"Die Plattform eliminiert die teuersten Teile der NIS2-Compliance: Interpretation, Dokumentationsstruktur und Nachweismanagement.","items":["49 BSIG-Anforderungen nach Grundschutz-Methodik vorstrukturiert - keine Gap-Analyse nötig, um zu wissen, was erforderlich ist","Integrierte Formular-Pipeline erzeugt auditfähige Dokumentation beim Ausfüllen unternehmensspezifischer Details - keine Richtlinien von Grund auf schreiben","Management-Genehmigungsworkflows mit zeitgestempelten Sign-offs erzeugen §38-BSIG-Nachweise automatisch - kein separates Tracking nötig","Fortschrittsverfolgung über alle 13 Compliance-Module mit Nachweisupload - ersetzt Tabellenkalkulationen durch ein auditfähiges System"]},"cta":{"heading":"Sehen Sie, wie NIS2-Compliance aussieht","description":"Erkunden Sie die Plattform, sehen Sie die Anforderungsstruktur und verstehen Sie genau, was NIS2-Compliance für Ihr Unternehmen bedeutet - bevor Sie Investitionsentscheidungen treffen.","button":"NIS2-Compliance-Prozess starten"}},"mission":{"meta":{"title":"Europas NIS2-Rechnung halbieren - Unsere Mission","description":"NIS2 wird europäische Unternehmen 31,2 Milliarden Euro pro Jahr kosten. Hier ist die Aufschlüsselung - und unser Plan, sie zu halbieren."},"badge":"Unsere Mission","title":"Halbiert Europas NIS2-Rechnung.","subtitle":"Das 31-Milliarden-Euro-Problem - und unser Plan, es zu lösen.","problem":{"heading":"Das 31-Milliarden-Euro-Problem","p1":"NIS2 wird europäische Unternehmen 31,2 Milliarden Euro pro Jahr kosten (Frontier Economics, 2023). Das sind 0,31% des Umsatzes jedes regulierten Unternehmens. Für immer.","p2":"Der Großteil davon ist keine Sicherheit. Es ist Reibung. Übersetzung, Interpretation, Papierkram, Audit-Vorbereitung - Arbeit, die jedes Unternehmen einzeln machen muss, weil niemand sie einmal für alle gemacht hat."},"breakdown":{"heading":"Woraus die 31,2 Milliarden Euro bestehen","description":"Frontier Economics' Aufschlüsselung der EU-weiten NIS2-Compliance-Kosten nach den vier Kostenkategorien.","footnote":"Quelle: Frontier Economics, Assessing the Economic Impact of EU Initiatives on Cybersecurity, Juli 2023.","items":{"staff":{"label":"Personal (Compliance- + Sicherheitsstellen)","value":"14 Mrd. €"},"consultants":{"label":"Berater & Beratungsleistungen","value":"8 Mrd. €"},"software":{"label":"Software (Compliance- + Sicherheits-Tools)","value":"5 Mrd. €"},"hardware":{"label":"Hardware (Firewalls, Gateways, Appliances)","value":"4 Mrd. €"}}},"plan":{"heading":"Wie wir es halbieren","p1":"Wir streichen keine Hardware. Wir streichen keine Sicherheitstools. Die sind real und notwendig.","p2":"Wir streichen die Reibung. Die Übersetzungsarbeit, die Interpretationsarbeit, den Papierkram - einmal gemacht, strukturiert, kostenlos, für alle geteilt."},"savings":{"heading":"Woher die 16 Milliarden Euro Ersparnis kommen","description":"Vier Hebel, vier Kostenpools. Zusammen halbieren sie die Rechnung.","total":"16,5 Mrd. € Ersparnis pro Jahr","items":{"consultants":{"label":"Berater-Interpretation ersetzen","value":"6 Mrd. € Ersparnis"},"internal":{"label":"Internen Aufwand verdichten","value":"5 Mrd. € Ersparnis"},"evidence":{"label":"Nachweise standardisieren (Audit + Lieferanten + Übertechnik)","value":"4 Mrd. € Ersparnis"},"software":{"label":"Compliance-Software-Bloat eliminieren","value":"1,5 Mrd. € Ersparnis"}}},"tactics":{"heading":"Wie jede Einsparung tatsächlich funktioniert","description":"Der Großteil der NIS2-Kosten ist keine Sicherheitsarbeit - es ist Koordinationsarbeit, die in jedem Unternehmen einzeln gemacht wird. Wir machen sie einmal, mit einem strengen Standard, und teilen das Ergebnis. Jede Karte unten benennt die Kosten, die wegfallen, nicht die Funktion, die die Arbeit erledigt.","items":{"consultants":{"heading":"Berater-Interpretation ersetzen","amount":"6 Mrd. € Ersparnis","principle":"Berater werden bezahlt, das Gesetz zu übersetzen. Wir übersetzen es einmal.","tactics":["Keine länderspezifischen Beraterhonorare. Wir verwenden IT-Grundschutz und CIR 2024/2690 als Standard - die strengsten Anforderungen in der EU. Wer unsere erfüllt, erfüllt die jedes Mitgliedstaats. Keine separaten Mandate für deutsches BSIG, französische Umsetzung, italienische Implementierung.","Kein Sektor-Aufschlag. Wir pflegen keine 13 Sektor-Varianten. Ein strenger Standard deckt bereits die Kontrollen aller Sektoren ab - einfacher für uns, günstiger für den Kunden.","Keine 'Was bedeutet dieser Artikel'-Stunden. Die Interpretationsarbeit, für die Berater abrechnen, wird einmal auf der Plattform gemacht, in einfacher Sprache, für jede BSIG-Anforderung.","Kein Bezahlen für Rechtsmeinungen hinter einer Paywall. Der offene NIS2/BSIG-Datensatz (in Entwicklung) erlaubt jedem Prüfer, die Interpretation direkt nachzuvollziehen - keine Vendor-Intransparenz, um die herum bezahlt werden muss."]},"internal":{"heading":"Internen Aufwand verdichten","amount":"5 Mrd. € Ersparnis","principle":"Der Großteil des internen Aufwands ist mehrfach erledigter Papierkram. Strukturierte Daten werden einmal erfasst.","tactics":["Keine Interpretationsphase. Unternehmen verbringen derzeit interne Personalzeit damit, herauszufinden, was NIS2 von ihnen verlangt. Die Plattform liefert die Anforderungen vorstrukturiert.","Kein Kopieren zwischen Systemen. Compliance-Daten werden derzeit getrennt in Tabellen, Richtlinien und Lieferantenregistern gepflegt. Die Plattform erfasst jede Information einmal und stellt sie dort dar, wo sie gebraucht wird.","Kein separater Dokumentationsdurchgang. Compliance-Arbeit und ihre Dokumentation sind derzeit zwei Durchgänge. Auf der Plattform erfasst der Audit-Trail die Arbeit, während sie passiert.","Kein manueller Fristen-Scheduler. Die BSIG-Kaskade (24h/72h/1m-Vorfallmeldungen, Registrierungserneuerungen, Schulungszyklen) erfordert derzeit manuelles Tracking. Die Plattform verfolgt sie automatisch."]},"evidence":{"heading":"Nachweise standardisieren","amount":"4 Mrd. € Ersparnis","principle":"Dieselben Nachweise werden derzeit pro Audit, pro Lieferant, pro Behörde neu erstellt.","tactics":["Keine 10 Fragebögen pro Lieferant. Ein Lieferant, der 10 NIS2-Kunden bedient, füllt derzeit 10 verschiedene Sicherheitsfragebögen aus. Mit dem NIS2-Lieferantenprofil - ein offener Standard, GRC-Plattform-unabhängig - füllt er einen aus. Die größte Einzelersparnis in diesem Bereich.","Kein Vorfallbericht-Schreiben unter Fristdruck. Die 24h/72h/1m-Berichte folgen BSI-formatfertigen Vorlagen, statt unter laufender Uhr von Grund auf geschrieben zu werden.","Kein separater Audit-Vorbereitungszyklus. Auditfähige Nachweise entstehen kontinuierlich während der Arbeit - nicht in Panik im Monat davor.","Kein Übertechnik-Aufschlag. Berater übertechnisieren, um mehr Stunden abzurechnen. Die Plattform beschränkt sich auf 'angemessen und verhältnismäßig' (§30(1) BSIG) - Unternehmen zahlen nicht für unnötige Kontrollen."]},"software":{"heading":"Compliance-Software-Bloat eliminieren","amount":"1,5 Mrd. € Ersparnis","principle":"Wir ersetzen den NIS2-Anteil der Compliance-Software - nicht die Sicherheitstools, und nicht die anderen Frameworks dieser Tools.","tactics":["Keine NIS2-Modulgebühren auf Enterprise-GRC-Suiten. Unternehmen, die ServiceNow GRC, Archer oder MetricStream nutzen, zahlen derzeit für den NIS2-Teil. Wir ersetzen diesen Teil. Der Rest dieser Tools bleibt, wo er ist.","Kein NIS2-Add-on auf US-Compliance-Plattformen. Vanta, Drata und Secureframe berechnen ihr NIS2-Framework-Modul. Speziell für NIS2 ersetzt. Ihre SOC-2- und ISO-27001-Module bleiben unberührt.","Hardware, SIEM, EDR, Verschlüsselung und Firewalls bleiben. Das ist operative Sicherheit und notwendig. Die Plattform ersetzt sie nicht und gibt nicht vor, es zu tun."]}}},"free":{"heading":"Was wir bereitstellen","description":"Die Kernplattform ist heute kostenlos und wir beabsichtigen, das so zu halten. Manche fortgeschrittenen Funktionen könnten irgendwann kostenpflichtig werden - das Prinzip ist, dass NIS2-Compliance deutlich günstiger sein sollte als der berater-getriebene Status quo, nicht null auf jeder Position. Und wir binden Sie nicht ein: offener Datensatz, exportierbare Nachweise, GRC-Plattform-unabhängiges Lieferantenprofil.","items":["Die NIS2-Kern-Compliance-Plattform mit jeder BSIG-Anforderung","Plain-language-Anleitung für jede Anforderung","Das NIS2-Lieferantenprofil - offener Standard, GRC-Plattform-unabhängig","Video-Tutorials für jede NIS2-Einrichtungskategorie","NIS2-Geschäftsführerschulung — strukturierter Kurs mit Glossar, Quizfragen und Fortschrittsverfolgung","Cybersicherheits-Awareness-Schulungsvideos","Vorlagen für Vorfallmeldungen und 24h / 72h / 1-Monat-Workflows","Auditfähige Nachweispfade, generiert während der Arbeit","Benachrichtigungen und Fristverfolgung für die BSIG-Meldekaskade","Der offene NIS2- / BSIG-Anforderungsdatensatz (in Entwicklung)","Kein Vendor-Lock-in: offener Datensatz, exportierbare Nachweise, keine proprietären Formate"]},"paid":{"heading":"Wofür wir Geld nehmen","p1":"Schulungskurse für Geschäftsführung und Personal. Geführte Beratung für unternehmensspezifische Entscheidungen — Risikobehandlungs-Abwägungen, Lieferantenverhandlungen, komplexe Vorfallreaktion. Premium-Funktionen nach Entwicklung. Self-Host-Lizenzierung für Einrichtungen, die die Plattform intern betreiben müssen.","p2":"Die Kern-Compliance-Plattform bleibt kostenlos. Der offene Datensatz bleibt offen. Das Prinzip ist, dass die Rechnung gekürzt werden soll — nicht zu uns verschoben."},"team":{"heading":"Wer wir sind","description":"Zwei Gründer, die versuchen, die NIS2-Kosten zu halbieren."},"cta":{"heading":"Jetzt starten","description":"Prüfen Sie, ob NIS2 für Sie gilt - oder springen Sie direkt in die Plattform.","checkButton":"NIS2-Betroffenheit prüfen","platformButton":"Kostenlose Plattform starten"}},"smeGuide":{"meta":{"title":"NIS2-Umsetzung für den Mittelstand","description":"NIS2-Umsetzungsleitfaden für Unternehmen mit 50-250 Mitarbeitern. 12-Wochen-Fahrplan, Rollenverteilung und praktische Tipps zur BSIG-Compliance."},"badge":"Mittelstand / KMU","title":"NIS2-Umsetzung für den Mittelstand","subtitle":"Ein praktischer 12-Wochen-Umsetzungsfahrplan für deutsche Unternehmen mit 50-250 Mitarbeitern - kein Sicherheitsteam erforderlich.","overview":{"heading":"Sie sind betroffen. Was nun?","p1":"Schätzungsweise 29.500 Unternehmen in Deutschland fallen unter den NIS2-Anwendungsbereich. Wenn Sie mehr als 50 Mitarbeiter haben und in einem betroffenen Sektor tätig sind - Abfallwirtschaft, Lebensmittelproduktion, Verarbeitendes Gewerbe, Energie, Transport, Gesundheit, digitale Infrastruktur - gehören Sie mit hoher Wahrscheinlichkeit dazu. Das BSIG trat am 6. Dezember 2025 in Kraft, und die BSI-Registrierungsfrist war der 6. März 2026.","p2":"Was die meisten Berater Ihnen nicht sagen: Für ein mittelständisches Unternehmen mit grundlegender IT ist die NIS2-Compliance machbar. Es ist kein 6-monatiges, sechsstelliges Projekt. Die meisten der 49 BSIG-Anforderungen sind einmalige Dokumentationsaufgaben - Richtlinien, Risikobewertungen, Verfahren. Nur wenige erfordern laufende operative Prozesse. Das Gesetz verlangt ‚angemessene' Maßnahmen proportional zu Ihrem Risiko - keine Fortune-500-Sicherheitsinfrastruktur.","p3":"Dieser Leitfaden gibt Ihnen den praktischen Plan: einen 12-Wochen-Fahrplan, die Rollen, die Sie brauchen (alle in Teilzeit, alle bestehende Mitarbeiter), die häufigsten Fehler, die Unternehmen Ihrer Größe machen, und die Prioritätsreihenfolge für die 10 Pflichtmaßnahmen nach §30 BSIG. Keine Theorie, keine Panikmache - nur die konkreten Schritte."},"audience":{"heading":"Für wen dieser Leitfaden ist","description":"Dieser Leitfaden richtet sich gezielt an mittelständische deutsche Unternehmen, die erstmals mit NIS2 in Berührung kommen.","items":{"size":"Unternehmen mit 50-250 Mitarbeitern in NIS2-Sektoren","limitedIt":"Begrenzte IT-Kapazität - vielleicht 2-5 Personen, kein eigenes Sicherheitsteam","noCompliance":"Keine eigene Compliance-Abteilung und keine GRC-Erfahrung","firstTime":"Erstmaliger Kontakt mit NIS2, BSIG oder BSI-Registrierung"}},"roadmap":{"heading":"Umsetzungsfahrplan","phases":{"foundation":{"title":"Grundlagen","weeks":"Wochen 1-2","description":"Schaffen Sie die organisatorischen Grundlagen: Beim BSI registrieren, Verantwortlichkeiten zuweisen und die Geschäftsleitung über ihre persönliche Haftung nach §38 BSIG informieren. In dieser Phase geht es darum, die richtigen Personen einzubinden und den Geltungsbereich festzulegen.","actions":["BSI-Registrierung über Mein Unternehmenskonto + BSI-Portal","Compliance-Verantwortlichen benennen (Teilzeitrolle, keine Neueinstellung)","Management-Briefing zu §38 BSIG-Pflichten und persönlicher Haftung","Compliance-Plattform einrichten und Teammitglieder einladen","Initiale Einordnung: feststellen, welche Einrichtungskategorie gilt (wesentlich oder wichtig)"]},"risk":{"title":"Risikobewertung","weeks":"Wochen 3-4","description":"Erstellen Sie Ihr Asset-Inventar und führen Sie die initiale Risikobewertung durch. Dies ist das Fundament, auf dem alles andere aufbaut - §30 Abs. 1 BSIG Maßnahme 1. Nutzen Sie die BSI-200-3-Risikoanalyse-Methodik: Assets identifizieren, Bedrohungen ermitteln, Eintrittswahrscheinlichkeit und Auswirkung bewerten, Behandlung festlegen.","actions":["Asset-Inventar erstellen - identische Assets gruppieren (z. B. ‚45 Laptops' = 1 Eintrag)","Lieferanten mit Zugang zu Ihren Systemen identifizieren und kategorisieren","Initiale Risikobewertung durchführen: Eintrittswahrscheinlichkeit × Auswirkung pro Asset","Risikobehandlungsentscheidungen dokumentieren: akzeptieren, mindern, übertragen oder vermeiden","Risiken den BSIG-Maßnahmen zuordnen - welche Kontrollen adressieren welche Risiken"]},"controls":{"title":"Kontrollen & Dokumentation","weeks":"Wochen 5-8","description":"Dokumentieren Sie Ihre Sicherheitskontrollen und Verfahren. Diese Phase hat den größten Umfang, aber die meisten Anforderungen sind einmalige Dokumentationsaufgaben. Konzentrieren Sie sich darauf, zu dokumentieren, was Sie bereits tun (die meisten Unternehmen haben informelle Prozesse) und echte Lücken zu schließen.","actions":["Sicherheitsrichtlinien erstellen oder übernehmen (Informationssicherheit, Zugriffskontrolle, Vorfallreaktion)","Kryptographie-Einsatz und Schlüsselmanagement-Ansatz dokumentieren","Vorfallreaktionsprozess mit 24h/72h/1-Monat-Kaskade aufsetzen","Zugriffskontrolle prüfen: Least-Privilege-Prinzip, On-/Offboarding-Verfahren","Betriebskontinuität und Backup-Verfahren dokumentieren","MFA für kritische Systeme implementieren oder dokumentieren"]},"evidence":{"title":"Nachweise & Prüfungsbereitschaft","weeks":"Wochen 9-12","description":"Den Kreis schließen: Billigungen der Geschäftsleitung, Schulungsabschlüsse, Nachweissammlung und eine erste Wirksamkeitsprüfung. Diese Phase wandelt Ihre dokumentierten Maßnahmen in prüfbare Compliance-Nachweise um.","actions":["Geschäftsleitung billigt alle Cybersicherheitsmaßnahmen förmlich (§38-Pflicht)","Verpflichtende Cybersicherheitsschulung der Geschäftsleitung abschließen","Nachweisdokumente hochladen: Screenshots, Konfigurationen, Richtlinienfreigaben","Erste Wirksamkeitsbewertung durchführen - funktionieren die Kontrollen tatsächlich?","Compliance-Bericht für interne Prüfung exportieren"]}}},"roles":{"heading":"Rollen, die Sie brauchen","description":"Sie müssen niemanden einstellen. Dies sind Teilzeitaufgaben für bestehende Mitarbeiter.","items":{"complianceLead":{"title":"Compliance-Verantwortlicher (4-8 Stunden/Woche)","description":"Treibt den Prozess voran, füllt Anforderungsformulare aus, koordiniert mit IT und Geschäftsleitung. Üblicherweise der IT-Leiter, Qualitätsmanager oder Betriebsleiter."},"itContact":{"title":"IT-Ansprechpartner (2-4 Stunden/Woche)","description":"Liefert technischen Input: Asset-Details, Netzwerkarchitektur, Verschlüsselungsstatus, Zugriffskontrollen. Ihr Admin oder IT-Manager."},"managementSponsor":{"title":"Management-Sponsor (1-2 Stunden/Woche)","description":"Prüft und billigt Maßnahmen, absolviert Schulungen, demonstriert Überwachung. Vorgeschrieben durch §38 BSIG - nicht delegierbar."},"externalAuditor":{"title":"Externer Prüfer (optional)","description":"Für KRITIS-Betreiber: alle 3 Jahre vorgeschrieben. Für wesentliche und wichtige Einrichtungen: optional, aber empfohlen für den ersten Compliance-Zyklus zur Validierung Ihrer Arbeit."}}},"mistakes":{"heading":"Häufige Fehler","description":"Was wir bei Unternehmen immer wieder sehen - und wie Sie es vermeiden.","items":{"waiting":{"title":"Auf ‚die endgültige Anleitung' warten","description":"Das Gesetz gilt seit Dezember 2025. Die CIR definiert die technischen Maßnahmen. Es kommt keine weitere Anleitung, die ändern würde, was Sie tun müssen. Fangen Sie jetzt an."},"overEngineering":{"title":"Die Lösung überdimensionieren","description":"Ein 100-Personen-Abfallwirtschaftsunternehmen braucht kein SOC und kein SIEM. Passen Sie Ihre Kontrollen an Ihr tatsächliches Risikoprofil an. Das BSIG verlangt ‚angemessene' Maßnahmen, nicht maximale Maßnahmen."},"noManagement":{"title":"NIS2 als IT-Projekt behandeln","description":"§38 BSIG macht dies zu einer Managementverantwortung. Wenn der Geschäftsführer nicht eingebunden ist, sind Sie bereits nicht compliant. Planen Sie das Management-Briefing in Woche 1."},"ignoreSupplyChain":{"title":"Lieferkettensicherheit ignorieren","description":"NIS2 verlangt ausdrücklich die Bewertung der Cybersicherheit Ihrer Lieferanten. Das überrascht viele Unternehmen. Beginnen Sie frühzeitig mit der Dokumentation der Lieferantenbeziehungen."},"paperOnly":{"title":"Papier-Compliance ohne echte Maßnahmen","description":"Richtlinien zu schreiben, die niemand liest, reicht nicht. Das BSI kann Nachweise verlangen, dass Maßnahmen tatsächlich umgesetzt und wirksam sind. Bauen Sie echte Prozesse auf, nicht nur Dokumente."}}},"ctaCard":{"heading":"Starten Sie Ihre Umsetzung noch heute","description":"Die Plattform führt Sie durch alle 49 BSIG-Anforderungen in der richtigen Reihenfolge, mit strukturierten Formularen, Nachweisupload und Management-Freigabe-Workflows - genau das, was ein Mittelstandsunternehmen braucht, um ohne Berater compliant zu werden."},"cta":"NIS2-Compliance starten"},"checklist":{"meta":{"title":"NIS2-Checkliste - Alle BSIG-Anforderungen","description":"Vollständige NIS2-Compliance-Checkliste: 10 Pflichtmaßnahmen, Vorfallmeldung, Registrierung und Geschäftsführerpflichten in einer Übersicht."},"title":"NIS2-Compliance-Checkliste","subtitle":"Eine strukturierte Übersicht aller wesentlichen NIS2/BSIG-Pflichten. Nutzen Sie diese, um Ihren aktuellen Status zu bewerten und Lücken zu identifizieren.","overview":{"p1":"§30 BSIG definiert 10 verpflichtende Cybersicherheitsmaßnahmen, die jedes NIS2-betroffene Unternehmen in Deutschland umsetzen muss. Diese Maßnahmen sind nicht optional und nicht verhandelbar - sie gelten für alle wesentlichen Einrichtungen und wichtigen Einrichtungen unabhängig von Größe oder Branche. Die CIR 2024/2690 ergänzt technische Details zu jeder Maßnahme.","p2":"Nutzen Sie diese Checkliste, um Ihren aktuellen Stand gegen jede Maßnahme zu bewerten, Lücken zu identifizieren und Ihre Umsetzung zu planen. Für jede Maßnahme listen wir die Kernanforderungen und die Nachweise auf, die das BSI bei einem Audit erwarten würde. Arbeiten Sie sie in der Prioritätsreihenfolge am Ende ab - sie bauen aufeinander auf, daher ist die Reihenfolge wichtig."},"howToUse":{"heading":"So nutzen Sie diese Checkliste","items":{"i1":"Arbeiten Sie jede Maßnahme der Reihe nach durch - sie bauen aufeinander auf","i2":"Dokumentieren Sie für jede Anforderung Ihren aktuellen Stand und identifizieren Sie Lücken","i3":"Fokus auf Nachweise: Fragen Sie bei jeder Anforderung „Wie würden wir das dem BSI beweisen?“"}},"measures":{"heading":"10 Pflichtmaßnahmen (§30 BSIG)","description":"Jede Maßnahme unten entspricht §30(2) BSIG und wird durch CIR 2024/2690 weiter spezifiziert. Die Aufwandsbewertung bezieht sich auf ein typisches 100-Personen-Unternehmen, das bei Null anfängt.","keyRequirements":"Kernanforderungen","evidenceNeeded":"Erforderliche Nachweise","items":{"m1":{"title":"Risikoanalyse & Informationssicherheitsrichtlinien","description":"§30(2)(1) BSIG - Risikoanalyseprozesse und Informationssicherheitsrichtlinien etablieren. Dies ist das Fundament: Ohne Risikobewertung lässt sich keine andere Maßnahme begründen. Das BSI erwartet einen methodischen Ansatz (BSI-200-3 empfohlen), keine Ad-hoc-Risikolisten.","requirements":["Rahmenwerk für Informationssicherheitsmanagement etablieren","Regelmäßige Risikobewertungen aller kritischen Assets durchführen","Risikoakzeptanzkriterien und Behandlungsverfahren definieren","Sicherheitsrichtlinien mindestens jährlich pflegen und überprüfen"],"evidence":["Dokumentierte Risikobewertung mit Asset-Inventar","Von der Geschäftsleitung unterzeichnete Informationssicherheitsrichtlinie","Risikobehandlungsplan mit zugewiesenen Verantwortlichen"],"effort":"Hoch - grundlegend, zuerst erledigen"},"m2":{"title":"Vorfallbehandlung","description":"§30(2)(2) BSIG - Prozesse zur Erkennung, Bewältigung und Meldung von Sicherheitsvorfällen etablieren. §32 BSIG definiert strenge Meldefristen: Erstmeldung an das BSI innerhalb von 24 Stunden, Follow-up innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Sie brauchen Prozesse, die diese Fristen auch um 2 Uhr nachts an einem Sonntag einhalten können.","requirements":["Verfahren zur Vorfallserkennung, -klassifizierung und -eskalation definieren","24h/72h/1M-Meldekaskade an das BSI gemäß §32 BSIG etablieren","Incident-Response-Rollen und Kontaktketten zuweisen","Nachbearbeitungs- und Lessons-Learned-Prozess implementieren"],"evidence":["Incident-Response-Plan mit definierten Rollen und Verantwortlichkeiten","BSI-Meldevorlagen und Kommunikationsverfahren","Vorfallprotokoll mit Klassifizierung, Zeitachse und Lösungsprotokollen"],"effort":"Hoch - kritisch, erfordert getestete Prozesse, nicht nur Dokumentation"},"m3":{"title":"Betriebskontinuität & Krisenmanagement","description":"§30(2)(3) BSIG - Kontinuität kritischer Dienste während und nach Sicherheitsvorfällen sicherstellen. Dies umfasst Backup-Management, Disaster Recovery und Krisenmanagement. Die CIR verlangt dokumentierte Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) für kritische Systeme.","requirements":["Kritische Geschäftsprozesse und ihre IT-Abhängigkeiten identifizieren","RTO und RPO für kritische Systeme definieren","Backup-Verfahren implementieren und testen","Krisenmanagement- und Kommunikationsverfahren etablieren"],"evidence":["Betriebskontinuitätsplan mit RTO/RPO pro kritischem System","Backup-Verfahren mit dokumentierten Testergebnissen","Krisenkommunikationsplan mit Notfallkontakten"],"effort":"Mittel - nutzt Ihre bestehende Backup-Infrastruktur"},"m4":{"title":"Lieferkettensicherheit","description":"§30(2)(4) BSIG - Cybersicherheitsrisiken in der Lieferkette bewerten und managen. NIS2 erkennt an, dass Ihre Sicherheit nur so stark ist wie Ihr schwächster Lieferant. Sie müssen Lieferanten bewerten, die Zugang zu Ihren Systemen, Daten oder Netzwerken haben - und Sicherheitsanforderungen in Verträge aufnehmen.","requirements":["Alle Lieferanten mit Zugang zu Systemen, Daten oder Netzwerk inventarisieren","Cybersicherheitsstatus kritischer Lieferanten bewerten","Cybersicherheitsanforderungen in Lieferantenverträge aufnehmen","Sicherheitsstatus der Lieferanten laufend überwachen"],"evidence":["Lieferanteninventar mit Risikokategorisierung","Lieferantenbewertungsfragebögen oder Audit-Ergebnisse","Vertragsklauseln mit Bezug auf Cybersicherheitsanforderungen"],"effort":"Mittel - zeitaufwändig bei der erstmaligen Erfassung der Lieferantendaten"},"m5":{"title":"Sicherheit bei Beschaffung, Entwicklung & Wartung","description":"§30(2)(5) BSIG - Sicherheitsaspekte bei Beschaffung, Entwicklung und Wartung von IT-Systemen berücksichtigen. Das bedeutet Sicherheitsanforderungen in Beschaffungsspezifikationen, Schwachstellenbehandlungsverfahren und sichere Konfigurationsbaselines für neue Systeme.","requirements":["Sicherheitsanforderungen für die IT-Beschaffung definieren","Schwachstellenbehandlungs- und Offenlegungsverfahren etablieren","Sichere Konfigurationsbaselines für neue Systeme implementieren","Sicherheitsprüfungen in Systemabnahmetests einbeziehen"],"evidence":["Beschaffungsrichtlinien mit Sicherheitsanforderungen","Dokumentation des Schwachstellenmanagement-Prozesses","Sichere Konfigurationsstandards pro Systemtyp"],"effort":"Mittel - hauptsächlich Dokumentation, wenn bereits Beschaffungsprozesse bestehen"},"m6":{"title":"Wirksamkeitsbewertung","description":"§30(2)(6) BSIG - Wirksamkeit der Cybersicherheits-Risikomanagementmaßnahmen bewerten. Das ist die Audit-Schleife: Sie müssen regelmäßig prüfen, ob Ihre Maßnahmen tatsächlich funktionieren, nicht nur ob sie existieren. KPIs, interne Audits und Korrekturmaßnahmenprozesse sind erforderlich.","requirements":["Kennzahlen und KPIs für Cybersicherheitswirksamkeit definieren","Regelmäßige interne Audits oder Bewertungen durchführen","Korrekturmaßnahmenverfahren für identifizierte Lücken implementieren","Wirksamkeitsergebnisse an die Geschäftsleitung berichten"],"evidence":["Wirksamkeitsbewertungsberichte mit KPI-Messungen","Interner Auditplan und abgeschlossene Auditberichte","Korrekturmaßnahmenprotokoll mit Lösungsverfolgung"],"effort":"Mittel - erfordert, dass die anderen Maßnahmen bereits umgesetzt sind"},"m7":{"title":"Cybersicherheitsschulung & Sensibilisierung","description":"§30(2)(7) BSIG - Cybersicherheitsschulungs- und Sensibilisierungsprogramme implementieren. Dies umfasst alle Mitarbeiter (jährliche Sensibilisierung), IT-Personal (rollenspezifische technische Schulungen) und Geschäftsleitung (§38-BSIG-Pflicht). Der Umfang ist breiter als die meisten Unternehmen erwarten.","requirements":["Jährliche Cybersicherheits-Sensibilisierung für alle Mitarbeiter durchführen","Rollenspezifische Schulungen für IT- und Sicherheitspersonal anbieten","Sicherstellen, dass die Geschäftsleitung die §38-BSIG-Schulung absolviert","Schulungsabschluss nachverfolgen und Aufzeichnungen führen"],"evidence":["Schulungsplan mit Zielgruppen und Häufigkeiten","Schulungsabschlussnachweise mit Datum und Teilnehmerlisten","Managementschulungszertifikate gemäß §38 BSIG"],"effort":"Niedrig - viele Anbieter bieten fertige Schulungspakete an"},"m8":{"title":"Kryptographie & Verschlüsselung","description":"§30(2)(8) BSIG - Angemessene Kryptographie- und Verschlüsselungsmaßnahmen implementieren. Dokumentieren Sie, welche Verschlüsselung Sie wo und warum einsetzen. Die CIR verlangt Verschlüsselung für ruhende und übertragene Daten sowie Schlüsselmanagement-Verfahren.","requirements":["Verschlüsselungsnutzung über Systeme und Datenflüsse inventarisieren","Verschlüsselung für ruhende und übertragene Daten implementieren","Schlüsselmanagement-Verfahren etablieren (Erzeugung, Speicherung, Rotation, Widerruf)","Kryptographische Algorithmenstandards gemäß BSI TR-02102 definieren"],"evidence":["Kryptographierichtlinie mit Algorithmenstandards","Verschlüsselungsinventar: was wird wo und womit verschlüsselt","Dokumentation der Schlüsselmanagement-Verfahren"],"effort":"Niedrig bis Mittel - hauptsächlich Dokumentation dessen, was Sie bereits nutzen"},"m9":{"title":"Zugriffskontrolle & Asset-Management","description":"§30(2)(9) BSIG - Zugriffskontrolle, Identitätsmanagement und Asset-Management implementieren. Dies kombiniert Zugriffsberechtigungen (Least-Privilege-Prinzip, rollenbasierter Zugriff) mit Asset-Inventarisierung. Das Asset-Inventar aus Maßnahme 1 fließt direkt hier ein.","requirements":["Rollenbasierte Zugriffskontrolle mit Least-Privilege-Prinzip implementieren","On-/Offboarding-Verfahren für Zugriffsbereitstellung etablieren","Asset-Inventar für Hardware, Software und Daten pflegen","Privileged Access Management für administrative Konten implementieren"],"evidence":["Zugriffskontrollrichtlinie mit Rollendefinitionen","On-/Offboarding-Checklisten mit Zugriffsprüfungsprotokollen","Asset-Inventar mit zugewiesenen Verantwortlichen und Klassifizierung"],"effort":"Hoch - erfordert operative Prozessänderungen, nicht nur Dokumentation"},"m10":{"title":"Multi-Faktor-Authentifizierung & Sichere Kommunikation","description":"§30(2)(10) BSIG - Multi-Faktor-Authentifizierung und sichere Kommunikationsmaßnahmen implementieren. MFA ist für Fernzugriff, administrativen Zugriff und Zugriff auf kritische Systeme erforderlich. Sichere Kommunikation bedeutet verschlüsselte E-Mail, Messaging und Sprache für vertrauliche Informationen.","requirements":["MFA für Fernzugriff, VPN und administrative Konten implementieren","MFA für den Zugang zu kritischen Geschäftsanwendungen einführen","Sichere Kommunikationskanäle für vertrauliche Informationen etablieren","Notfallzugriffsverfahren bei MFA-Ausfall implementieren"],"evidence":["MFA-Bereitstellungsdokumentation mit abgedeckter Systemliste","Richtlinie für sichere Kommunikation und Tool-Inventar","Notfallzugriffsverfahren mit Break-Glass-Dokumentation"],"effort":"Mittel - technische Implementierung erforderlich, wenn MFA noch nicht eingeführt ist"}}},"priority":{"heading":"Prioritätsreihenfolge","description":"Nicht alle Maßnahmen sind gleich dringend. Diese Prioritätsreihenfolge spiegelt Abhängigkeiten wider - spätere Maßnahmen bauen auf früheren auf - und das Durchsetzungsrisiko. Beginnen Sie mit dem, wonach das BSI zuerst fragen wird.","tiers":{"t1":{"title":"Sofort beginnen","description":"Maßnahmen 1 (Risikoanalyse), 2 (Vorfallbehandlung), 9 (Zugriffskontrolle & Assets). Diese sind grundlegend - alles andere baut darauf auf."},"t2":{"title":"Wochen 3-6","description":"Maßnahmen 3 (Kontinuität), 4 (Lieferkette), 7 (Schulung). Diese erfordern das Asset-Inventar aus Maßnahme 1."},"t3":{"title":"Wochen 7-12","description":"Maßnahmen 5 (Beschaffung), 6 (Wirksamkeit), 8 (Kryptographie), 10 (MFA). Diese bauen auf den in Stufe 2 etablierten Kontrollen auf."}}},"ctaCard":{"heading":"Ihren Fortschritt verfolgen","description":"Die Plattform unterteilt jede dieser 10 Maßnahmen in strukturierte Anforderungen mit Nachweisupload, Management-Sign-offs und Fortschrittsverfolgung - damit Sie immer genau wissen, wo Sie stehen und was noch zu tun ist."},"cta":"NIS2-Compliance-Prozess starten"},"registration":{"meta":{"title":"NIS2-Registrierung beim BSI: Frist & Anleitung","description":"BSI-Registrierung nach §33 BSIG: Wer ist betroffen, welche Frist gilt, wie Sie sich registrieren. Aktuelle Lücke und Schritt-für-Schritt-Hinweise."},"title":"NIS2-Registrierungsanalyse","subtitle":"Rund 30.000 betroffene Einrichtungen in Deutschland. Die Registrierungsfrist lief am 6. März 2026 ab - ein erheblicher Teil der Unternehmen hat sich noch nicht registriert.","overview":{"p1":"§33 BSIG verpflichtet alle wesentlichen und wichtigen Einrichtungen, sich beim BSI zu registrieren. Diese Pflicht ist eine Selbstidentifikationspflicht - das BSI informiert Unternehmen nicht proaktiv darüber, ob sie betroffen sind. Jede Organisation muss selbst feststellen, ob sie in den Anwendungsbereich fällt, und sich innerhalb der gesetzlichen Frist registrieren.","p2":"Das BSI-Registrierungsportal (muk.bsi.bund.de) ging am 6. Januar 2026 online - einen Monat nach Inkrafttreten des BSIG. Die Registrierungsfrist nach §33 BSIG war der 6. März 2026 (3 Monate nach Inkrafttreten). Trotz klarer Vorgaben und eines zweimonatigen Zeitfensters hat ein erheblicher Teil der geschätzten 30.000 betroffenen Einrichtungen die Frist versäumt. Eine G DATA-Umfrage ergab, dass 44% der betroffenen Unternehmen von ihren NIS2-Pflichten gar nichts wussten.","p3":"Diese Analyse untersucht die aktuelle Registrierungssituation, identifiziert die Ursachen für die geringe Quote und erläutert die Konsequenzen für nicht registrierte Einrichtungen. Die Daten basieren auf BSI-Veröffentlichungen, Branchenberichten und Fachmedienanalysen."},"stats":{"heading":"Registrierungsstand in Zahlen","description":"Die Diskrepanz zwischen geschätzter Betroffenheit und tatsächlicher Registrierung zeigt das Ausmaß der Compliance-Lücke.","items":{"awareness":{"value":"44%","label":"NIS2-Pflichten unbekannt","detail":"G DATA-Umfrage (2024): 44% der deutschen Mittelstandsunternehmen wussten nicht, dass NIS2 für sie gilt - noch vor Inkrafttreten des Gesetzes."},"estimated":{"value":"~30.000","label":"Geschätzt betroffene Einrichtungen","detail":"BSI-Schätzung der Gesamtzahl betroffener Einrichtungen in Deutschland"},"portalWindow":{"value":"2 Monate","label":"Registrierungsfenster","detail":"BSI-Portal seit 6. Januar 2026. Registrierungsfrist: 6. März 2026 - ein zweimonatiges Zeitfenster für ~30.000 Einrichtungen."},"deadline":{"value":"6. März 2026","label":"Registrierungsfrist (abgelaufen)","detail":"3 Monate nach Inkrafttreten des BSIG (§33 Abs. 1). Frist ist abgelaufen - Portal bleibt offen."}}},"reasons":{"heading":"Ursachen der Registrierungslücke","description":"Vier zentrale Faktoren erklären, warum die Mehrheit der betroffenen Einrichtungen die Registrierungspflicht noch nicht erfüllt hat.","items":{"awareness":{"title":"Mangelndes Bewusstsein","description":"Viele Unternehmen im Mittelstand wissen nicht, dass sie unter NIS2 fallen. Die Betroffenheitskriterien - Sektorzugehörigkeit kombiniert mit Schwellenwerten für Mitarbeiterzahl und Umsatz - sind für Geschäftsführer ohne Compliance-Hintergrund nicht intuitiv. Insbesondere Unternehmen in neu aufgenommenen Sektoren wie Abfallwirtschaft, Lebensmittelproduktion und verarbeitendes Gewerbe erkennen ihre Betroffenheit oft nicht."},"complexity":{"title":"Komplexität der Betroffenheitsprüfung","description":"Die Feststellung, ob ein Unternehmen als wesentliche oder wichtige Einrichtung gilt, erfordert die Analyse von BSIG-Anlage 1 und 2, kombiniert mit den Schwellenwerten aus §28 und §29. Für Konzernstrukturen mit mehreren Tochtergesellschaften in verschiedenen Sektoren wird diese Prüfung zusätzlich komplex."},"resources":{"title":"Fehlende Ressourcen","description":"Mittelständische Unternehmen mit 50-250 Mitarbeitern haben selten eine Compliance-Abteilung. Die Registrierung wird häufig als zusätzliche Verwaltungsaufgabe wahrgenommen, die neben dem operativen Geschäft erledigt werden muss. Ohne dedizierte Verantwortlichkeit bleibt die Registrierung liegen."},"uncertainty":{"title":"Rechtsunsicherheit","description":"Die verzögerte Umsetzung des NIS2UmsuCG und die anfänglich unklare Abgrenzung zwischen wesentlichen und wichtigen Einrichtungen haben bei vielen Unternehmen eine Abwartehaltung erzeugt. Einige warten auf BSI-Aufforderungen, die das Gesetz jedoch nicht vorsieht - die Registrierung ist eine Bringschuld."}}},"consequences":{"heading":"Konsequenzen fehlender Registrierung","description":"Die Nichtregistrierung ist keine formale Lücke - sie ist ein eigenständiger Rechtsverstoß mit konkreten Sanktionsfolgen.","items":{"fines":{"title":"Bußgelder","description":"§65 BSIG sieht für Registrierungsverstöße Bußgelder bis zu 500.000 EUR vor. Dies gilt unabhängig davon, ob das Unternehmen die materiellen Compliance-Anforderungen des §30 BSIG erfüllt. Die Registrierung ist eine eigenständige Pflicht."},"liability":{"title":"Geschäftsführerhaftung","description":"§38 BSIG begründet die persönliche Haftung der Geschäftsleitung für die Einhaltung der NIS2-Pflichten. Die Registrierung ist die erste und grundlegendste dieser Pflichten. Ein Geschäftsführer, der die Registrierungspflicht ignoriert, kann schwerlich argumentieren, seine Überwachungspflicht erfüllt zu haben."},"enforcement":{"title":"Anordnungsbefugnis des BSI","description":"Das BSI kann nach §64 BSIG Unternehmen zur Registrierung verpflichten, wenn es feststellt, dass eine Einrichtung in den Anwendungsbereich fällt. In diesem Fall kann das BSI die Kosten der Feststellung dem Unternehmen auferlegen. Proaktive Registrierung ist wirtschaftlich immer vorteilhafter."},"reputation":{"title":"Reputationsrisiko","description":"Im Falle eines Sicherheitsvorfalls wird die fehlende BSI-Registrierung öffentlich bekannt - über das BSI-Lagebild, Branchenmeldungen und ggf. Gerichtsverfahren. Für Unternehmen in regulierten Lieferketten kann dies Geschäftsbeziehungen gefährden, da NIS2 auch Lieferkettensorgfalt verlangt."}}},"sources":{"heading":"Quellen","items":["BSI - NIS-2-Betroffenheitsprüfung und Registrierungsportal (bsi.bund.de)","G DATA CyberDefense - NIS2-Umfrage: 44% der Mittelstandsunternehmen kannten ihre Pflichten nicht (2024)","G DATA - NIS2-Barometer: Awareness-Studie deutscher Unternehmen (2025)","BSIG - Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, §33, §38, §65","BMI - NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)"]},"ctaCard":{"heading":"Registrierungspflicht erfüllen","description":"Die NIS2-Compliance-Plattform führt Sie durch die BSI-Registrierung und alle weiteren Pflichten des BSIG - strukturiert, nachweisbar und fristgerecht."},"cta":"NIS2-Compliance starten"},"cir":{"meta":{"title":"CIR 2024/2690 - EU-Verordnung für NIS2","description":"Leitfaden zur Durchführungsverordnung (EU) 2024/2690: Anwendungsbereich, technische Anforderungen, 10 Maßnahmenbereiche und Verhältnis zum BSIG."},"title":"CIR 2024/2690 Leitfaden","subtitle":"Die Durchführungsverordnung der EU-Kommission definiert die technischen Mindestanforderungen für NIS2 - unmittelbar anwendbar, ohne nationale Umsetzung.","overview":{"heading":"Was ist die CIR 2024/2690?","p1":"Die Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024 legt die technischen und methodischen Anforderungen für die Cybersicherheitsmaßnahmen nach Artikel 21 Absatz 2 der NIS2-Richtlinie fest. Sie gilt unmittelbar in allen EU-Mitgliedstaaten - eine nationale Umsetzung ist nicht erforderlich.","p2":"Die CIR richtet sich primär an bestimmte Anbietertypen digitaler Infrastruktur (DNS-Diensteanbieter, Cloud-Computing-Dienste, Managed Services u.a.), bildet aber in Deutschland über das BSIG den technischen Mindeststandard für alle betroffenen Einrichtungen. Der Anhang der Verordnung enthält die konkreten Anforderungen, gegliedert nach 10 Maßnahmenbereichen.","p3":"Für deutsche Unternehmen ist die CIR besonders relevant, weil §30 BSIG die 10 Maßnahmen des Artikels 21 NIS2-Richtlinie umsetzt und das BSI die CIR-Anforderungen als Mindeststandard heranzieht. Unternehmen, die IT-Grundschutz nach BSI-200-x implementieren, decken die CIR-Anforderungen vollständig ab (§44 Abs. 2 BSIG)."},"scope":{"heading":"Anwendungsbereich","description":"Die CIR gilt unmittelbar für folgende Anbietertypen. In Deutschland wendet das BSI die technischen Anforderungen auf alle NIS2-betroffenen Einrichtungen an.","items":{"dns":"DNS-Diensteanbieter","tld":"TLD-Namensregistrierungsstellen","cloud":"Cloud-Computing-Diensteanbieter","managed":"Anbieter verwalteter Dienste und verwalteter Sicherheitsdienste","marketplaces":"Online-Marktplätze","social":"Anbieter von Plattformen für soziale Netzwerke","trust":"Vertrauensdiensteanbieter"}},"articles":{"heading":"Struktur der Verordnung","description":"Die CIR besteht aus 7 Artikeln und einem umfangreichen Anhang mit den technischen Anforderungen.","items":{"a2":{"title":"Artikel 2 - Technische und methodische Anforderungen","description":"Verweist auf den Anhang, der die konkreten Maßnahmen nach Artikel 21 Abs. 2 NIS2-Richtlinie definiert."},"a3":{"title":"Artikel 3 - Erheblichkeit von Sicherheitsvorfällen","description":"Definiert die Kriterien, wann ein Sicherheitsvorfall als erheblich gilt und meldepflichtig wird."},"a4":{"title":"Artikel 4 - Wiederkehrende erhebliche Vorfälle","description":"Regelt, wann mehrere einzelne Vorfälle als zusammenhängender erheblicher Vorfall zu werten sind."},"a5":{"title":"Artikel 5 - Erheblicher Vorfall bei Vertrauensdiensteanbietern","description":"Spezifische Erheblichkeitskriterien für qualifizierte und nicht qualifizierte Vertrauensdiensteanbieter."},"a6":{"title":"Artikel 6 - Überprüfung","description":"Die Kommission überprüft die Verordnung bis zum 17. Oktober 2027 und danach regelmäßig."},"a7":{"title":"Artikel 7 - Inkrafttreten","description":"Die Verordnung trat am 7. November 2024 in Kraft - 20 Tage nach Veröffentlichung im Amtsblatt der EU."}}},"measures":{"heading":"10 Maßnahmenbereiche des Anhangs","description":"Der Anhang der CIR definiert die technischen Mindestmaßnahmen, gegliedert nach den 10 Bereichen des Artikels 21 Abs. 2 NIS2-Richtlinie.","items":{"policies":{"title":"Konzept für Risiken und Informationssicherheit","description":"Risikoanalyse, Informationssicherheitsleitlinie, Rollen und Zuständigkeiten, regelmäßige Überprüfung und Genehmigung durch die Leitungsebene."},"risk":{"title":"Risikomanagement","description":"Systematischer Rahmen zur Identifikation, Analyse und Behandlung von Risiken. Einschließlich Risikobewertungsmethodik, Akzeptanzkriterien und dokumentierter Behandlungspläne."},"incidents":{"title":"Bewältigung von Sicherheitsvorfällen","description":"Verfahren zur Erkennung, Meldung, Bewertung, Reaktion und Nachbereitung von Sicherheitsvorfällen. Einschließlich Klassifizierungsschema und Eskalationsprozesse."},"continuity":{"title":"Betriebskontinuität und Krisenmanagement","description":"Business-Continuity-Pläne, Backup-Konzepte, Disaster-Recovery-Verfahren und Krisenmanagementprozesse. Regelmäßige Tests und Übungen."},"supply":{"title":"Sicherheit der Lieferkette","description":"Bewertung der Cybersicherheitspraktiken von Lieferanten und Dienstleistern. Vertragliche Sicherheitsanforderungen, Überwachung und Risikobewertung der Lieferkette."},"testing":{"title":"Sicherheit bei Erwerb, Entwicklung und Wartung","description":"Sicherheitsanforderungen bei der Beschaffung, sichere Entwicklungspraktiken, Schwachstellenmanagement und Patch-Management-Verfahren."},"crypto":{"title":"Kryptografie","description":"Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung. Schlüsselmanagement, Algorithmenauswahl und Verschlüsselung ruhender und übertragener Daten."},"access":{"title":"Personalsicherheit und Zugangssteuerung","description":"Zugangs- und Zugriffssteuerung, Vermögenswertmanagement, Identitätsmanagement und Privileged-Access-Management. Personalüberprüfung bei sicherheitsrelevanten Rollen."},"mfa":{"title":"Multi-Faktor-Authentifizierung","description":"Einsatz von MFA oder kontinuierlichen Authentifizierungslösungen. Sichere Authentifizierungsprotokolle und -verfahren für alle administrativen Zugänge."},"communication":{"title":"Gesicherte Kommunikation","description":"Gesicherte Sprach-, Video- und Textkommunikation. Notfallkommunikationssysteme, die unabhängig von der primären IT-Infrastruktur funktionieren."}}},"relationship":{"heading":"Verhältnis zum BSIG und IT-Grundschutz","description":"Die CIR, das BSIG und IT-Grundschutz bilden eine kohärente Anforderungshierarchie.","p1":"Die CIR definiert den europäischen technischen Mindeststandard. §30 BSIG setzt die NIS2-Maßnahmen in deutsches Recht um und kann über die CIR hinausgehende Anforderungen enthalten. Das BSI zieht die CIR als Referenz für die Bewertung der Angemessenheit technischer Maßnahmen heran.","p2":"Für deutsche Unternehmen empfiehlt sich die Implementierung über IT-Grundschutz (BSI-200-1 bis BSI-200-4): Das Grundschutz-Kompendium deckt alle CIR-Anforderungen vollständig ab und bietet eine nach §44 Abs. 2 BSIG anerkannte Nachweismethodik. BSI-Prüfer kennen die Grundschutz-Struktur - das beschleunigt Audits.","p3":"Unternehmen mit bestehender ISO 27001-Zertifizierung decken einen Großteil der CIR-Anforderungen ab, müssen jedoch NIS2-spezifische Lücken schließen: Meldepflichten (Art. 23 NIS2-RL/§32 BSIG), erweiterte Lieferkettensorgfalt, Geschäftsführerhaftung (§38 BSIG) und die BSI-Registrierung (§33 BSIG)."},"sources":{"heading":"Quellen","items":["EUR-Lex - Durchführungsverordnung (EU) 2024/2690 der Kommission (OJ L, 2024/2690)","ENISA - Implementing Guidance on NIS2 Technical Measures (2024)","secuvera GmbH - Analyse der NIS2-Durchführungsverordnung (CIR) (2024)","BSI - IT-Grundschutz-Kompendium, Edition 2024","BSIG - Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, §30, §44"]},"ctaCard":{"heading":"CIR-Anforderungen strukturiert umsetzen","description":"Alle 10 Maßnahmenbereiche der CIR sind in der Plattform als strukturierte Anforderungen abgebildet - mit Grundschutz-Methodik und auditierbarer Dokumentation."},"cta":"NIS2-Compliance starten"},"isoMapping":{"meta":{"title":"ISO 27001 vs NIS2 - Lückenanalyse und Mapping","description":"ISO 27001 deckt ca. 70% der NIS2-Anforderungen ab. Lückenanalyse: was fehlt, was passt und wie Sie ISO-Zertifizierungen für NIS2 nutzen."},"title":"ISO 27001 vs NIS2","subtitle":"ISO 27001:2022 bietet eine solide Grundlage - deckt aber nur rund 70% der NIS2-Anforderungen ab. Eine systematische Lückenanalyse.","overview":{"heading":"Übersicht","p1":"Viele deutsche Unternehmen haben bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 implementiert oder sind zertifiziert. Die naheliegende Frage: Reicht das für NIS2? Die kurze Antwort: Teilweise. ISO 27001:2022 deckt circa 70% der NIS2-Anforderungen ab - aber die verbleibenden 30% enthalten genau die Bereiche, in denen NIS2 über klassische Informationssicherheit hinausgeht.","p2":"ISO 27001 ist ein allgemeines Rahmenwerk für Informationssicherheitsmanagement. NIS2 ist eine gesetzliche Verpflichtung mit spezifischen Anforderungen an Meldepflichten, Geschäftsführerhaftung, Lieferkettensicherheit und behördliche Registrierung. Der Unterschied ist fundamental: ISO 27001 fragt, ob Sie ein Managementsystem haben. NIS2 fragt, ob Sie spezifische gesetzliche Pflichten erfüllen.","p3":"Diese Analyse zeigt exakt, wo ISO 27001 und NIS2 überlappen, wo Lücken bestehen und wie Unternehmen mit bestehender Zertifizierung den kürzesten Weg zur NIS2-Compliance finden."},"overlap":{"heading":"Überlappungsbereiche","description":"In diesen Bereichen bietet eine ISO 27001-Implementierung direkte Anrechenbarkeit für NIS2-Anforderungen.","items":{"risk":{"title":"Risikomanagement","detail":"ISO 27001 Klausel 6.1 und Annex A.8 decken die Risikoanalyse und -behandlung nach §30 Abs. 2 Nr. 1 BSIG weitgehend ab. Methodik und Dokumentation sind übertragbar."},"access":{"title":"Zugangssteuerung","detail":"Annex A.5.15-A.5.18 und A.8.3-A.8.5 entsprechen den Anforderungen an Zugangs- und Zugriffssteuerung nach §30 Abs. 2 Nr. 9 BSIG. MFA-Anforderungen gehen jedoch über den ISO-Standard hinaus."},"incident":{"title":"Vorfallbehandlung","detail":"Annex A.5.24-A.5.28 decken Erkennung, Reaktion und Lessons Learned ab. Die NIS2-spezifischen Meldefristen (24h/72h/1 Monat) und BSI-Meldewege sind in ISO 27001 nicht enthalten."},"continuity":{"title":"Betriebskontinuität","detail":"Annex A.5.29-A.5.30 und A.8.13-A.8.14 adressieren Business Continuity und Disaster Recovery. NIS2 verlangt zusätzlich Krisenmanagement und regelmäßige Tests."},"crypto":{"title":"Kryptografie","detail":"Annex A.8.24 deckt den Einsatz kryptografischer Maßnahmen ab. NIS2 verlangt spezifischere Dokumentation der Algorithmenauswahl und des Schlüsselmanagements."},"supplier":{"title":"Lieferantenmanagement","detail":"Annex A.5.19-A.5.22 adressieren Lieferantenbeziehungen und Cloud-Dienste. NIS2 geht deutlich weiter: Bewertung der Cybersicherheitspraktiken aller direkten Lieferanten, vertragliche Anforderungen und laufende Überwachung."},"awareness":{"title":"Awareness und Schulung","detail":"Annex A.6.3 deckt Sensibilisierung und Schulung ab. NIS2 verlangt zusätzlich die persönliche Schulungspflicht der Geschäftsleitung (§38 Abs. 3 BSIG) - eine in ISO 27001 nicht vorgesehene Anforderung."}}},"gaps":{"heading":"NIS2-Lücken in ISO 27001","description":"Diese Bereiche werden von ISO 27001 nicht oder nur unzureichend abgedeckt und erfordern zusätzliche Maßnahmen.","items":{"registration":{"title":"BSI-Registrierung (§33 BSIG)","detail":"ISO 27001 enthält keine behördliche Registrierungspflicht. Die Selbstidentifikation als betroffene Einrichtung und die Registrierung beim BSI ist eine eigenständige NIS2-Pflicht ohne ISO-Äquivalent."},"reporting":{"title":"Meldepflichten (§32 BSIG)","detail":"Die dreistufige Meldekaskade (24h Frühwarnung, 72h Meldung, 1 Monat Abschlussbericht) an das BSI hat kein Äquivalent in ISO 27001. ISO kennt die Pflicht zur Vorfallbehandlung, aber nicht die gesetzlichen Meldefristen und -wege."},"management":{"title":"Geschäftsführerhaftung (§38 BSIG)","detail":"Die persönliche Haftung der Geschäftsleitung - Billigung, Überwachung und Schulungspflicht - ist ein NIS2-Spezifikum. ISO 27001 verlangt Management-Commitment (Klausel 5.1), aber keine persönliche Haftung mit Bußgeldfolgen."},"penalties":{"title":"Bußgeldrahmen","detail":"NIS2 sieht Bußgelder bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes vor (wesentliche Einrichtungen). ISO 27001 ist ein freiwilliger Standard ohne Sanktionsmechanismus."},"supply":{"title":"Erweiterte Lieferkettensorgfalt","detail":"NIS2 verlangt die Bewertung der Cybersicherheitspraktiken aller direkten Lieferanten, vertragliche Sicherheitsanforderungen und laufende Überwachung. ISO 27001 Annex A.5.19-A.5.22 ist weniger spezifisch und verlangt keine systematische Bewertung aller Lieferanten."},"governance":{"title":"NIS2-spezifische Governance","detail":"NIS2 verlangt spezifische Governance-Strukturen: benannte Verantwortliche für Cybersicherheit, dokumentierte Aufsichtsprozesse durch die Geschäftsleitung und regelmäßige Management-Reviews mit Nachweis. ISO 27001 ist hier flexibler und weniger vorschreibend."}}},"mapping":{"heading":"Anforderungs-Mapping","description":"Detaillierte Zuordnung der 10 NIS2-Maßnahmen (§30 Abs. 2 BSIG) zu ISO 27001:2022 Controls mit Abdeckungsbewertung.","headers":{"nis2":"NIS2-Maßnahme (§30 BSIG)","iso":"ISO 27001:2022","coverage":"Abdeckung"},"rows":{"m1":{"nis2":"Risikoanalyse und Informationssicherheit","iso":"Klausel 6.1, A.5.1, A.8.8","coverage":"full","coverageLabel":"Vollständig"},"m2":{"nis2":"Bewältigung von Sicherheitsvorfällen","iso":"A.5.24-A.5.28","coverage":"partial","coverageLabel":"Teilweise - Meldefristen fehlen"},"m3":{"nis2":"Betriebskontinuität und Krisenmanagement","iso":"A.5.29-A.5.30, A.8.13-A.8.14","coverage":"partial","coverageLabel":"Teilweise - Krisenmanagement-Spezifika fehlen"},"m4":{"nis2":"Sicherheit der Lieferkette","iso":"A.5.19-A.5.22","coverage":"partial","coverageLabel":"Teilweise - erweiterte Sorgfalt fehlt"},"m5":{"nis2":"Sicherheit bei Erwerb, Entwicklung und Wartung","iso":"A.8.25-A.8.31","coverage":"full","coverageLabel":"Vollständig"},"m6":{"nis2":"Bewertung der Wirksamkeit","iso":"Klausel 9.1, A.5.35-A.5.36","coverage":"full","coverageLabel":"Vollständig"},"m7":{"nis2":"Cybersicherheitsschulung und Cyberhygiene","iso":"A.6.3","coverage":"partial","coverageLabel":"Teilweise - §38-Schulung fehlt"},"m8":{"nis2":"Kryptografie und Verschlüsselung","iso":"A.8.24","coverage":"full","coverageLabel":"Vollständig"},"m9":{"nis2":"Personalsicherheit, Zugangssteuerung, Asset-Management","iso":"A.5.9-A.5.18, A.6.1-A.6.6, A.8.1-A.8.5","coverage":"full","coverageLabel":"Vollständig"},"m10":{"nis2":"MFA und gesicherte Kommunikation","iso":"A.8.5","coverage":"partial","coverageLabel":"Teilweise - spezifische MFA-Anforderungen fehlen"}}},"sources":{"heading":"Quellen","items":["ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection","ISO/IEC 27002:2022 - Information security controls","BSIG - §30, §32, §33, §38 - Maßnahmen, Meldepflichten, Registrierung, Geschäftsführerhaftung","ENISA - Mapping of NIS2 requirements to ISO 27001 controls (2024)","BSI - IT-Grundschutz-Kompendium und NIS2-Umsetzungsleitfaden"]},"ctaCard":{"heading":"Von ISO 27001 zu NIS2-Compliance","description":"Die Plattform identifiziert Ihre NIS2-Lücken und führt Sie strukturiert durch die fehlenden Anforderungen - aufbauend auf Ihrer bestehenden ISO 27001-Implementierung."},"cta":"NIS2-Compliance starten"},"incidentReporting":{"meta":{"title":"NIS2-Meldepflicht: 24h/72h Fristen + §32 BSIG","description":"NIS2-Meldepflicht in Deutschland: Frühwarnung in 24h, Meldung in 72h, Abschlussbericht nach 1 Monat. Erheblichkeitskriterien, BSI-Verfahren, Sanktionen."},"title":"NIS2-Meldepflicht","subtitle":"§32 BSIG setzt Art 23(4) NIS 2 um: drei Pflichtmeldungen mit festen Fristen (24h, 72h, 1 Monat) plus zwei bedingte Meldungen (auf Anfrage, bei laufendem Vorfall).","overview":{"heading":"Überblick","p1":"§32 BSIG setzt Artikel 23 der NIS2-Richtlinie in deutsches Recht um und verpflichtet alle wesentlichen und wichtigen Einrichtungen, erhebliche Sicherheitsvorfälle dem BSI zu melden. Die Meldekaskade hat drei Pflichtmeldungen mit festen Fristen und zwei bedingte Meldungen, ausgelöst auf Anfrage oder bei laufendem Vorfall. Versäumnisse sind bußgeldbewehrt.","p2":"Die Meldepflicht ist keine formale Übung. Das BSI nutzt die Meldungen zur Erstellung des nationalen Lagebilds, zur Warnung anderer betroffener Einrichtungen und ggf. zur Koordination grenzüberschreitender Reaktionen über das EU-CSIRTs-Netzwerk. Unvollständige oder verspätete Meldungen untergraben diesen Mechanismus und ziehen eigenständige Sanktionen nach sich."},"timeline":{"heading":"Meldekaskade nach Art 23(4) NIS 2","description":"Drei Pflichtmeldungen mit festen Fristen ab Kenntniserlangung, plus bis zu zwei bedingte Meldungen (Zwischenbericht auf Anfrage der Behörde, Verlaufsbericht bei laufendem Vorfall am Tag des Abschlussberichts).","items":{"early":{"title":"Frühwarnung","deadline":"24 Stunden","description":"Erste Meldung an das BSI innerhalb von 24 Stunden nach Kenntniserlangung vom Vorfall. Fokus auf Sofortinformationen zur Ermöglichung einer koordinierten Reaktion.","contents":["Angabe, ob der Vorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist","Einschätzung, ob grenzüberschreitende Auswirkungen möglich sind","Erste Klassifizierung der Vorfallart","Kontaktdaten der meldenden Stelle"]},"update":{"title":"Aktualisierte Meldung","deadline":"72 Stunden","description":"Erweiterte Meldung innerhalb von 72 Stunden mit vertiefter Analyse des Vorfalls. Aktualisierung der Frühwarnung um verfügbare Erkenntnisse.","contents":["Bewertung der Schwere des Vorfalls und seiner Auswirkungen","Indikatoren für eine Kompromittierung (IoCs), sofern verfügbar","Erste Ursachenanalyse","Bisher ergriffene und geplante Gegenmaßnahmen","Aktualisierte Einschätzung der grenzüberschreitenden Auswirkungen"]},"intermediate":{"title":"Zwischenbericht","deadline":"Auf Anfrage","description":"Auf Anfrage des BSI zwischen der 72-Stunden-Meldung und dem Abschlussbericht. Statusupdate zum aktuellen Stand der Vorfallbehandlung. Kein automatischer Bericht, sondern anlassbezogen.","contents":["Aktueller Status der Eindämmung und Behebung","Neue Erkenntnisse zu Ursache, Umfang oder Auswirkungen","Anpassungen an den Gegenmaßnahmen","Aktualisierte Schadensbewertung"]},"final":{"title":"Abschlussbericht","deadline":"1 Monat nach 72h-Meldung","description":"Umfassender Abschlussbericht innerhalb eines Monats nach der aktualisierten 72-Stunden-Meldung. Vollständige Dokumentation des Vorfalls und der Reaktion.","contents":["Detaillierte Beschreibung des Vorfalls einschließlich Schweregrad und Auswirkungen","Bestätigte Ursache des Vorfalls","Ergriffene und laufende Abhilfemaßnahmen","Grenzüberschreitende Auswirkungen, sofern zutreffend","Erkenntnisse und präventive Maßnahmen für die Zukunft"]},"progress":{"title":"Verlaufsbericht","deadline":"Bei laufendem Vorfall","description":"Falls der Vorfall am Tag des Abschlussberichts noch nicht beendet ist, ersetzt der Verlaufsbericht den Abschlussbericht. Der endgültige Abschlussbericht folgt innerhalb eines Monats nach Vorfallsende.","contents":["Aktueller Status, da der Vorfall noch andauert","Bisher umgesetzte Eindämmungsmaßnahmen","Erwartete Dauer bis zum Vorfallsende, sofern absehbar","Plan für den endgültigen Abschlussbericht nach Vorfallsende"]}}},"criteria":{"heading":"Erheblichkeitskriterien","description":"Ein Sicherheitsvorfall gilt als erheblich, wenn mindestens eines der folgenden Kriterien erfüllt ist.","items":{"disruption":{"title":"Schwerwiegende Betriebsstörung","description":"Der Vorfall hat eine schwerwiegende Störung der Erbringung der betroffenen Dienste verursacht oder kann eine solche verursachen."},"financial":{"title":"Finanzielle Verluste","description":"Der Vorfall hat erhebliche finanzielle Verluste für die betroffene Einrichtung verursacht oder kann solche verursachen."},"spread":{"title":"Ausbreitung auf Dritte","description":"Der Vorfall hat andere natürliche oder juristische Personen beeinträchtigt oder kann diese beeinträchtigen, indem er beträchtlichen materiellen oder immateriellen Schaden verursacht."},"data":{"title":"Datenschutzverletzung","description":"Der Vorfall betrifft die Vertraulichkeit, Integrität oder Verfügbarkeit erheblicher Datenmengen, einschließlich personenbezogener Daten."},"duration":{"title":"Dauer und Reichweite","description":"Der Vorfall betrifft Dienste in mehreren Mitgliedstaaten oder eine große Anzahl von Nutzern über einen längeren Zeitraum."}}},"fields":{"heading":"Pflichtangaben der Meldung","description":"Jede Meldung an das BSI muss die folgenden Kernangaben enthalten.","items":{"entity":{"title":"Einrichtungsdaten","description":"Name, Anschrift, Registrierungsnummer beim BSI, Kontaktdaten des zuständigen Ansprechpartners, Sektor und betroffene Dienste."},"nature":{"title":"Art des Vorfalls","description":"Klassifizierung des Vorfalls (z.B. Ransomware, DDoS, Datenpanne, Phishing-Kampagne), betroffene Systeme und Dienste, Zeitpunkt der Erkennung."},"impact":{"title":"Auswirkungen","description":"Betroffene Dienste und deren Einschränkung, Anzahl betroffener Nutzer, geschätzte finanzielle Auswirkungen, Dauer der Beeinträchtigung."},"crossBorder":{"title":"Grenzüberschreitende Auswirkungen","description":"Einschätzung, ob der Vorfall Auswirkungen auf andere EU-Mitgliedstaaten hat oder haben könnte. Angabe betroffener Länder und Sektoren."},"measures":{"title":"Gegenmaßnahmen","description":"Bereits ergriffene Sofortmaßnahmen, geplante weitere Maßnahmen, eingebundene externe Dienstleister und Behörden."}}},"where":{"heading":"Meldewege","description":"Meldungen erfolgen an das BSI als zuständige nationale Behörde.","p1":"Alle Meldungen nach §32 BSIG sind an das BSI zu richten - über das Online-Meldeportal des BSI. Das BSI leitet bei grenzüberschreitenden Vorfällen Informationen an das EU-CSIRTs-Netzwerk und die betroffenen nationalen Behörden weiter.","p2":"Betreiber kritischer Anlagen (KRITIS) unterliegen zusätzlich den Meldepflichten nach §31 BSIG, die über die NIS2-Meldepflichten hinausgehen können. Für Einrichtungen, die gleichzeitig der DSGVO unterliegen, können parallele Meldepflichten an Datenschutzaufsichtsbehörden bestehen."},"penalties":{"heading":"Sanktionen bei Meldeverstößen","description":"Die Nichtmeldung oder verspätete Meldung erheblicher Sicherheitsvorfälle ist eigenständig bußgeldbewehrt.","items":{"essential":{"amount":"Bis 10 Mio. EUR","label":"Wesentliche Einrichtungen","detail":"Oder 2% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres - je nachdem, welcher Betrag höher ist."},"important":{"amount":"Bis 7 Mio. EUR","label":"Wichtige Einrichtungen","detail":"Oder 1,4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres - je nachdem, welcher Betrag höher ist."},"management":{"amount":"Persönliche Haftung","label":"Geschäftsleitung (§38 BSIG)","detail":"Wenn die Geschäftsleitung von einem Vorfall Kenntnis hatte und die Meldung nicht sichergestellt hat, begründet dies einen Überwachungsverstoß nach §38 BSIG mit persönlicher Haftungsfolge."}}},"sources":{"heading":"Quellen","items":["BSIG - §31, §32, §38, §65 - Meldepflichten, Geschäftsführerhaftung, Bußgeldvorschriften","NIS2-Richtlinie (EU) 2022/2555 - Artikel 23: Berichtspflichten","Durchführungsverordnung (EU) 2024/2690 - Artikel 3-5: Erheblichkeitskriterien","BSI - Meldeportal und Meldeverfahren für Sicherheitsvorfälle","BMI - NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz: Gesetzesbegründung zu §32"]},"ctaCard":{"heading":"Meldepflichten systematisch erfüllen","description":"Die Plattform strukturiert Ihre Vorfallbehandlung nach §32 BSIG - mit Fristüberwachung, Meldevorlagen und automatischer Eskalation bei drohender Fristüberschreitung."},"cta":"NIS2-Compliance starten"},"euImplementation":{"meta":{"title":"NIS2-Umsetzung Europa - Status aller EU-Staaten","description":"Stand der NIS2-Umsetzung in allen EU-Mitgliedstaaten. Welche Länder haben umgesetzt, wo gibt es Verzögerungen und was das für Ihr Unternehmen bedeutet."},"title":"NIS2-Umsetzung in Europa","subtitle":"Die Umsetzungsfrist war der 17. Oktober 2024. Bis Anfang 2026 hatten nur wenige EU-Mitgliedstaaten die NIS2-Richtlinie vollständig in nationales Recht überführt.","overview":{"heading":"Überblick","p1":"Die NIS2-Richtlinie (EU) 2022/2555 verpflichtete alle 27 EU-Mitgliedstaaten, die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Diese Frist wurde von der großen Mehrheit der Mitgliedstaaten verfehlt - ein Muster, das bei EU-Cybersicherheitsregulierung nicht neu ist, aber in seiner Dimension beispiellos.","p2":"Bis März 2026 hat etwa die Hälfte der 27 Mitgliedstaaten die NIS2-Richtlinie vollständig in nationales Recht umgesetzt. Die Europäische Kommission hat gegen säumige Mitgliedstaaten Vertragsverletzungsverfahren eingeleitet. Für Unternehmen, die in mehreren EU-Ländern tätig sind, erzeugt diese ungleichmäßige Umsetzung erhebliche Rechtsunsicherheit.","p3":"Diese Übersicht dokumentiert den Umsetzungsstand der wichtigsten EU-Mitgliedstaaten, analysiert die Ursachen der Verzögerungen und erläutert die praktischen Konsequenzen für betroffene Einrichtungen - insbesondere für deutsche Unternehmen mit europäischen Geschäftsbeziehungen."},"keyStats":{"transposed":{"value":"~7","label":"Vollständig umgesetzt (Stand Anfang 2026)"},"late":{"value":"~20","label":"Umsetzungsfrist verfehlt"},"deadline":{"value":"17. Okt. 2024","label":"Umsetzungsfrist der Richtlinie"}},"countries":{"heading":"Umsetzungsstand nach Land","description":"Übersicht der NIS2-Umsetzung in ausgewählten EU-Mitgliedstaaten (Stand: Anfang 2026).","headers":{"country":"Land","status":"Status","law":"Nationales Gesetz","notes":"Anmerkungen"},"rows":{"de":{"country":"Deutschland","status":"Umgesetzt","statusKey":"done","law":"NIS2UmsuCG / BSIG","notes":"In Kraft seit 6. Dezember 2025. Registrierungsfrist 6. März 2026. BSI-Portal seit Januar 2026 aktiv."},"at":{"country":"Österreich","status":"Umgesetzt","statusKey":"done","law":"NISG 2024","notes":"Novelle des Netz- und Informationssystemsicherheitsgesetzes. In Kraft seit 2025."},"be":{"country":"Belgien","status":"Umgesetzt","statusKey":"done","law":"Loi NIS2","notes":"Erstes EU-Land mit vollständiger Umsetzung (April 2024). CCB als zuständige Behörde."},"hr":{"country":"Kroatien","status":"Umgesetzt","statusKey":"done","law":"Zakon o kibernetičkoj sigurnosti","notes":"Cybersicherheitsgesetz verabschiedet und in Kraft."},"hu":{"country":"Ungarn","status":"Umgesetzt","statusKey":"done","law":"Kiberbiztonsági törvény","notes":"Frühzeitige Umsetzung, Cybersicherheitsgesetz in Kraft."},"it":{"country":"Italien","status":"Umgesetzt","statusKey":"done","law":"D.Lgs. 138/2024","notes":"Legislativdekret Nr. 138/2024. ACN als zuständige Behörde."},"lv":{"country":"Lettland","status":"Umgesetzt","statusKey":"done","law":"Kiberdrošības likums","notes":"Cybersicherheitsgesetz verabschiedet und in Kraft."},"lt":{"country":"Litauen","status":"Umgesetzt","statusKey":"done","law":"Kibernetinio saugumo įstatymas","notes":"Novelle des bestehenden Cybersicherheitsgesetzes."},"fr":{"country":"Frankreich","status":"In Bearbeitung","statusKey":"partial","law":"Projet de loi NIS2","notes":"Gesetzentwurf im parlamentarischen Verfahren. ANSSI als zuständige Behörde vorgesehen."},"nl":{"country":"Niederlande","status":"In Bearbeitung","statusKey":"partial","law":"Cyberbeveiligingswet","notes":"Gesetzentwurf veröffentlicht, parlamentarisches Verfahren läuft."},"pl":{"country":"Polen","status":"In Bearbeitung","statusKey":"partial","law":"Ustawa o KSC (Novelle)","notes":"Novelle des Gesetzes über das nationale Cybersicherheitssystem in Vorbereitung."},"es":{"country":"Spanien","status":"Ausstehend","statusKey":"pending","law":"Noch nicht veröffentlicht","notes":"Entwurf in Vorbereitung. CCN-CERT und INCIBE als zuständige Behörden vorgesehen."},"se":{"country":"Schweden","status":"In Bearbeitung","statusKey":"partial","law":"Cybersäkerhetslagen","notes":"Regierungsentwurf vorgelegt, parlamentarische Beratung läuft."}}},"germany":{"heading":"Deutschland im Detail","description":"Die deutsche NIS2-Umsetzung über das NIS2UmsuCG und die BSIG-Novelle.","p1":"Deutschland hat die NIS2-Richtlinie über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt, das am 6. Dezember 2025 in Kraft trat. Kernstück ist die Novellierung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das nun die vollständigen NIS2-Anforderungen in deutsches Recht überträgt.","p2":"Das BSI schätzt rund 30.000 betroffene Einrichtungen in Deutschland - davon circa 4.700 wesentliche Einrichtungen und rund 25.300 wichtige Einrichtungen. Die Registrierungsfrist nach §33 BSIG endete am 6. März 2026 (3 Monate nach Inkrafttreten). Das BSI-Registrierungsportal ist seit dem 6. Januar 2026 aktiv.","p3":"Die Besonderheit der deutschen Umsetzung: §38 BSIG begründet die persönliche Haftung der Geschäftsleitung - eine in dieser Form einzigartige Regelung im europäischen Vergleich. Zudem erkennt §44 Abs. 2 BSIG die Implementierung von IT-Grundschutz als Nachweis der NIS2-Compliance an."},"challenges":{"heading":"Herausforderungen der europäischen Umsetzung","description":"Die ungleichmäßige Umsetzung erzeugt vier zentrale Probleme für betroffene Einrichtungen.","items":{"fragmentation":{"title":"Regulatorische Fragmentierung","description":"Trotz des Harmonisierungsziels der NIS2-Richtlinie führen unterschiedliche nationale Umsetzungen zu abweichenden Anforderungen. Schwellenwerte, Sektordefinitionen und Meldepflichten können sich zwischen Mitgliedstaaten unterscheiden. Für Unternehmen mit Niederlassungen in mehreren EU-Ländern bedeutet dies multiple Compliance-Anforderungen."},"definitions":{"title":"Abweichende Definitionen","description":"Die Klassifizierung als wesentliche oder wichtige Einrichtung kann zwischen Mitgliedstaaten variieren, da die Richtlinie den Mitgliedstaaten bei der Umsetzung Spielraum lässt. Ein Unternehmen kann in einem Land als wesentlich, in einem anderen als wichtig gelten - mit unterschiedlichen Aufsichtsregimen."},"reporting":{"title":"Unterschiedliche Meldewege","description":"Während die Meldefristen (24h/72h/1 Monat) EU-weit einheitlich sind, unterscheiden sich die Meldewege und zuständigen Behörden. In Deutschland meldet man an das BSI, in Frankreich an die ANSSI, in Italien an die ACN. Für grenzüberschreitende Vorfälle müssen ggf. mehrere Behörden informiert werden."},"enforcement":{"title":"Ungleiche Durchsetzung","description":"Solange nicht alle Mitgliedstaaten umgesetzt haben, entstehen Durchsetzungslücken. Unternehmen in Ländern mit verzögerter Umsetzung unterliegen faktisch einem anderen Regulierungsregime als Unternehmen in Ländern mit abgeschlossener Umsetzung - ein Wettbewerbsproblem."}}},"sources":{"heading":"Quellen","items":["Europäische Kommission - NIS2-Umsetzungsstand und Vertragsverletzungsverfahren (2025/2026)","ENISA - NIS2 Transposition Tracker (enisa.europa.eu)","BMI - NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)","Centre for Cybersecurity Belgium (CCB) - Loi NIS2 (2024)","Agence nationale de la sécurité des systèmes d'information (ANSSI) - Projet de loi NIS2","Agenzia per la Cybersicurezza Nazionale (ACN) - D.Lgs. 138/2024"]},"relatedArticle":{"heading":"In mehreren EU-Ländern tätig?","description":"Wenn Ihr Unternehmen in mehr als einem EU-Mitgliedstaat rechtlich niedergelassen ist, müssen Sie sich bei der nationalen Behörde jedes Landes separat registrieren. Unser Leitfaden listet alle 28 Behörden.","cta":"Lesen: NIS2-Registrierung in mehreren EU-Ländern"},"ctaCard":{"heading":"NIS2-konform in Deutschland","description":"Unabhängig vom europäischen Umsetzungsstand - in Deutschland gilt das BSIG seit Dezember 2025. Die Plattform führt Sie durch alle 49 Anforderungen nach Grundschutz-Methodik."},"cta":"NIS2-Compliance starten"},"missedRegistration":{"meta":{"title":"BSI-Registrierung verpasst? Sofort-Anleitung","description":"NIS2-Registrierung verpasst: 18.000 Unternehmen sind betroffen. Portal weiterhin offen. Schritt-für-Schritt-Anleitung, Risiken, Bußgelder, FAQ."},"title":"Sie haben die BSI-Registrierungsfrist verpasst. Was nun?","subtitle":"Rund 18.000 deutsche Unternehmen haben die §33 BSIG-Registrierungsfrist verpasst. Das BSI-Portal ist weiterhin offen. Hier erfahren Sie, was jetzt wichtig ist - und was tatsächlich passiert, wenn Sie schnell handeln.","shortAnswer":{"heading":"Die kurze Antwort","p1":"Keine Panik. Sie sind nicht allein - und es ist nicht zu spät, das zu korrigieren. Das BSI schätzt, dass rund 30.000 Unternehmen in Deutschland unter NIS2 fallen. Die Registrierungsfrist lief am 6. März 2026 ab, aber eine erhebliche Anzahl von Unternehmen hat sich noch nicht registriert. Sie sind bei weitem nicht der einzige in dieser Situation.","p2":"Das Registrierungsportal nach §33 BSIG ist weiterhin offen. Sie können sich heute registrieren. Das BSI hat signalisiert, dass es die Durchsetzung gegen Unternehmen priorisiert, die ihre Pflichten vollständig ignorieren - nicht gegen solche, die sich verspätet registriert haben, aber in gutem Glauben handeln. Verspätet ist besser als nie, und ‚nie' ist die einzig wirklich gefährliche Option.","p3":"Entscheidend ist, jetzt zu handeln, den Beginn zu dokumentieren und mit der eigentlichen Compliance-Arbeit zu beginnen. Eine verspätete Registrierung mit sichtbarem Fortschritt sieht für eine Aufsichtsbehörde grundlegend anders aus als gar keine Registrierung."},"steps":{"heading":"Fünf Schritte zurück auf Kurs","description":"Folgen Sie dieser Reihenfolge. Jeder Schritt baut auf dem vorherigen auf, und zusammen schaffen sie eine dokumentierte Nachweiskette, die dem BSI zeigt, dass Sie Compliance ernst nehmen.","items":{"check":{"title":"1. Bestätigen Sie, dass Sie tatsächlich betroffen sind","description":"Bevor Sie sich registrieren, prüfen Sie, ob NIS2 auf Ihr Unternehmen zutrifft. Die Kriterien stehen in §28 BSIG: Sie müssen in einem der 18 aufgelisteten Sektoren tätig sein UND die Größenschwelle erreichen (50+ Mitarbeiter oder 10 Mio. EUR+ Jahresumsatz). Bei Unsicherheit prüfen Sie die BSI-Sektorlisten in Anhang I und Anhang II der NIS2-Richtlinie. Viele Unternehmen nehmen an, dass sie nicht betroffen sind, obwohl sie es sind - und umgekehrt. Bei echter Unsicherheit holen Sie eine rechtliche Einschätzung ein, aber nutzen Sie Unsicherheit nicht als Vorwand zum Aufschieben."},"register":{"title":"2. Sofort über das BSI-Portal registrieren","description":"Gehen Sie zum NIS2-Registrierungsportal des BSI und schließen Sie Ihre Registrierung nach §33 BSIG ab. Sie benötigen: Ihre Unternehmensdaten, Sektorklassifizierung, Ansprechperson für Cybersicherheit und IP-Adressbereiche Ihrer kritischen Systeme. Die Registrierung selbst dauert etwa 30 Minuten, wenn Sie die Informationen bereit haben. Tun Sie dies heute - jeder Tag Wartezeit vergrößert die Lücke zwischen Fristablauf und Ihrem Registrierungsdatum."},"document":{"title":"3. Dokumentieren Sie, dass Sie begonnen haben","description":"Erstellen Sie eine schriftliche Dokumentation - auch ein einfaches internes Memo reicht - die festhält, wann Sie von Ihren NIS2-Pflichten erfahren haben, wann Sie sich registriert haben und welche Schritte Sie unternehmen. Dies schafft eine Nachweiskette, die guten Glauben demonstriert. Wenn das BSI jemals fragt, warum Sie verspätet waren, ist ‚Wir haben die Pflicht erkannt, uns sofort registriert und am [Datum] mit der Compliance-Arbeit begonnen' eine starke Antwort."},"implement":{"title":"4. Mit der tatsächlichen Compliance-Arbeit beginnen","description":"Die Registrierung ist nur der erste Schritt - §30 BSIG verlangt die Umsetzung von Cybersicherheits-Risikomanagementmaßnahmen. Beginnen Sie mit den Grundlagen: Asset-Inventar, Risikobewertungsmethodik und Vorfallmeldeverfahren. Sie müssen nicht über Nacht vollständig compliant sein, aber Sie müssen sichtbar darauf hinarbeiten. Das BSI wird die Entwicklung bewerten, nicht nur den aktuellen Stand."},"legal":{"title":"5. Rechtliche Beratung erwägen, wenn der Geltungsbereich unklar ist","description":"Wenn Ihr Unternehmen nahe an der Schwelle liegt (um 50 Mitarbeiter oder 10 Mio. EUR Umsatz), in einem Sektor tätig ist, der mehrfach interpretiert werden kann, oder eine komplexe Konzernstruktur hat, konsultieren Sie einen auf IT-Recht spezialisierten Anwalt. Die Kosten einer rechtlichen Einschätzung (2.000-5.000 EUR) sind marginal im Vergleich zu den Kosten von Nicht-Compliance oder unnötiger Compliance. Einige Branchenverbände (wie Bitkom oder BDI) bieten auch NIS2-Betroffenheitsberatung für Mitglieder an."}}},"risks":{"heading":"Was sind die tatsächlichen Risiken einer verspäteten Registrierung?","description":"Ehrlichkeit über die Risiken hilft Ihnen, verhältnismäßige Entscheidungen zu treffen. Die Konsequenzen sind real, aber nicht katastrophal - wenn Sie jetzt handeln.","items":{"fines":{"title":"Verwaltungsrechtliche Bußgelder","description":"§65 BSIG sieht Bußgelder von bis zu 500.000 EUR speziell für Registrierungsverstöße vor. In der Praxis hat das BSI begrenzte Durchsetzungskapazitäten und konzentriert sich darauf, Unternehmen ins System zu bringen, nicht Nachzügler zu bestrafen. Ein Unternehmen, das sich verspätet registriert und aktive Compliance-Bemühungen nachweist, wird mit hoher Wahrscheinlichkeit nicht die Höchststrafe erhalten. Ein Unternehmen, das sich nie registriert, ist eine andere Geschichte."},"orders":{"title":"Compliance-Anordnungen","description":"Das BSI kann verbindliche Anordnungen erlassen, die Sie zur Registrierung und Umsetzung bestimmter Maßnahmen innerhalb einer gesetzten Frist verpflichten. Die Nichtbefolgung einer solchen Anordnung verschärft die Rechtslage erheblich. Eine proaktive Registrierung - wenn auch verspätet - vermeidet diesen Eskalationspfad vollständig."},"liability":{"title":"Persönliche Haftung der Geschäftsleitung","description":"§38 BSIG macht die Geschäftsleitung persönlich haftbar für die Sicherstellung der NIS2-Compliance. Wenn Ihr Unternehmen betroffen ist und Sie als Geschäftsleitung die Registrierung wissentlich verzögert haben, entsteht ein persönliches Haftungsrisiko. Die Haftung kann nicht durch Gesellschafterbeschluss ausgeschlossen werden. Die Dokumentation, dass Sie gehandelt haben, sobald Sie Kenntnis erlangt haben, ist ein wichtiger Schutz."},"audit":{"title":"Erhöhte Prüfungsintensität bei künftigen Audits","description":"Für wesentliche Einrichtungen führt das BSI regelmäßige Prüfungen durch. Eine verspätete Registrierung wird in Ihrer Compliance-Zeitlinie sichtbar sein. Allerdings wird ein gut dokumentierter Nachholprozess, der systematische Verbesserung zeigt, ganz anders bewertet als ein Muster der Vernachlässigung. Prüfer bewerten die Entwicklung, nicht nur den Ausgangspunkt."}}},"context":{"heading":"Warum so viele Unternehmen die Frist verpasst haben","p1":"Die NIS2-Registrierungslücke ist nicht primär auf Fahrlässigkeit zurückzuführen. Der deutsche Gesetzgebungsprozess hat sich wiederholt verzögert - das NIS2UmsuCG wurde Monate nach der ursprünglichen EU-Umsetzungsfrist verabschiedet. Viele Unternehmen haben verständlicherweise auf die Finalisierung des deutschen Gesetzes gewartet, bevor sie aktiv wurden. Andere wussten nicht, dass sie betroffen sind, weil die Sektordefinitionen im Vergleich zum alten KRITIS-Regime drastisch erweitert wurden.","p2":"Das BSI selbst hat das Ausmaß der Registrierungslücke öffentlich anerkannt. Die Behörde verfolgt einen pragmatischen Ansatz: Die Priorität liegt darauf, alle 30.000 Einrichtungen registriert und ins Compliance-System zu bringen, nicht die erste Welle verspäteter Registrierungen zu bestrafen. Dieser Pragmatismus hat Grenzen - er gilt für Unternehmen, die aktiv an der Compliance arbeiten, nicht für solche, die die Geduld des BSI als Ausrede nutzen, nichts zu tun."},"faq":{"heading":"Häufig gestellte Fragen","q1":{"q":"Ist das BSI-Registrierungsportal noch offen?","a":"Ja. Das §33 BSIG-Registrierungsportal bleibt offen. Es gibt keine Frist, nach der Sie sich nicht mehr registrieren können - die Pflicht besteht fortlaufend. Die Frist war, wann Sie sich hätten registrieren sollen, nicht wann Sie es konnten. Registrieren Sie sich jetzt."},"q2":{"q":"Welches Bußgeld droht bei verspäteter Registrierung?","a":"§65 BSIG sieht Bußgelder von bis zu 500.000 EUR für Registrierungsverstöße vor. Allerdings werden Bußgelder im Einzelfall unter Berücksichtigung der Schwere, Dauer und des guten Willens des Unternehmens bemessen. Ein Unternehmen, das sich wenige Monate verspätet registriert und aktive Compliance-Bemühungen zeigt, hat ein völlig anderes Risikoprofil als eines, das die Pflicht vollständig ignoriert."},"q3":{"q":"Wirkt sich die verspätete Registrierung auf meine anderen NIS2-Pflichten aus?","a":"Nein. Ihre Pflichten nach §30 BSIG (Cybersicherheitsmaßnahmen), §32 (Vorfallmeldung) und §38 (Geschäftsführerhaftung) bestehen unabhängig davon, ob Sie sich registriert haben. Die Registrierung schafft die Pflichten nicht - sie erfüllt eine davon. Die anderen Pflichten gelten ab dem Moment, in dem Sie die Betroffenheitskriterien erfüllen, unabhängig vom Registrierungsstatus."},"q4":{"q":"Kann ich mich registrieren, wenn ich nicht sicher bin, ob wir betroffen sind?","a":"Ja, und das BSI empfiehlt, im Zweifel zu registrieren. Eine Registrierung, die sich als nicht erforderlich herausstellt, hat keine negativen Konsequenzen - die Registrierung kann korrigiert werden. Keine Registrierung bei tatsächlicher Betroffenheit birgt ein echtes rechtliches Risiko. Im Zweifel registrieren."},"q5":{"q":"Was, wenn wir registriert sind, aber noch nicht mit der Compliance-Arbeit begonnen haben?","a":"Registrierung ohne Compliance-Arbeit ist wie eine Steuererklärung abzugeben, aber die Steuer nicht zu zahlen - Sie haben eine Pflicht erfüllt, aber nicht die inhaltlichen. Beginnen Sie jetzt mit den §30 BSIG-Maßnahmen: Asset-Inventar, Risikobewertung, Vorfallmeldeverfahren. Das BSI erwartet von registrierten Einrichtungen, dass sie aktiv an der Compliance arbeiten, nicht nur auf einer Registrierungsnummer sitzen."}},"sources":{"heading":"Quellen","items":["BSI - NIS2-Registrierungsstatistiken und öffentliche Stellungnahmen zum Durchsetzungsansatz (2025)","G DATA CyberDefense - NIS2-Umfrage: 44 % der Mittelstandsunternehmen kannten ihre Pflichten nicht (2024)","BSIG - §33 (Registrierungspflicht), §65 (Bußgeldvorschriften), §38 (Geschäftsführerhaftung)","NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit","BMI - Parlamentarische Dokumentation und Leitlinien zur NIS2UmsuCG-Umsetzung"]},"ctaCard":{"heading":"Registrieren, dann Compliance-Nachweise aufbauen","description":"Die Plattform führt Sie von der Registrierung bis zur vollständigen §30 BSIG-Compliance - und schafft die dokumentierte Nachweiskette, die dem BSI zeigt, dass Sie die Sache ernst nehmen."},"cta":"NIS2-Compliance starten"},"kritisComparison":{"meta":{"title":"NIS2 vs KRITIS - Was sich geändert hat","description":"Vergleich KRITIS-Regime mit dem neuen NIS2/BSIG-Rahmen: Geltungsbereich, Schwellenwerte, Bußgelder und Geschäftsführerhaftung im Vergleich."},"title":"NIS2 vs KRITIS: Was sich geändert hat","subtitle":"Das alte KRITIS-Regime betraf rund 2.000 Betreiber kritischer Infrastrukturen. Das neue BSIG nach NIS2-Umsetzung erweitert den Kreis auf circa 30.000 Einrichtungen - mit niedrigeren Schwellen, höheren Bußgeldern und persönlicher Geschäftsführerhaftung.","overview":{"heading":"Vom KRITIS-Regime zum NIS2-BSIG","p1":"Bis zum Inkrafttreten des NIS2UmsuCG am 6. Dezember 2025 war das BSI-Gesetz (BSIG) primär auf Betreiber kritischer Infrastrukturen (KRITIS) ausgerichtet. Die KRITIS-Verordnung (BSI-KritisV) definierte Schwellenwerte, ab denen Unternehmen in den Sektoren Energie, Wasser, Gesundheit, Ernährung, Transport, Finanz- und Versicherungswesen, IT und Telekommunikation als KRITIS galten. Der zentrale Schwellenwert: 500.000 versorgte Personen.","p2":"Mit der NIS2-Umsetzung hat sich das grundlegend geändert. Der Geltungsbereich wurde von 7 auf 18 Sektoren erweitert, die Schwellenwerte drastisch gesenkt (50 Mitarbeiter oder 10 Mio. EUR Umsatz), und neue Pflichten wie die persönliche Geschäftsführerhaftung eingeführt. KRITIS-Betreiber bleiben als Sonderkategorie erhalten - unterliegen aber zusätzlich den erweiterten NIS2-Anforderungen. Für Unternehmen, die bisher nur unter KRITIS fielen, bedeutet das: Ihre bestehenden Maßnahmen bleiben gültig, aber es kommen neue Pflichten hinzu (insbesondere §38 Geschäftsführerhaftung und erweiterte Meldepflichten). Für die rund 28.000 Unternehmen, die neu unter NIS2 fallen, ist das gesamte BSIG-Pflichtenprogramm neu."},"table":{"heading":"Vergleichstabelle","description":"Die wichtigsten Unterschiede zwischen dem alten KRITIS-Regime und dem neuen NIS2/BSIG-Rahmen.","headers":{"aspect":"Aspekt","kritis":"KRITIS (alt)","nis2":"NIS2/BSIG (neu)"},"rows":{"scope":{"aspect":"Geltungsbereich","kritis":"~2.000 Betreiber kritischer Infrastrukturen in 7 Sektoren","nis2":"~30.000 Einrichtungen in 18 Sektoren (davon ~4.700 wesentliche)"},"threshold":{"aspect":"Schwellenwerte","kritis":"500.000 versorgte Personen (BSI-KritisV), sektorspezifisch","nis2":"Ab 50 Mitarbeiter ODER ab 10 Mio. EUR Jahresumsatz in betroffenen Sektoren"},"registration":{"aspect":"Registrierung","kritis":"KRITIS-Meldung an das BSI, keine feste Frist","nis2":"Pflichtregistrierung nach §33 BSIG, Frist 3 Monate nach Inkrafttreten"},"reporting":{"aspect":"Meldepflichten","kritis":"Unverzügliche Meldung erheblicher IT-Störungen","nis2":"Dreistufiges Meldesystem: 24 Stunden (Frühwarnung), 72 Stunden (Erstbewertung), 1 Monat (Abschlussbericht)"},"penalties":{"aspect":"Bußgelder","kritis":"Bis 100.000 EUR (nach altem BSIG)","nis2":"Bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes, bis 7 Mio. EUR oder 1,4%"},"liability":{"aspect":"Geschäftsführerhaftung","kritis":"Keine gesetzliche Sonderregelung","nis2":"Persönliche Haftung nach §38 BSIG - Billigung, Überwachung, Schulungspflicht"},"audit":{"aspect":"Prüfung und Aufsicht","kritis":"Nachweisprüfung alle 2 Jahre (§8a BSIG alt)","nis2":"Wesentliche Einrichtungen: proaktive Aufsicht durch das BSI; wichtige Einrichtungen: reaktive Aufsicht bei Hinweisen; KRITIS: weiterhin Nachweisprüfung"},"supply":{"aspect":"Lieferkettensicherheit","kritis":"Keine explizite gesetzliche Pflicht","nis2":"§30 Abs. 2 Nr. 4 BSIG: Verpflichtende Sicherheitsbewertung der Lieferkette"}}},"newSectors":{"heading":"7 neue Sektoren unter NIS2","description":"Folgende Sektoren waren unter dem alten KRITIS-Regime nicht erfasst und fallen erstmals unter das BSIG.","items":{"waste":{"title":"Abfallwirtschaft","detail":"Sammlung, Behandlung und Entsorgung von Abfällen. Erfasst unter NIS2 Anhang II. Umfasst kommunale Abfalldienste, Gefährstoffverarbeiter und Recyclingbetriebe. Die meisten Abfallunternehmen hatten noch nie mit Cybersicherheitsregulierung zu tun."},"food":{"title":"Lebensmittelproduktion und -vertrieb","detail":"Lebensmittelherstellung, -verarbeitung und Großhandelsvertrieb. Erfasst unter NIS2 Anhang II. Dies erstreckt sich über den Lebensmitteleinzelhandel hinaus auf Produktionsanlagen, Kühlkettenlogistik und Lebensmittelsicherheitssysteme."},"manufacturing":{"title":"Herstellung kritischer Produkte","detail":"Herstellung von Medizinprodukten, Computern, Elektronik, optischen Produkten, elektrischen Ausrüstungen, Maschinen, Kraftfahrzeugen und sonstigen Transportmitteln. Erfasst unter NIS2 Anhang II. Eine erhebliche Anzahl deutscher Mittelstandsunternehmen fällt in diese Kategorie."},"postal":{"title":"Post- und Kurierdienste","detail":"Postdienstleister und Kurierunternehmen. Erfasst unter NIS2 Anhang II. Umfasst Paketzustelldienste, Postsortierungsbetriebe und Logistikplattformen für die Letzte-Meile-Zustellung."},"chemicals":{"title":"Chemische Produktion und Vertrieb","detail":"Herstellung, Produktion und Vertrieb von Chemikalien. Erfasst unter NIS2 Anhang II. Überschneidet sich erheblich mit bestehender Sicherheitsregulierung (Störfallverordnung), fügt aber cybersicherheitsspezifische Pflichten hinzu."},"research":{"title":"Forschungseinrichtungen","detail":"Forschungseinrichtungen, deren Hauptzweck angewandte Forschung oder experimentelle Entwicklung ist. Erfasst unter NIS2 Anhang II. Umfasst Fraunhofer-Institute, Helmholtz-Zentren und private Forschungsorganisationen oberhalb der Größenschwelle."},"digital":{"title":"Digitale Infrastruktur und Dienste","detail":"Erweiterter Geltungsbereich für digitale Anbieter: Managed Service Provider, Managed Security Service Provider, Online-Marktplätze, Suchmaschinen, soziale Netzwerke und Rechenzentren. Einige waren zuvor teilweise erfasst - NIS2 erweitert und präzisiert die Definitionen erheblich."}}},"unchanged":{"heading":"Was gleich geblieben ist","items":["Das BSI bleibt die zentrale zuständige Behörde und nationales CSIRT für Deutschland","IT-Grundschutz bleibt die empfohlene Methodik zur Umsetzung von Sicherheitsmaßnahmen (§44(2) BSIG)","Das Grundprinzip „angemessener und verhältnismäßiger“ Maßnahmen - Sie müssen umsetzen, was für Ihre Größe und Ihr Risikoprofil angemessen ist, nicht alles theoretisch Mögliche","Die Anforderung, ein Informationssicherheitsmanagementsystem (ISMS) in irgendeiner Form zu unterhalten - ob formal zertifiziert oder nach Grundschutz strukturiert"]},"faq":{"heading":"Häufige Fragen","q1":{"q":"Wir waren bisher KRITIS-Betreiber. Müssen wir uns trotzdem neu beim BSI registrieren?","a":"Ja. Die Registrierung nach §33 BSIG ist eine neue Pflicht, die auch für bestehende KRITIS-Betreiber gilt. Die bisherige KRITIS-Meldung beim BSI ersetzt die NIS2-Registrierung nicht. KRITIS-Betreiber müssen sich über das neue BSI-Registrierungsportal registrieren."},"q2":{"q":"Unser Unternehmen hat 80 Mitarbeiter und 15 Mio. EUR Umsatz. Wären wir unter dem alten KRITIS-Regime betroffen gewesen?","a":"Mit hoher Wahrscheinlichkeit nicht. Die KRITIS-Schwelle lag bei 500.000 versorgten Personen - ein Wert, den mittelständische Unternehmen in den meisten Sektoren nicht erreichten. Unter NIS2 sind Sie mit 80 Mitarbeitern und 15 Mio. EUR Umsatz als wichtige Einrichtung eingestuft, sofern Sie in einem der 18 betroffenen Sektoren tätig sind."},"q3":{"q":"Gelten die höheren NIS2-Bußgelder auch rückwirkend für bestehende Verstöße?","a":"Nein. Die neuen Bußgeldvorschriften des §65 BSIG gelten seit dem Inkrafttreten am 6. Dezember 2025. Verstöße, die vor diesem Datum lagen, werden nach den alten Bußgeldvorschriften beurteilt. Allerdings sind Dauerverstöße - wie eine fortlaufend unzureichende Cybersicherheit - ab dem Inkrafttreten nach neuem Recht zu bewerten."},"q4":{"q":"Können unsere bestehenden KRITIS-Nachweise für die NIS2-Compliance wiederverwendet werden?","a":"Teilweise. Wenn Sie IT-Grundschutz nach BSI-200-x implementiert haben, erkennt §44 Abs. 2 BSIG dies als NIS2-Compliance-Nachweis an. Bestehende KRITIS-Auditberichte und Sicherheitskonzepte bilden eine gute Grundlage, müssen aber um die neuen NIS2-spezifischen Anforderungen ergänzt werden - insbesondere Lieferkettensicherheit, Geschäftsführerschulung und das erweiterte Meldesystem."}},"sources":{"heading":"Quellen","items":["BSIG - Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, in der Fassung des NIS2UmsuCG","BSI-KritisV - Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz","NIS2-Richtlinie (EU) 2022/2555 - Anhang I und II (Sektorlisten)","BSI - Orientierungshilfe zur NIS2-Betroffenheit (bsi.bund.de)","BMI - Gesetzentwurf NIS2UmsuCG, Begründung und Stellungnahmen"]},"ctaCard":{"heading":"Von KRITIS zu NIS2 - strukturiert umstellen","description":"Die Plattform bildet alle 49 BSIG-Anforderungen ab und zeigt bestehenden KRITIS-Betreibern die Lücken zur NIS2-Compliance. Neue betroffene Unternehmen erhalten einen vollständigen Umsetzungsfahrplan."},"cta":"NIS2-Compliance starten"},"glossary":{"meta":{"title":"NIS2-Glossar - Wichtige Begriffe einfach erklärt","description":"Die wichtigsten NIS2- und BSIG-Fachbegriffe verständlich erklärt. Von wesentlicher Einrichtung bis IT-Grundschutz - für Geschäftsführer."},"title":"NIS2-Glossar","subtitle":"Die 20 wichtigsten Begriffe rund um NIS2, BSIG und Cybersicherheits-Compliance - verständlich erklärt, mit Gesetzesverweisen.","intro":"NIS2-Compliance bringt ein eigenes Vokabular mit - eine Mischung aus EU-Rechtssprache, deutschem Verwaltungsrecht und Cybersicherheits-Fachbegriffen. Dieses Glossar erklärt jeden Begriff so, wie Sie ihn verstehen müssen: Was er in der Praxis bedeutet, nicht nur wofür die Abkürzung steht. Wo ein Begriff eine gängige deutsche Entsprechung aus dem BSIG hat, führen wir diese mit auf.","terms":{"wesentlicheEinrichtung":{"term":"Wesentliche Einrichtung","definition":"Unternehmen in Sektoren hoher Kritikalität (Anhang I der NIS2-Richtlinie) oberhalb der Größenschwelle. In Deutschland unterliegen diese den strengsten Anforderungen und höchsten Bußgeldern nach §28 BSIG - Energie, Transport, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur. Wesentliche Einrichtungen unterliegen proaktiver BSI-Aufsicht - das BSI kann ohne konkreten Anlass prüfen.","german":"Wesentliche Einrichtung","legalRef":"§28 Abs. 1 BSIG, NIS2-Richtlinie Art. 3 Abs. 1"},"wichtigeEinrichtung":{"term":"Wichtige Einrichtung","definition":"Unternehmen in sonstigen kritischen Sektoren (Anhang II der NIS2-Richtlinie) oberhalb der Größenschwelle. Gleiche Kernpflichten wie wesentliche Einrichtungen, aber niedrigere Höchstbußgelder und reaktive statt proaktive Aufsicht - das BSI wird erst bei konkreten Hinweisen tätig. Typische Sektoren: Abfallwirtschaft, Lebensmittel, verarbeitendes Gewerbe, Post, Chemie, Forschung.","german":"Wichtige Einrichtung","legalRef":"§28 Abs. 2 BSIG, NIS2-Richtlinie Art. 3 Abs. 2"},"bsig":{"term":"BSIG (BSI-Gesetz)","definition":"Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik - die deutsche Umsetzung der NIS2-Richtlinie. Das NIS2UmsuCG hat das BSIG grundlegend novelliert und alle NIS2-Pflichten in deutsches Recht überführt. Wer in Deutschland von NIS2-Compliance spricht, meint die Einhaltung des novellierten BSIG - nicht der EU-Richtlinie selbst.","german":"Gesetz über das Bundesamt für Sicherheit in der Informationstechnik","legalRef":"BSIG in der Fassung des NIS2UmsuCG"},"nis2Directive":{"term":"NIS2-Richtlinie","definition":"Die EU-Richtlinie (EU) 2022/2555 zur Netzwerk- und Informationssicherheit, die alle Mitgliedstaaten zur Umsetzung von Cybersicherheitsregulierung für wesentliche und wichtige Einrichtungen verpflichtet. Sie setzt Mindestanforderungen - jedes Land hat sie in nationales Recht umgesetzt. In Deutschland wurde daraus das novellierte BSIG. Sie müssen nicht die Richtlinie direkt einhalten, sondern das BSIG.","legalRef":"Richtlinie (EU) 2022/2555"},"cir2024":{"term":"CIR 2024/2690","definition":"Die Durchführungsverordnung (EU) 2024/2690 der Europäischen Kommission, die die genauen technischen und methodischen Anforderungen an NIS2-Einrichtungen konkretisiert. Anders als die Richtlinie gilt sie unmittelbar in allen EU-Mitgliedstaaten ohne nationale Umsetzung. Sie definiert, was ‚angemessene Cybersicherheitsmaßnahmen' in der Praxis bedeuten - das technische Regelwerk, das die offenen Details der Richtlinie ausfüllt.","legalRef":"Durchführungsverordnung (EU) 2024/2690"},"bsiRegistration":{"term":"BSI-Registrierung","definition":"Die Pflicht aller betroffenen Einrichtungen, sich beim BSI über dessen Online-Portal zu registrieren. Vorgeschrieben durch §33 BSIG mit eigenem Bußgeldtatbestand. Sie übermitteln Unternehmensdaten, Sektorklassifizierung, eine Cybersicherheits-Kontaktstelle und IP-Adressbereiche. Die Registrierung ist eine eigenständige Rechtspflicht - ihre Erfüllung ersetzt nicht die übrigen NIS2-Anforderungen, aber ihre Nichterfüllung ist ein eigener Verstoß.","german":"BSI-Registrierung","legalRef":"§33 BSIG"},"significantIncident":{"term":"Erheblicher Sicherheitsvorfall","definition":"Ein Cybersicherheitsereignis, das tatsächlich Dienste beeinträchtigt, finanziellen Schaden verursacht oder sich auf Dritte ausbreiten kann. Nicht jede Phishing-Mail - nur Ereignisse, die bestimmte Schwellenwerte überschreiten, lösen die BSI-Meldekaskade aus. Die CIR 2024/2690 definiert konkrete Schwellenwerte: finanzieller Schaden über 500.000 EUR oder 5% des Jahresumsatzes, Exfiltration von Geschäftsgeheimnissen oder Gefährdung von Leib und Leben.","german":"Erheblicher Sicherheitsvorfall","legalRef":"§32 BSIG, CIR 2024/2690 Art. 3"},"riskManagement":{"term":"Risikomanagementmaßnahmen","definition":"Die zehn Kategorien von Cybersicherheitsmaßnahmen, die alle NIS2-Einrichtungen nach §30 BSIG umsetzen müssen. Sie reichen von Risikoanalyse und Vorfallbehandlung bis zu Lieferkettensicherheit und Kryptografie. Die Maßnahmen müssen ‚angemessen und verhältnismäßig' zu Größe und Risikoprofil sein - von einem 50-Personen-Entsorgungsbetrieb werden nicht die gleichen Kontrollen erwartet wie von der Deutschen Telekom.","german":"Risikomanagementmaßnahmen","legalRef":"§30 Abs. 2 BSIG"},"supplyChainSecurity":{"term":"Sicherheit der Lieferkette","definition":"Die Pflicht, Cybersicherheitsrisiken in der Lieferkette zu bewerten und zu steuern - insbesondere bei IT-Dienstleistern, Cloud-Anbietern und allen Lieferanten mit Zugang zu Ihren Systemen oder Daten. Sie müssen Sicherheitsanforderungen vertraglich verankern, die Sicherheitspraktiken der Lieferanten bewerten und diese laufend überwachen. Dies ist neu gegenüber dem alten KRITIS-Regime.","german":"Sicherheit der Lieferkette","legalRef":"§30 Abs. 2 Nr. 4 BSIG"},"managementLiability":{"term":"Leitungsverantwortung","definition":"Die persönliche Haftung der Geschäftsleitung für NIS2-Compliance nach §38 BSIG. Die Geschäftsführung muss Cybersicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und an Cybersicherheitsschulungen teilnehmen - und kann persönlich für daraus entstehende Schäden haften. Diese Haftung kann nicht abbedungen werden - auch nicht durch Gesellschafterbeschluss. Diese Vorschrift hebt Cybersicherheit aus der IT-Abteilung in die Geschäftsleitung.","german":"Leitungsverantwortung / Geschäftsführerhaftung","legalRef":"§38 BSIG"},"itGrundschutz":{"term":"IT-Grundschutz","definition":"Das IT-Sicherheitsframework des BSI - ein umfassendes System aus Sicherheitsbausteinen mit schrittweiser Umsetzungsanleitung. §44 Abs. 2 BSIG erkennt die Implementierung von Grundschutz ausdrücklich als Nachweis der NIS2-Compliance an. Da das BSI Grundschutz sowohl veröffentlicht als auch NIS2 durchsetzt, bedeutet die Nutzung ihres Frameworks, dass Sie gegen einen Standard geprüft werden, den der Prüfer in- und auswendig kennt.","german":"IT-Grundschutz","legalRef":"§44 Abs. 2 BSIG, BSI-Standards 200-1 bis 200-4"},"auditTrail":{"term":"Audit-Trail (Prüfpfad)","definition":"Die lückenlose, chronologische Dokumentation aller sicherheitsrelevanten Aktionen und Entscheidungen im Compliance-Prozess. NIS2 verlangt den Nachweis, dass Maßnahmen nicht nur dokumentiert, sondern tatsächlich umgesetzt und gepflegt werden. Der Audit-Trail zeigt dem BSI-Prüfer, dass Ihre Richtlinien gelebte Dokumente sind - wer eine Maßnahme genehmigt hat, wann sie zuletzt geprüft wurde, was sich geändert hat."},"mfa":{"term":"Mehrstufige Authentifizierung (MFA)","definition":"Authentifizierung, die zwei oder mehr Verifikationsfaktoren erfordert - typischerweise etwas, das Sie wissen (Passwort) und etwas, das Sie besitzen (Smartphone, Hardware-Schlüssel). §30 Abs. 2 Nr. 10 BSIG verlangt MFA für Fernzugriffe, administrative Zugänge und Zugriff auf kritische Systeme. Wenn Sie MFA noch nicht für VPN, Administratorkonten und E-Mail einsetzen, ist dies eine der konkretesten technischen Anforderungen zur Umsetzung.","legalRef":"§30 Abs. 2 Nr. 10 BSIG"},"section30":{"term":"§30 BSIG - Risikomanagementmaßnahmen","definition":"Die zentrale Vorschrift der NIS2-Umsetzung im deutschen Recht. Listet zehn Kategorien von Cybersicherheits-Risikomanagementmaßnahmen, die alle betroffenen Einrichtungen umsetzen müssen: Risikoanalyse, Vorfallbehandlung, Business Continuity, Lieferkettensicherheit, sichere Entwicklung, Wirksamkeitsbewertung, Schulung, Kryptografie, Zugangskontrolle und Mehrstufige Authentifizierung. Die Maßnahmen müssen ‚angemessen und verhältnismäßig' sein - nicht vergoldet, aber ernsthaft.","legalRef":"§30 BSIG"},"section32":{"term":"§32 BSIG - Meldepflichten","definition":"Die dreistufige Pflicht-Meldekaskade bei erheblichen Sicherheitsvorfällen. Bei einem erheblichen Vorfall: Frühwarnung an das BSI innerhalb von 24 Stunden, detaillierte Vorfallmeldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Jede Stufe hat spezifische Inhaltsanforderungen. Verspätete oder fehlende Meldungen sind eigenständige Verstöße mit eigenen Bußgeldtatbeständen.","german":"Meldepflichten","legalRef":"§32 BSIG"},"section33":{"term":"§33 BSIG - Registrierungspflicht","definition":"Die Rechtspflicht aller betroffenen Einrichtungen, sich beim BSI zu registrieren. Anzugeben sind Unternehmensdaten, Sektorklassifizierung, Cybersicherheits-Kontaktdaten und IP-Adressbereiche. Die Nichtregistrierung ist ein eigenständiger Verstoß mit Bußgeldern bis 500.000 EUR - unabhängig von Bußgeldern für fehlende tatsächliche Sicherheitsmaßnahmen.","german":"Registrierungspflicht","legalRef":"§33 BSIG"},"section38":{"term":"§38 BSIG - Billigung von Risikomanagementmaßnahmen","definition":"Die Vorschrift, die die Geschäftsleitung persönlich für NIS2-Compliance haftbar macht. Die Geschäftsführung muss Risikomanagementmaßnahmen genehmigen, deren Umsetzung überwachen und an Cybersicherheitsschulungen teilnehmen. Pflichtverletzung begründet persönliche Schadensersatzhaftung - und diese Haftung kann nicht durch Gesellschafterbeschluss abbedungen werden. Dies ist der Paragraph, der CEOs aufhorchen lässt.","german":"Billigung von Risikomanagementmaßnahmen","legalRef":"§38 BSIG"},"annex1":{"term":"Anhang I der NIS2-Richtlinie - Sektoren hoher Kritikalität","definition":"Die Liste der Sektoren, deren Einrichtungen als ‚wesentlich' (wesentliche Einrichtungen) eingestuft werden, wenn sie die Größenschwelle erreichen. Umfasst: Energie (Strom, Öl, Gas, Wasserstoff, Fernwärme), Transport (Luft, Schiene, Wasser, Straße), Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, öffentliche Verwaltung und Weltraum.","legalRef":"Anhang I NIS2-Richtlinie, §28 Abs. 1 BSIG"},"annex2":{"term":"Anhang II der NIS2-Richtlinie - Sonstige kritische Sektoren","definition":"Die Liste der Sektoren, deren Einrichtungen als ‚wichtig' (wichtige Einrichtungen) eingestuft werden, wenn sie die Größenschwelle erreichen. Umfasst: Post- und Kurierdienste, Abfallwirtschaft, Chemische Herstellung und Vertrieb, Lebensmittelproduktion und -vertrieb, verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinen, Fahrzeuge), digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) und Forschungseinrichtungen.","legalRef":"Anhang II NIS2-Richtlinie, §28 Abs. 2 BSIG"},"csirt":{"term":"CSIRT (Computer Security Incident Response Team)","definition":"Das nationale Team für die Entgegennahme und Bearbeitung von Cybersicherheitsvorfällen. In Deutschland fungiert das BSI als nationales CSIRT. Wenn Sie einen erheblichen Vorfall nach §32 BSIG melden, nimmt das BSI-CSIRT Ihre Meldung entgegen und bearbeitet sie. Es kann auch technische Unterstützung bei der Vorfallbewältigung leisten - es ist nicht nur ein Briefkasten, sondern eine operative Ressource.","german":"Computer-Notfallteam","legalRef":"NIS2-Richtlinie Art. 10, §32 BSIG"},"kritis":{"term":"KRITIS (Kritische Infrastrukturen)","definition":"Betreiber kritischer Anlagen, die den Schwellenwert der BSI-KritisV erreichen (in der Regel 500.000 versorgte Personen). KRITIS-Betreiber sind automatisch wesentliche Einrichtungen und unterliegen zusätzlichen Pflichten: Nachweisprüfung alle 3 Jahre, Angriffserkennung, verschärfte Meldepflichten.","german":"Betreiber Kritischer Infrastrukturen","legalRef":"BSI-KritisV, §28 BSIG"},"nis2umsucg":{"term":"NIS2UmsuCG","definition":"Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - das deutsche Umsetzungsgesetz für die NIS2-Richtlinie. Verabschiedet am 13. November 2025, in Kraft seit 6. Dezember 2025. Novelliert das BSIG grundlegend und überführt alle NIS2-Pflichten in deutsches Recht.","german":"NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz","legalRef":"NIS2UmsuCG (BGBl. 2025)"},"naceCode":{"term":"NACE-Code","definition":"Die Statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (Nomenclature statistique des Activités économiques dans la Communauté Européenne). NIS2 und das BSIG verwenden NACE-Codes zur Definition der betroffenen Sektoren und Wirtschaftszweige.","german":"Statistische Systematik der Wirtschaftszweige","legalRef":"Verordnung (EG) 1893/2006"},"muk":{"term":"MUK (Mein Unternehmenskonto)","definition":"Das zentrale Unternehmenskonto der Bundesverwaltung, authentifiziert über ELSTER-Zertifikate. Voraussetzung für die BSI-Registrierung: Zuerst MUK-Konto anlegen, dann über das MUK-Konto auf das BSI-Registrierungsportal zugreifen.","german":"Mein Unternehmenskonto","legalRef":"OZG, ELSTER"}},"sources":{"heading":"Quellen","items":["BSIG - Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (Fassung NIS2UmsuCG)","NIS2-Richtlinie (EU) 2022/2555 - Amtsblatt der Europäischen Union","Durchführungsverordnung (EU) 2024/2690 - Amtsblatt der Europäischen Union","BSI - IT-Grundschutz-Standards BSI-200-1 bis BSI-200-4","BSI - IT-Grundschutz-Kompendium (aktuelle Edition)"]},"ctaCard":{"heading":"Vom Glossar zur Umsetzung","description":"Die Plattform setzt jeden dieser Begriffe in die Praxis um: Registrierung, Risikomanagement, Vorfallmeldung und Audit-Trail - strukturiert nach den 49 BSIG-Anforderungen."},"cta":"NIS2-Compliance starten"},"sectorWaste":{"meta":{"title":"NIS2 für die Abfallwirtschaft - Sektorleitfaden","description":"Abfallwirtschaft fällt erstmals unter NIS2 (Anhang II). Praxisleitfaden für Entsorger: IT-Profil, Asset-Kategorien und Umsetzungsprioritäten."},"badge":"Anhang II NIS2","title":"NIS2 für die Abfallwirtschaft","subtitle":"Die Abfallwirtschaft ist ein neuer Sektor unter NIS2 Anhang II. Für viele Entsorgungs- und Recyclingunternehmen ist dies die erste regulatorische Berührung mit Cybersicherheit. Dieser Leitfaden zeigt, was konkret zu tun ist.","why":{"heading":"Warum die Abfallwirtschaft?","p1":"Die NIS2-Richtlinie stuft die Abfallwirtschaft als sonstigen kritischen Sektor (Anhang II) ein. Die Begründung: Abfallentsorgung ist eine essenzielle Dienstleistung der Daseinsvorsorge. Ein Ausfall der Abfalllogistik - etwa durch einen Cyberangriff auf Fuhrparkmanagementsysteme oder Wägesysteme - hat direkte Auswirkungen auf die öffentliche Hygiene und Gesundheit.","p2":"Unternehmen der Abfallwirtschaft mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von mindestens 10 Mio. EUR fallen als wichtige Einrichtungen unter das BSIG. Bei großen Entsorgern (ab 250 Mitarbeiter oder über 50 Mio. EUR Umsatz) in Sektoren des Anhangs I kann auch eine Einstufung als wesentliche Einrichtung in Betracht kommen.","p3":"Die meisten mittelständischen Entsorgungsunternehmen hatten bisher keinen Kontakt mit IT-Sicherheitsregulierung. Weder das alte KRITIS-Regime noch branchenspezifische Standards adressierten die Abfallwirtschaft explizit. NIS2 ändert das grundlegend."},"assets":{"heading":"Wie sieht das Asset-Inventar eines Entsorgungsunternehmens aus?","description":"Jede NIS2-Einrichtung muss ein Inventar der Assets führen, die kritische Dienste unterstützen. Für ein typisches Entsorgungsunternehmen mit 80-150 Mitarbeitern ist das Inventar einfacher als gedacht - in der Regel 10 bis 15 gruppierte Einträge.","items":{"fleet":{"title":"Fuhrparkmanagement und GPS","detail":"GPS-Tracking, Tourenplanung, digitale Auftragssteuerung für Sammelfahrzeuge. Oft cloudbasiert mit Schnittstellen zu Waagesystemen und Kundensystemen. Fällt dieses System aus, können Fahrzeuge nicht effizient disponiert werden. Alle Fuhrparkkomponenten als ein Asset-Eintrag gruppieren."},"weighing":{"title":"Wägesysteme","detail":"Fahrzeugwaagen an Annahmestellen und Sortieranlagen, die ein- und ausgehende Materialmengen für Abrechnung und behördliche Nachweisführung dokumentieren. Häufig über serielle Schnittstellen an ERP-Systeme angebunden. Können ältere Industriesteuerungen enthalten. Das Wägesystem (Hardware + Software) als ein Asset gruppieren."},"erp":{"title":"ERP- und Abrechnungssystem","detail":"Das zentrale Geschäftssystem für Auftrags-, Kunden- und Materialstrommanagement, Abrechnung und behördliche Meldungen. Meist SAP Business One, Microsoft Dynamics oder branchenspezifische Lösungen wie RECY oder Entsorgungsmanager. Eine Kompromittierung betrifft Umsatz, Kundendaten und Nachweisführung. Ein Asset-Eintrag."},"scada":{"title":"Sortier- und Verwertungsanlagensteuerung","detail":"Wenn Ihr Unternehmen Sortieranlagen, Vergärungsanlagen oder thermische Verwertungsanlagen betreibt, haben Sie wahrscheinlich SCADA- oder Industriesteuerungssysteme für die physischen Prozesse. Diese sind oft älter und verfügen über eingeschränkte Sicherheitsfunktionen. Sie bilden eine eigene Risikokategorie, da sie physische Anlagen steuern. Pro Anlage gruppieren."},"endpoints":{"title":"Endgeräte und Büro-IT","detail":"Laptops, Desktops und mobile Endgeräte für Büropersonal, Disponenten und Geschäftsleitung. Standard-Büroanwendungen (Microsoft 365, E-Mail, Dokumentenmanagement). Grundschutz erlaubt die Gruppierung identischer Geräte: ‚45 Standard-Windows-Laptops' ist ein Asset-Eintrag, nicht 45."},"network":{"title":"Netzwerkinfrastruktur","detail":"Router, Switches, Firewalls und VPN-Verbindungen zwischen Verwaltung, Betriebshof und Anlagenstandorten. Internetanbindungen und Standort-zu-Standort-Verbindungen einschließen. Bei mehreren Standorten kann das Netzwerk jedes Standorts ein gruppierter Eintrag sein. Das Netzwerk verbindet alles andere - seine Kompromittierung betrifft alle anderen Assets."}}},"priorities":{"heading":"Wo anfangen - Prioritätenreihenfolge für Entsorgungsunternehmen","description":"Sie müssen nicht alles auf einmal erledigen. Diese Reihenfolge spiegelt wider, wonach das BSI zuerst sucht und was den größten Compliance-Wert pro Arbeitsstunde erzeugt.","items":{"registration":{"title":"1. Beim BSI registrieren","description":"Schließen Sie Ihre §33 BSIG-Registrierung über das BSI-Portal ab. Dies ist die sichtbarste Pflicht und hat einen eigenen Bußgeldtatbestand (bis 500.000 EUR). Es dauert etwa 30 Minuten und dokumentiert sofort, dass Sie sich aktiv mit Ihren Pflichten auseinandersetzen. Tun Sie dies vor allem anderen."},"assets":{"title":"2. Asset-Inventar aufbauen","description":"Erfassen Sie die Systeme, die Ihre Abfallsammlung, -behandlung und -entsorgung unterstützen. Nutzen Sie die sechs obigen Kategorien als Ausgangspunkt. Notieren Sie für jedes Asset, was es tut, wer es betreibt (intern oder Dienstleister) und was passiert, wenn es 24 Stunden nicht verfügbar ist. Dieses Inventar wird die Grundlage für alles Weitere."},"incidents":{"title":"3. Vorfallmeldung einrichten","description":"Definieren Sie, was in Ihrem Unternehmen als erheblicher Sicherheitsvorfall gilt, und etablieren Sie den Prozess für die BSI-Meldung innerhalb der vorgeschriebenen Fristen (24h/72h/1 Monat). Bestimmen Sie, wer die Meldeentscheidung trifft, wer die Meldung absetzt und wie Sie diese Personen außerhalb der Geschäftszeiten erreichen. Sie brauchen kein Security Operations Center - Sie brauchen einen klaren Alarmierungsplan und einen dokumentierten Prozess."},"access":{"title":"4. Zugangskontrollen prüfen","description":"Prüfen Sie, wer Zugang zu Ihren kritischen Systemen hat - insbesondere Fuhrparkmanagement, ERP und ggf. Anlagensteuerungen. Führen Sie Mehrstufige Authentifizierung für Fernzugriffe und Administratorkonten ein. Entfernen Sie Zugänge ehemaliger Mitarbeiter. Dies ist oft der Bereich mit dem meisten Quick-Win-Potenzial: Viele Entsorgungsunternehmen haben gemeinsam genutzte Passwörter, kein MFA und noch aktive Konten ausgeschiedener Mitarbeiter."},"suppliers":{"title":"5. Lieferantenbeziehungen dokumentieren","description":"Die meisten Entsorgungsunternehmen lagern wesentliche IT-Funktionen aus - Cloud-Hosting, ERP-Wartung, Fuhrparkmanagement-Software. Dokumentieren Sie, wer diese Lieferanten sind, welchen Zugang sie zu Ihren Systemen haben und welche Sicherheitszusagen sie machen. Dies ist der Beginn Ihres Lieferkettensicherheitsprozesses nach §30 Abs. 2 Nr. 4 BSIG. Wird Ihr IT-Dienstleister gehackt, sind Ihre Daten und Ihre Dienste gefährdet."}}},"specifics":{"heading":"Was Entsorgungsunternehmen besonders macht","p1":"Entsorgungsunternehmen haben ein einzigartiges Risikoprofil. Anders als bei einem Softwareunternehmen, wo fast alles digital ist, beinhaltet die Abfallwirtschaft physische Prozesse: Fahrzeuge auf der Straße, Material in Bewegung, Anlagen an Standorten. Ein Cyberangriff auf das Fuhrparkmanagement hat unmittelbare Auswirkungen in der physischen Welt. Diese OT-Dimension bedeutet, dass Ihre Risikobewertung sowohl IT-Systeme als auch Industriesteuerungen berücksichtigen sollte.","p2":"Die meisten Entsorgungsunternehmen lagern umfangreich aus. Viele arbeiten mit einem kleinen internen IT-Team (oder ganz ohne eigene IT-Mitarbeiter) und setzen für alles von E-Mail über ERP bis Fuhrparkmanagement auf externe Dienstleister. Unter NIS2 können Sie den Betrieb auslagern, aber nicht die Verantwortung - §30 BSIG hält Ihr Unternehmen für Sicherheitsmaßnahmen verantwortlich, auch wenn ein Dienstleister sie erbringt. Das macht Lieferantenmanagement zu Ihrem wichtigsten Compliance-Hebel.","p3":"Die positive Seite: IT-Umgebungen von Entsorgungsunternehmen sind typischerweise überschaubar. Ein 100-Personen-Entsorgungsbetrieb hat vielleicht 6 bis 10 unterschiedliche Systemgruppen, verglichen mit 30 oder mehr bei einer Bank oder einem Krankenhaus ähnlicher Größe. Das bedeutet, der Compliance-Aufwand ist verhältnismäßig - Sie sprechen von Wochen konzentrierter Arbeit, nicht von einem Mehrjahresprogramm. Der BSI-Maßstab ‚angemessen und verhältnismäßig' kommt Ihnen hier zugute."},"faq":{"heading":"Häufig gestellte Fragen","q1":{"q":"Ist unser Entsorgungsunternehmen tatsächlich von NIS2 betroffen?","a":"Wenn Ihr Unternehmen in der Abfallsammlung, -behandlung oder -entsorgung tätig ist und 50 oder mehr Mitarbeiter oder 10 Mio. EUR oder mehr Jahresumsatz hat, sind Sie mit sehr hoher Wahrscheinlichkeit als wichtige Einrichtung nach NIS2 Anhang II betroffen. Die Sektordefinition deckt die gesamte Wertschöpfungskette der Abfallwirtschaft ab. Wenn Sie nahe an der Schwelle liegen, prüfen Sie, ob verbundene Konzernunternehmen Sie über den Grenzwert bringen - NIS2 verwendet die EU-KMU-Definition, die verbundene Unternehmen berücksichtigt."},"q2":{"q":"Wir lagern die gesamte IT aus - gilt NIS2 trotzdem für uns?","a":"Ja, vollumfänglich. NIS2 gilt für die Einrichtung, die den Abfallwirtschaftsdienst erbringt, unabhängig davon, wer die IT betreibt. Sie können die Arbeit auslagern, aber nicht die rechtliche Verantwortung (§30 BSIG). In der Praxis bedeutet das: Ihr IT-Dienstleister wird Ihr kritischster Lieferant. Dokumentieren Sie die Beziehung, nehmen Sie Cybersicherheitsanforderungen in den Vertrag auf und prüfen Sie, ob der Dienstleister angemessene Sicherheitsmaßnahmen hat. Wird er gehackt, greift Ihre Meldepflicht - nicht seine."},"q3":{"q":"Wie sieht ein Asset-Inventar für ein Entsorgungsunternehmen aus?","a":"Einfacher als Sie denken. Ein typisches Entsorgungsunternehmen mit 100 Mitarbeitern hat etwa 10 bis 15 gruppierte Asset-Einträge: Fuhrparkmanagementsystem, Wägesystem, ERP/Abrechnung, Netzwerkinfrastruktur pro Standort, Standard-Endgeräte (gruppiert - z.B. ‚45 Windows-Laptops'), E-Mail/Zusammenarbeit (Microsoft 365) und ggf. SCADA- oder Sortieranlagensteuerung. Grundschutz erlaubt ausdrücklich die Gruppierung identischer Assets - Sie brauchen keine Einzelzeile für jeden Laptop."},"q4":{"q":"Wie lange dauert die NIS2-Compliance für ein Unternehmen unserer Größe?","a":"Für ein 100-Personen-Entsorgungsunternehmen, das bei null anfängt, rechnen Sie mit 3 bis 6 Monaten bis zu einer soliden Grundlage: BSI-Registrierung (Woche 1), Asset-Inventar und Risikobewertung (Wochen 2 bis 6), Vorfallmeldeprozess (Wochen 4 bis 8), Zugangskontrollverbesserungen (Wochen 6 bis 12), Richtliniendokumentation (fortlaufend). Sie müssen nicht am ersten Tag perfekt sein - das BSI bewertet Entwicklung und guten Glauben. Nach der Ersteinrichtung besteht der laufende Aufwand hauptsächlich aus jährlichen Reviews und der Reaktion auf Vorfälle."}},"sources":{"heading":"Quellen","items":["NIS2-Richtlinie (EU) 2022/2555 - Anhang II, Sektor 'Abfallwirtschaft'","BSIG - §28, §29 (Anwendungsbereich), §30 (Risikomanagementmaßnahmen)","BSI - IT-Grundschutz-Kompendium, Bausteine OPS (Betrieb) und IND (Industrielle IT)","Verband kommunaler Unternehmen (VKU) - Positionspapier NIS2 und Abfallwirtschaft","Bundesverband der Deutschen Entsorgungs-, Wasser- und Kreislaufwirtschaft (BDE) - NIS2-Orientierungshilfe"]},"ctaCard":{"heading":"NIS2-Umsetzung für Entsorger","description":"Die Plattform führt Sie durch alle 49 BSIG-Anforderungen mit branchengerechten Hinweisen - von der Asset-Erfassung über Lieferantenbewertung bis zur Vorfallmeldung."},"cta":"NIS2-Compliance starten"},"penalties":{"meta":{"title":"NIS2 Bußgeld 2026: Bis 10 Mio. € + Haftung","description":"NIS2-Bußgelder nach BSIG: bis 10 Mio. EUR für wesentliche, 7 Mio. EUR für wichtige Einrichtungen, 500.000 EUR Registrierungsverstoß. Haftung der Geschäftsführung."},"title":"NIS2-Bußgelder: Was Sie tatsächlich riskieren","subtitle":"Das BSIG sieht Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes vor. Dazu kommt die persönliche Haftung der Geschäftsführung nach §38 BSIG. Hier erfahren Sie, was das konkret für Ihr Unternehmen bedeutet.","overview":{"heading":"Die Bußgeldstruktur im Überblick","p1":"Das NIS2-Bußgeldsystem des BSIG ist in §65 geregelt und orientiert sich an der Systematik der DSGVO: Es gibt Höchstgrenzen, die sich entweder als fester Betrag oder als Prozentsatz des weltweiten Jahresumsatzes berechnen - wobei der jeweils höhere Wert gilt. Das bedeutet: Für umsatzstarke Unternehmen kann der prozentuale Wert den Festbetrag deutlich übersteigen.","p2":"Zusätzlich zu den Unternehmensbußgeldern führt §38 BSIG eine persönliche Haftung der Geschäftsleitung ein, die in dieser Form im deutschen Cybersicherheitsrecht neu ist. Diese Haftung ist nicht auf die Fälle beschränkt, in denen ein Schaden eingetreten ist - bereits die Verletzung der Überwachungspflicht kann Haftung begründen."},"tiers":{"heading":"Vier Bußgeldstufen","description":"Das BSIG differenziert die Bußgeldhöhe nach Einrichtungstyp und Art des Verstoßes.","items":{"essential":{"amount":"Bis 10.000.000 EUR oder 2% des weltweiten Jahresumsatzes","label":"Wesentliche Einrichtungen - Verstöße gegen Cybersicherheitsmaßnahmen","detail":"Gilt für Verstöße gegen Sicherheitsmaßnahmen (§30), Meldepflichten (§32) und BSI-Anordnungen. Es gilt der jeweils höhere Wert - bei einem Jahresumsatz von über 500 Mio. EUR übersteigt die 2%-Grenze den Festbetrag. Rechtsgrundlage: §65 Abs. 1 BSIG."},"important":{"amount":"Bis 7.000.000 EUR oder 1,4% des weltweiten Jahresumsatzes","label":"Wichtige Einrichtungen - Verstöße gegen Cybersicherheitsmaßnahmen","detail":"Gleiche Verstoßarten wie bei wesentlichen Einrichtungen, aber niedrigere Obergrenze. Bei einem Umsatz von über 500 Mio. EUR übersteigt die 1,4%-Grenze den Festbetrag. Rechtsgrundlage: §65 Abs. 2 BSIG."},"registration":{"amount":"Bis 500.000 EUR","label":"Registrierungsverstöße","detail":"Gilt für die unterlassene oder verspätete Registrierung nach §33 BSIG, das Versäumnis, Änderungen der Registrierungsdaten mitzuteilen, und die fehlende Benennung einer Kontaktstelle. Dieses Bußgeld ist eigenständig - es wird neben eventuellen Bußgeldern für Verstöße gegen §30 oder §32 verhängt."},"reporting":{"amount":"Analog zu Obergrenzen für wesentliche und wichtige Einrichtungen","label":"Meldeverstöße","detail":"Verstöße gegen die Meldepflicht nach §32 BSIG - also das Versäumnis, erhebliche Sicherheitsvorfälle fristgerecht zu melden - unterliegen den gleichen Bußgeldrahmen wie Verstöße gegen die Sicherheitsmaßnahmen. Eine nicht gemeldete Frühwarnung innerhalb von 24 Stunden kann also dasselbe Bußgeld nach sich ziehen wie fehlende Sicherheitsmaßnahmen."}}},"examples":{"heading":"Konkrete Berechnungsbeispiele","description":"Was die Höchststrafen für Unternehmen verschiedener Größen bedeuten. Die umsatzbasierte Berechnung wird relevant, wenn sie den Festbetrag übersteigt.","headers":{"company":"Unternehmenstyp","turnover":"Jahresumsatz","maxEssential":"Max. Bußgeld","maxImportant":"Max. Bußgeld"},"rows":{"small":{"company":"Kleiner Mittelstand","turnover":"15.000.000 €","maxEssential":"10.000.000 € (Festbetrag gilt - 2% wären nur 300.000 €)","maxImportant":"7.000.000 € (Festbetrag gilt - 1,4% wären nur 210.000 €)"},"medium":{"company":"Mittlerer Mittelstand","turnover":"50.000.000 €","maxEssential":"10.000.000 € (Festbetrag gilt - 2% wären nur 1.000.000 €)","maxImportant":"7.000.000 € (Festbetrag gilt - 1,4% wären nur 700.000 €)"},"large":{"company":"Großunternehmen","turnover":"200.000.000 €","maxEssential":"10.000.000 € (Festbetrag gilt - 2% wären 4.000.000 €)","maxImportant":"7.000.000 € (Festbetrag gilt - 1,4% wären 2.800.000 €)"}}},"scenarios":{"heading":"4 Bußgeldszenarien","description":"Was tatsächlich BSI-Durchsetzung auslöst und wie die Konsequenzen in der Praxis aussehen.","items":{"lateRegistration":{"title":"Verspätete oder fehlende BSI-Registrierung","description":"Ihr Unternehmen hat sich nicht beim BSI registriert. Es gibt keinen Sicherheitsvorfall, aber das BSI stellt im Rahmen einer Sektorprüfung fest, dass Sie betroffen sind und sich nicht registriert haben.","consequence":"Bußgeld bis 500.000 EUR für den Registrierungsverstoß. Zusätzlich: BSI-Anordnung zur Registrierung und Umsetzung der §30-Maßnahmen, ggf. mit Zwangsgeld."},"noIncidentReport":{"title":"Unterlassene Meldung eines erheblichen Vorfalls","description":"Ihr Unternehmen wird Opfer eines Ransomware-Angriffs, der den Geschäftsbetrieb für 3 Tage stilllegt. Sie melden den Vorfall nicht an das BSI, weil Sie den Meldeprozess nicht etabliert haben.","consequence":"Mehrfachverstoß: Bußgeld für fehlende Sicherheitsmaßnahmen (kein Incident-Response-Prozess) und Bußgeld für unterlassene Meldung. Beide Verstöße werden unabhängig geahndet. Die Geschäftsleitung haftet zudem persönlich nach §38 BSIG."},"noRiskManagement":{"title":"Kein Risikomanagement-Prozess vorhanden","description":"Sie haben sich beim BSI registriert, aber keine der 10 Maßnahmenbereiche nach §30 BSIG umgesetzt. Bei einer BSI-Prüfung wird festgestellt, dass weder ein Risikomanagement noch Vorfallbehandlungsprozesse existieren.","consequence":"Bußgeld bis 10 Mio. EUR oder 7 Mio. EUR für den §30-Verstoß. Die Registrierung allein schützt nicht vor Bußgeldern - sie ist nur die erste von vielen Pflichten."},"supplyChainGap":{"title":"Lücken in der Lieferkettensicherheit","description":"Ihr Unternehmen hat den IT-Betrieb an einen Managed Service Provider ausgelagert. Der Anbieter erleidet einen Datenschutzvorfall, der Ihre Kundendaten offenlegt. Das BSI stellt fest, dass keine Lieferantensicherheitsbewertung, keine vertraglichen Cybersicherheitsanforderungen und keine Überwachung der Sicherheitslage des Anbieters vorhanden sind.","consequence":"Sie sind gemäß §30(2)(4) BSIG für Ihre Lieferkettensicherheit verantwortlich, unabhängig davon, wo der Vorfall aufgetreten ist. Das Fehlen einer Lieferanten-Due-Diligence bedeutet, dass Sie erforderliche Maßnahmen nicht umgesetzt haben. Dies kann Bußgelder im Rahmen der Cybersicherheitsmaßnahmen auslösen (bis zu 10 Mio. €/7 Mio. € je nach Einrichtungstyp), und der Vorfall selbst löst zusätzlich Meldepflichten aus. Wenn Sie auch die Meldung unterlassen, kumulieren sich die Bußgelder."}}},"managementLiability":{"heading":"Geschäftsführerhaftung nach §38 BSIG","description":"Die persönliche Haftung der Geschäftsleitung ist das vielleicht schärfste Schwert der NIS2-Umsetzung in Deutschland.","p1":"§38 BSIG schafft einen persönlichen Haftungsmechanismus für die Geschäftsführung, der von den Unternehmensbußgeldern getrennt ist. Die Geschäftsleitung muss die Cybersicherheits-Risikomanagementmaßnahmen genehmigen, deren Umsetzung überwachen und Cybersicherheitsschulungen absolvieren. Werden diese Pflichten vernachlässigt und erleidet das Unternehmen daraus Schäden, kann die Geschäftsleitung persönlich für diese Schäden haftbar gemacht werden. Dies ist eine Innenhaftung - der Schadensersatzanspruch kommt vom Unternehmen (oder seinem Insolvenzverwalter) gegen die einzelnen Geschäftsführer.","p2":"Entscheidend: §38 BSIG stellt klar, dass diese Haftung nicht durch Gesellschafterbeschluss abbedungen werden kann. Selbst in einer inhabergeführten GmbH, in der der Geschäftsführer auch alleiniger Gesellschafter ist, besteht die Haftung. D&O-Versicherungspolicen schließen in der Regel regulatorische Bußgelder und Strafen aus, und die Deckung für NIS2-spezifische Haftung ist ein sich entwickelnder Bereich - prüfen Sie Ihre spezifische Police, anstatt Deckung vorauszusetzen. Die praktische Konsequenz: NIS2-Compliance ist jetzt ein persönliches Risikomanagement-Thema für jeden Geschäftsführer, nicht nur ein Corporate-Governance-Kontrollkästchen."},"faq":{"heading":"Häufige Fragen","q1":{"q":"Kann das BSI sofort ein Bußgeld verhängen, oder gibt es zunächst eine Verwarnung?","a":"Das BSI hat Ermessen. In der Praxis ist zu erwarten, dass das BSI zunächst auf Compliance drängt - durch Anordnungen, Fristsetzungen und ggf. Zwangsgeld. Bei offensichtlichen und schwerwiegenden Verstößen (etwa kompletter Untätigkeit über Monate) kann das BSI aber auch direkt ein Bußgeld verhängen. Eine gesetzliche Pflicht zur Vorwarnung besteht nicht."},"q2":{"q":"Werden Bußgelder pro Verstoß oder pro Unternehmen verhängt?","a":"Pro Verstoß. Das bedeutet: Fehlende Registrierung (§33), fehlende Sicherheitsmaßnahmen (§30) und unterlassene Meldung (§32) sind drei separate Ordnungswidrigkeiten mit jeweils eigenen Bußgeldrahmen. Die Bußgelder können kumuliert werden."},"q3":{"q":"Haftet der Geschäftsführer auch, wenn es gar keinen Cyberangriff gab?","a":"Ja. Die Haftung nach §38 BSIG knüpft an die Verletzung der Billigung-, Überwachungs- und Schulungspflicht an - nicht an den Eintritt eines Schadens. Ein Geschäftsführer, der keine Maßnahmen genehmigt und keine Schulung absolviert hat, verletzt seine Pflichten unabhängig davon, ob ein Angriff stattfindet. Der Schaden kann auch ein Bußgeld sein, das das Unternehmen zahlen muss."},"q4":{"q":"Welchen Umsatz legt das BSI bei Konzernstrukturen zugrunde?","a":"Den weltweiten Jahresumsatz der Unternehmensgruppe (Konzernumsatz) des vorangegangenen Geschäftsjahres. Das ist die gleiche Systematik wie bei der DSGVO. Für ein deutsches Tochterunternehmen eines internationalen Konzerns kann der Bemessungsumsatz daher wesentlich höher sein als der eigene Umsatz der Tochtergesellschaft."},"q5":{"q":"Kann ich mich als Geschäftsführer durch eine Cyber-Versicherung absichern?","a":"Eine Cyber-Versicherung schützt das Unternehmen vor den finanziellen Folgen von Cyberangriffen - sie schützt nicht die Geschäftsleitung vor der persönlichen Haftung nach §38 BSIG. Dafür ist eine D&O-Versicherung relevant, die aber regulatorische Bußgelder oft ausschließt. Prüfen Sie beide Policen mit einem Fachanwalt."}},"sources":{"heading":"Quellen","items":["BSIG - §38 (Billigung, Überwachung und Schulung), §65 (Bußgeldvorschriften)","NIS2-Richtlinie (EU) 2022/2555 - Artikel 34 und 36 (Durchsetzung und Sanktionen)","BMI - Gesetzentwurf NIS2UmsuCG, Begründung zu §38 und §65","GDV (Gesamtverband der Deutschen Versicherungswirtschaft) - Hinweise zu D&O-Deckung und Cyber-Regulierungsrisiken","Noerr LLP - NIS2 Management Liability: §38 BSIG Analysis (2025)"]},"ctaCard":{"heading":"Bußgeldrisiko systematisch senken","description":"Die Plattform dokumentiert jeden Compliance-Schritt nachweisbar - Risikomanagement, Maßnahmengenehmigung, Geschäftsführerschulung. Im Fall einer BSI-Prüfung haben Sie den Audit-Trail, der zeigt: Sie haben gehandelt."},"cta":"NIS2-Compliance starten"},"securityObligation":{"meta":{"title":"IT-Sicherheitspflicht für Unternehmen","description":"Seit Dezember 2025 gilt eine gesetzliche IT-Sicherheitspflicht für tausende deutsche Unternehmen. Grundlage ist das BSIG (NIS2-Umsetzung)."},"title":"Die neue IT-Sicherheitspflicht für Unternehmen","subtitle":"Seit dem 6. Dezember 2025 gilt das neue BSI-Gesetz. Rund 29.500 Unternehmen in Deutschland müssen jetzt gesetzliche Cybersicherheits-Mindeststandards erfüllen - viele wissen es noch nicht.","overview":{"heading":"Was ist die IT-Sicherheitspflicht?","p1":"Wenn Sie nach „IT-Sicherheitspflicht“ suchen, meinen Sie höchstwahrscheinlich die NIS2-Richtlinie der EU und ihre deutsche Umsetzung im BSI-Gesetz (BSIG). Es gibt keine separate „IT-Sicherheitspflicht“ - NIS2 ist die neue gesetzliche Grundlage, die Unternehmen in 18 Sektoren zur Cybersicherheit verpflichtet.","p2":"Das Gesetz heißt offiziell NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) und hat das BSI-Gesetz grundlegend überarbeitet. Die Kernpflichten stehen in §30 BSIG (Risikomanagementmaßnahmen) und §32 BSIG (Meldepflichten bei Sicherheitsvorfällen). Zusätzlich haftet die Geschäftsführung persönlich nach §38 BSIG.","p3":"Der Anwendungsbereich ist deutlich weiter als beim alten KRITIS-Regime. Nicht nur Energieversorger und Krankenhäuser sind betroffen, sondern auch Lebensmittelproduzenten, Maschinenbauer, Logistikunternehmen, Abfallentsorger und viele weitere Branchen. Entscheidend sind Sektor und Unternehmensgröße."},"check":{"heading":"Bin ich betroffen?","description":"Vier Kriterien bestimmen, ob Ihr Unternehmen unter die IT-Sicherheitspflicht fällt. Wenn Sektor und Größe zutreffen, sind Sie mit hoher Wahrscheinlichkeit betroffen.","items":{"sector":{"title":"Sektor prüfen","description":"Ihr Unternehmen muss in einem der 18 NIS2-Sektoren tätig sein - darunter Energie, Transport, Gesundheit, Lebensmittel, Verarbeitendes Gewerbe, Chemie, Abfallwirtschaft, digitale Infrastruktur und weitere. Die vollständige Liste steht in Anhang I und II der NIS2-Richtlinie."},"size":{"title":"Mitarbeiterzahl prüfen","description":"Ab 50 Mitarbeitern greift die Größenschwelle. Zählen Sie alle Beschäftigten inklusive verbundener Unternehmen - NIS2 verwendet die EU-KMU-Definition, die Konzernzugehörigkeit berücksichtigt."},"revenue":{"title":"Umsatz und Bilanz prüfen","description":"Alternativ zur Mitarbeiterzahl: Über 10 Mio. EUR Jahresumsatz UND über 10 Mio. EUR Bilanzsumme. Beide Schwellen müssen gleichzeitig überschritten werden. Auch hier zählen verbundene Unternehmen mit."},"services":{"title":"Erbrachte Dienste prüfen","description":"Bestimmte Einrichtungen sind unabhängig von ihrer Größe betroffen - etwa DNS-Anbieter, TLD-Register, qualifizierte Vertrauensdiensteanbieter, KRITIS-Betreiber und alleinige Erbringer wesentlicher Dienste in einer Region."}}},"steps":{"heading":"Was muss ich tun?","description":"Die IT-Sicherheitspflicht nach BSIG umfasst fünf zentrale Handlungsfelder. Die Registrierung beim BSI war bereits bis März 2026 fällig, die vollständige Umsetzung muss bis Oktober 2026 stehen.","items":{"register":{"title":"Beim BSI registrieren","description":"Alle betroffenen Einrichtungen müssen sich über das BSI-Portal (muk.bsi.bund.de) selbst identifizieren und registrieren. Die Registrierungsfrist war der 17. März 2025 - wer das versäumt hat, sollte die Registrierung umgehend nachholen. Allein die Nichtregistrierung kann mit bis zu 500.000 EUR Bußgeld belegt werden."},"assess":{"title":"Risiken bewerten","description":"Erstellen Sie ein Inventar Ihrer IT-Systeme und bewerten Sie die Cybersicherheitsrisiken. Welche Systeme unterstützen Ihre wesentlichen Dienste? Was passiert bei einem Ausfall? Das Risikoregister ist das Fundament aller weiteren Maßnahmen."},"implement":{"title":"Sicherheitsmaßnahmen umsetzen","description":"§30 BSIG schreibt zehn Kategorien von Maßnahmen vor: Risikoanalyse, Vorfallbewältigung, Betriebskontinuität, Lieferkettensicherheit, Zugangskontrolle, Kryptografie, Personalschulungen und mehr. Der Umfang muss „angemessen und verhältnismäßig“ sein - ein 80-Personen-Unternehmen braucht kein SOC, aber dokumentierte Prozesse."},"report":{"title":"Meldeprozess einrichten","description":"Erhebliche Sicherheitsvorfälle müssen dem BSI innerhalb von 24 Stunden (Erstmeldung), 72 Stunden (Bewertung) und einem Monat (Abschlussbericht) gemeldet werden. Definieren Sie vorab, wer die Meldeentscheidung trifft und wer die Meldung absetzt."},"maintain":{"title":"Kontinuierlich pflegen","description":"IT-Sicherheit ist kein Einmalprojekt. Risikobewertungen müssen regelmäßig aktualisiert, Maßnahmen überprüft und die Geschäftsführung jährlich geschult werden. Dokumentieren Sie alles - im Prüfungsfall zählt, was nachweisbar ist."}}},"consequences":{"heading":"Was passiert, wenn ich nichts tue?","p1":"Die Bußgelder sind gestaffelt: Bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen, bis zu 7 Mio. EUR oder 1,4 % für wichtige Einrichtungen. Registrierungsverstöße allein kosten bis zu 500.000 EUR. Das BSI hat Ermessen bei der Bemessung, berücksichtigt aber ausdrücklich, ob ein Unternehmen erkennbare Compliance-Bemühungen unternommen hat.","p2":"Schwerer wiegt die persönliche Haftung der Geschäftsführung nach §38 BSIG. Die Geschäftsleitung muss die Cybersicherheitsmaßnahmen billigen, deren Umsetzung überwachen und sich selbst schulen lassen. Diese Pflicht ist nicht delegierbar. Ein Verstoß kann zu persönlicher Schadensersatzpflicht führen - und die meisten D&O-Versicherungen schließen vorsätzliche Pflichtverletzungen aus."},"faq":{"heading":"Häufig gestellte Fragen","q1":{"q":"Ist „IT-Sicherheitspflicht“ dasselbe wie NIS2?","a":"Ja. Es gibt kein separates Gesetz mit dem Namen „IT-Sicherheitspflicht“. Der Begriff beschreibt die gesetzliche Pflicht zur IT-Sicherheit, die seit Dezember 2025 durch das BSIG (die deutsche NIS2-Umsetzung) geregelt ist. Wenn jemand von der neuen IT-Sicherheitspflicht spricht, meint er die NIS2-Anforderungen im BSIG."},"q2":{"q":"Wir haben nur 60 Mitarbeiter - betrifft uns das wirklich?","a":"Wenn Ihr Unternehmen in einem der 18 NIS2-Sektoren tätig ist und mindestens 50 Mitarbeiter hat oder über 10 Mio. EUR Umsatz und 10 Mio. EUR Bilanzsumme erreicht, sind Sie betroffen. Die Schwelle ist bewusst niedrig angesetzt. Prüfen Sie auch, ob Konzernzugehörigkeit Ihre Mitarbeiterzahl oder Finanzkennzahlen beeinflusst."},"q3":{"q":"Was kostet die Umsetzung für ein mittelständisches Unternehmen?","a":"Für ein Unternehmen mit 50 bis 250 Mitarbeitern liegen die Gesamtkosten erfahrungsgemäß zwischen 30.000 und 120.000 EUR im ersten Jahr - abhängig vom Ausgangsniveau und davon, wie viel intern erledigt wird. Der größte Kostenfaktor ist nicht Technologie, sondern Arbeitszeit für Dokumentation und Prozessgestaltung. Unternehmen, die bereits ISO 27001 oder IT-Grundschutz umgesetzt haben, starten mit deutlichem Vorsprung."},"q4":{"q":"Gibt es eine Übergangsfrist?","a":"Nein. Das BSIG ist seit dem 6. Dezember 2025 in Kraft und die Pflichten gelten sofort. Die Registrierungsfrist beim BSI war der 17. März 2025, die vollständige Umsetzung der Sicherheitsmaßnahmen wird bis zum 17. Oktober 2026 erwartet. Wer jetzt erst anfängt, sollte zumindest die Registrierung sofort nachholen und einen nachvollziehbaren Umsetzungsplan dokumentieren."},"q5":{"q":"Kann ich die Umsetzung komplett an einen IT-Dienstleister auslagern?","a":"Die technische Umsetzung können Sie auslagern, die Verantwortung nicht. §30 BSIG hält Ihr Unternehmen für die Sicherheitsmaßnahmen verantwortlich, auch wenn ein Dienstleister sie betreibt. Die Geschäftsführung muss die Maßnahmen verstehen, billigen und deren Umsetzung überwachen. Ein externer Berater kann unterstützen, aber die Geschäftsleitung muss selbst entscheidungsfähig sein."}},"ctaCard":{"heading":"Betroffenheit jetzt prüfen","description":"In 5 Minuten erfahren Sie, ob Ihr Unternehmen unter die IT-Sicherheitspflicht fällt - und welche konkreten Pflichten für Sie gelten."},"cta":"Betroffenheitsprüfung starten"},"bsiRegistration":{"meta":{"title":"BSI-Registrierung - Schritt für Schritt","description":"Praktische Anleitung zur NIS2-Registrierung beim BSI: MUK-Portal, ELSTER-Zertifikat, benötigte Daten und häufige Fehler. Schritt für Schritt erklärt."},"title":"BSI-Registrierung: Schritt-für-Schritt-Anleitung","subtitle":"Alle NIS2-Einrichtungen müssen sich beim BSI registrieren (§33 BSIG). Die Registrierung erfolgt über das Mein-Unternehmenskonto-Portal mit ELSTER-Authentifizierung. Diese Anleitung führt Sie durch jeden Schritt.","overview":{"p1":"Die BSI-Registrierung ist eine Selbstidentifikationspflicht. Das BSI informiert Sie nicht, ob Sie betroffen sind - Sie müssen das selbst feststellen und sich aktiv registrieren. Die Frist war der 17. März 2025. Wer die Registrierung noch nicht abgeschlossen hat, sollte sie umgehend nachholen, denn allein die Nichtregistrierung ist ein eigenständiger Bußgeldtatbestand (bis 500.000 EUR).","p2":"Die Registrierung selbst dauert etwa 30 bis 45 Minuten, wenn Sie alle Unterlagen vorbereitet haben. Der häufigste Grund für Verzögerungen: Das ELSTER-Unternehmenskonto ist nicht vorhanden oder abgelaufen. Bereiten Sie sich vor, bevor Sie das Portal öffnen."},"prep":{"heading":"Was Sie vorher brauchen","description":"Besorgen Sie diese vier Dinge, bevor Sie die Registrierung starten. So vermeiden Sie Abbrüche und Wartezeiten.","items":{"muk":{"title":"Mein Unternehmenskonto (MUK)","description":"Die Registrierung läuft über muk.bsi.bund.de. Falls Ihr Unternehmen dort noch kein Konto hat, legen Sie eines an. Das MUK ist die zentrale Plattform für Behördenkommunikation und wird auch für andere Meldepflichten genutzt."},"elster":{"title":"ELSTER-Unternehmenszertifikat","description":"Die Authentifizierung am MUK-Portal erfolgt über ein ELSTER-Organisationszertifikat. Falls Sie nur ein persönliches ELSTER-Zertifikat haben, reicht das nicht. Das Organisationszertifikat wird über das ELSTER-Portal beantragt und per Brief zugestellt - rechnen Sie mit 1 bis 2 Wochen Vorlauf."},"data":{"title":"Unternehmensdaten","description":"Sie benötigen: vollständiger Firmenname und Rechtsform, Handelsregisternummer, Anschrift des Hauptsitzes, Sektor und Teilsektor gemäß NIS2-Anhang, Einrichtungstyp (wesentlich oder wichtig), Mitarbeiterzahl und Umsatz/Bilanzsumme des letzten Geschäftsjahres."},"contacts":{"title":"Kontaktdaten für Sicherheitsvorfälle","description":"Das BSI verlangt eine Kontaktstelle, die für die Entgegennahme von Vorfallmeldungen und BSI-Kommunikation zuständig ist. Benennen Sie mindestens eine Person mit Name, E-Mail-Adresse und Telefonnummer. Diese Person muss auch außerhalb der Geschäftszeiten erreichbar sein."}}},"walkthrough":{"heading":"Registrierung Schritt für Schritt","description":"So läuft die Registrierung im BSI-Portal ab. Folgen Sie den Schritten in der angegebenen Reihenfolge.","items":{"s1":{"title":"Am MUK-Portal anmelden","description":"Öffnen Sie muk.bsi.bund.de und melden Sie sich mit Ihrem ELSTER-Organisationszertifikat an. Beim ersten Login müssen Sie die Nutzungsbedingungen akzeptieren und eine E-Mail-Adresse für Benachrichtigungen hinterlegen."},"s2":{"title":"NIS2-Registrierung starten","description":"Wählen Sie im Portal den Bereich „NIS2-Registrierung“. Das Portal führt Sie durch einen strukturierten Fragebogen. Halten Sie Ihre vorbereiteten Unternehmensdaten griffbereit."},"s3":{"title":"Sektor und Einrichtungstyp angeben","description":"Wählen Sie Ihren Sektor und Teilsektor aus der vorgegebenen Liste. Das Portal prüft anhand Ihrer Angaben zu Mitarbeiterzahl und Finanzkennzahlen, ob Sie als wesentliche oder wichtige Einrichtung eingestuft werden. Prüfen Sie die Einstufung sorgfältig - sie bestimmt Ihre Pflichten und den Bußgeldrahmen."},"s4":{"title":"Kontaktstelle eintragen","description":"Geben Sie die Kontaktdaten Ihrer Ansprechperson für Sicherheitsvorfälle ein. Diese Person wird das BSI bei Vorfällen und Prüfungen direkt kontaktieren. Wählen Sie jemanden, der technisch kompetent ist und kurzfristig reagieren kann."},"s5":{"title":"IP-Bereiche und Domains angeben","description":"Listen Sie die öffentlichen IP-Adressbereiche und Domainnamen auf, unter denen Sie Ihre Dienste erbringen. Das BSI nutzt diese Angaben für die Zuordnung und gegebenenfalls für Sicherheitswarnungen. Fragen Sie Ihre IT-Abteilung oder Ihren Provider, falls Sie diese Informationen nicht griffbereit haben."},"s6":{"title":"Angaben prüfen und absenden","description":"Überprüfen Sie alle Angaben in der Zusammenfassung. Nach dem Absenden erhalten Sie eine Bestätigung. Drucken oder speichern Sie diese - sie dient als Nachweis Ihrer Registrierung. Änderungen der Registrierungsdaten müssen Sie dem BSI unverzüglich mitteilen."}}},"pitfalls":{"heading":"Häufige Fehler","items":["ELSTER-Organisationszertifikat fehlt oder ist abgelaufen - Neubeantragung dauert 1 bis 2 Wochen. Rechtzeitig prüfen.","Persönliches statt Organisations-ELSTER-Zertifikat verwendet - das MUK-Portal akzeptiert nur Organisationszertifikate.","Sektor falsch gewählt - Unternehmen mit mehreren Geschäftsfeldern müssen prüfen, ob mehrere Sektoren zutreffen. Im Zweifel alle relevanten Sektoren angeben.","Verbundene Unternehmen nicht berücksichtigt - die EU-KMU-Definition summiert Mitarbeiter und Finanzkennzahlen aller verbundenen Unternehmen. Eine Tochtergesellschaft mit 30 Mitarbeitern kann betroffen sein, wenn der Konzern insgesamt über 50 Mitarbeiter hat.","Kontaktperson nicht erreichbar - das BSI erwartet eine erreichbare Kontaktstelle. Benennen Sie einen Vertreter für Urlaub und Krankheit.","Registrierung als „erledigt“ abgehakt - die Registrierung ist der erste Schritt, nicht der letzte. Danach müssen die §30-BSIG-Maßnahmen umgesetzt werden."]},"faq":{"heading":"Häufig gestellte Fragen","q1":{"q":"Wir haben die Registrierungsfrist verpasst - was jetzt?","a":"Holen Sie die Registrierung sofort nach. Eine verspätete Registrierung ist besser als keine Registrierung. Das BSI berücksichtigt bei der Bußgeldbemessung, ob ein Unternehmen kooperiert und Versäumnisse eigenständig korrigiert. Dokumentieren Sie den Zeitpunkt der Nachregistrierung als Nachweis Ihrer Compliance-Bemühungen."},"q2":{"q":"Wer im Unternehmen sollte die Registrierung durchführen?","a":"Idealerweise die Person, die auch als Kontaktstelle für Sicherheitsvorfälle benannt wird - typischerweise der IT-Leiter, CISO oder Compliance-Beauftragte. Die Geschäftsführung muss zwar nicht selbst klicken, sollte aber die Registrierung formal freigegeben haben und über die Inhalte informiert sein."},"q3":{"q":"Wir haben kein ELSTER-Organisationszertifikat. Wie lange dauert die Beantragung?","a":"Die Beantragung erfolgt über elster.de unter „Unternehmenszertifikat beantragen“. Die Bearbeitung dauert in der Regel 5 bis 10 Werktage, da der Aktivierungscode per Post zugestellt wird. Beginnen Sie diesen Schritt als Erstes - er ist der häufigste Engpass bei der BSI-Registrierung."},"q4":{"q":"Können wir uns registrieren, auch wenn wir noch nicht sicher sind, ob wir betroffen sind?","a":"Ja, im Zweifel registrieren. Es gibt kein Bußgeld für eine „unnötige“ Registrierung, aber ein erhebliches Bußgeld für eine unterlassene Registrierung. Wenn sich später herausstellt, dass Sie nicht betroffen sind, können Sie die Registrierung wieder zurücknehmen."},"q5":{"q":"Welche IP-Adressen und Domains muss ich angeben?","a":"Alle öffentlich erreichbaren IP-Adressbereiche und Domainnamen, unter denen Sie Ihre wesentlichen oder wichtigen Dienste erbringen. Dazu gehören typischerweise die IP-Bereiche Ihres Rechenzentrums oder Cloud-Hostings, Ihre Unternehmenswebsite und alle Kundenportale. Interne IP-Bereiche (10.x, 192.168.x) müssen nicht angegeben werden."}},"ctaCard":{"heading":"NIS2-Compliance nach der Registrierung","description":"Die Registrierung ist der erste Schritt. Danach müssen Sie die Sicherheitsmaßnahmen nach §30 BSIG umsetzen. Unsere Plattform führt Sie durch alle 49 Anforderungen."},"cta":"Compliance-Plattform starten"},"whatToDo":{"meta":{"title":"NIS2 betrifft mich - was jetzt?","description":"Ihr Unternehmen fällt unter NIS2? Ein konkreter 4-Wochen-Plan für die ersten Schritte - von der Registrierung bis zum Risikoregister."},"title":"NIS2 betrifft mich - was jetzt?","subtitle":"Sie haben erfahren, dass Ihr Unternehmen unter NIS2 fällt. Hier ist ein konkreter 4-Wochen-Plan, der Sie von null auf einen soliden Grundstein bringt.","tldr":{"heading":"Das Wichtigste vorweg","p1":"Sie müssen nicht alles gleichzeitig erledigen und Sie müssen nicht perfekt sein. Das BSI bewertet Fortschritt und guten Glauben. Aber Sie müssen jetzt anfangen - die Pflichten gelten seit Dezember 2025, und \"Wir wussten es nicht\" schützt nicht vor Bußgeldern.","p2":"Die ersten vier Wochen entscheiden darüber, ob Sie einen nachvollziehbaren Umsetzungsplan haben oder ob Sie bei einer Prüfung mit leeren Händen dastehen. Dieser Plan fokussiert auf die Maßnahmen mit dem höchsten Compliance-Wert pro Arbeitsstunde."},"plan":{"heading":"Der 4-Wochen-Schnellstart","description":"Jede Woche hat ein klares Ziel. Die Reihenfolge ist bewusst gewählt: Zuerst die sichtbarsten Pflichten, dann die Grundlagen für alles Weitere.","items":{"w1":{"title":"Woche 1: Registrierung und Governance","timeframe":"Tage 1-5","actions":["ELSTER-Organisationszertifikat prüfen (falls nicht vorhanden: sofort beantragen, 1-2 Wochen Vorlauf)","BSI-Registrierung über das MUK-Portal abschließen (muk.bsi.bund.de) - braucht ca. 30-45 Minuten","Kontaktstelle für Sicherheitsvorfälle benennen (Name, E-Mail, Telefon - auch außerhalb der Geschäftszeiten erreichbar)","Geschäftsführung informieren: Persönliche Haftung nach §38 BSIG, Budgetfreigabe, formale Billigung des Cybersicherheitsansatzes","Internen Compliance-Verantwortlichen benennen - muss nicht Vollzeit sein, aber klar benannt"]},"w2":{"title":"Woche 2: Asset-Inventar","timeframe":"Tage 6-10","actions":["Alle IT-Systeme auflisten, die Ihre wesentlichen/wichtigen Dienste unterstützen (ERP, Produktionssysteme, Cloud-Dienste, Netzwerk)","Für jedes System notieren: Was tut es? Wer betreibt es (intern oder Dienstleister)? Was passiert bei 24h Ausfall?","Identische Assets gruppieren (Grundschutz erlaubt das: '45 Standard-Laptops' = 1 Eintrag, nicht 45)","Ergebnis: Typischerweise 10 bis 15 Asset-Gruppen für ein Unternehmen mit 50-250 Mitarbeitern","Lieferanten identifizieren, die Zugang zu kritischen Systemen haben"]},"w3":{"title":"Woche 3: Risikobewertung und Meldeprozess","timeframe":"Tage 11-15","actions":["Risikobewertungsmethodik festlegen (Eintrittswahrscheinlichkeit x Auswirkung, 3- oder 5-stufige Skala)","Für jedes Asset die drei bis fünf relevantesten Bedrohungen bewerten (Ransomware, Datenverlust, Hardwareausfall, Lieferantenausfall)","Risikobehandlung festlegen: akzeptieren, mindern, übertragen oder vermeiden - mit Begründung","Vorfallmeldeprozess definieren: Wer entscheidet? Wer meldet ans BSI? Wie erreichen wir diese Person nachts?","Risikoregister und Meldeprozess dokumentieren - diese beiden Dokumente sind Ihre wichtigsten Compliance-Artefakte"]},"w4":{"title":"Woche 4: Quick Wins und Umsetzungsplan","timeframe":"Tage 16-20","actions":["MFA für alle Adminzugänge und Fernzugriffe einführen (oft der größte Sicherheitsgewinn für den geringsten Aufwand)","Veraltete Benutzerkonten deaktivieren - ehemalige Mitarbeiter, Testaccounts, gemeinsam genutzte Passwörter eliminieren","Backup-Strategie prüfen: Werden Backups getestet? Gibt es eine Offline-Kopie?","Geschäftsleitungsschulung nach §38 BSIG terminieren (nicht delegierbar - die Geschäftsführung muss selbst teilnehmen)","Umsetzungsplan für die verbleibenden Maßnahmen erstellen, mit Zeitplan und Verantwortlichkeiten"]}}},"mistakes":{"heading":"Die vier häufigsten Fehler","description":"Diese Fehler sehen wir bei fast jedem Unternehmen, das mit NIS2 beginnt. Vermeiden Sie sie von Anfang an.","items":{"waiting":{"title":"Abwarten und hoffen","description":"\"Das wird schon nicht so schlimm\" oder \"Das BSI hat bestimmt keine Kapazität für Kontrollen\" - gefährliche Annahmen. Das BSIG gilt seit Dezember 2025. Unternehmen ohne erkennbare Compliance-Bemühungen haben bei einer Prüfung keine Argumentationsgrundlage. Schon ein dokumentierter Umsetzungsplan zeigt guten Willen."},"overscoping":{"title":"Übertreiben beim Umfang","description":"Ein 80-Personen-Unternehmen braucht kein Security Operations Center, keinen eigenen CISO und keine zertifizierte ISO-27001-Umgebung. Das BSIG verlangt „angemessene und verhältnismäßige“ Maßnahmen. Dokumentierte Prozesse, regelmäßige Reviews und ein klarer Meldeprozess reichen für den Anfang."},"noOwner":{"title":"Keinen Verantwortlichen benennen","description":"Wenn niemand zuständig ist, passiert nichts. Benennen Sie eine konkrete Person als NIS2-Verantwortlichen - mit Zeitbudget und Rückendeckung der Geschäftsführung. Das muss keine Vollzeitstelle sein, aber es muss klar sein, wer den Hut aufhat."},"perfectDocs":{"title":"Perfekte Dokumente anstreben","description":"Ein 3-seitiges Risikoregister, das alle Assets abdeckt, ist unendlich wertvoller als ein 50-seitiges Konzeptpapier, das nie fertig wird. Beginnen Sie einfach, iterieren Sie. Das BSI will sehen, dass Sie einen funktionierenden Prozess haben - nicht, dass Ihre Dokumente hübsch formatiert sind."}}},"faq":{"heading":"Häufig gestellte Fragen","q1":{"q":"Brauche ich einen externen Berater?","a":"Nicht zwingend. Ein Unternehmen mit 50 bis 150 Mitarbeitern und einer kompetenten IT-Leitung kann die Grundlagen selbst erarbeiten. Ein Berater lohnt sich, wenn Sie keine interne IT-Kompetenz haben, bei der Risikobewertung unsicher sind oder eine externe Validierung für die Geschäftsführung brauchen. Rechnen Sie mit 5.000 bis 20.000 EUR für eine begleitete Ersteinrichtung."},"q2":{"q":"Wir haben bereits ISO 27001 - müssen wir trotzdem etwas tun?","a":"Ja, aber deutlich weniger. ISO 27001 deckt etwa 70 bis 80 Prozent der NIS2-Anforderungen ab. Was fehlt: die BSI-Registrierung (§33), die Meldepflichten mit den spezifischen Fristen (§32), die persönliche Geschäftsführerhaftung (§38) und einige NIS2-spezifische Anforderungen an Lieferkettensicherheit. Ihre bestehende Dokumentation ist eine hervorragende Grundlage."},"q3":{"q":"Wie viel Arbeitszeit muss ich einplanen?","a":"Für die ersten vier Wochen: circa 4 bis 8 Stunden pro Woche für den Compliance-Verantwortlichen, plus 2 bis 3 Stunden für die Geschäftsführung (Briefing, Freigaben, Schulung). Danach sinkt der Aufwand auf circa 2 bis 4 Stunden pro Woche für laufende Pflege. Die größte Zeitinvestition ist die initiale Risikobewertung."},"q4":{"q":"Was ist, wenn wir die Registrierung verpasst haben?","a":"Sofort nachholen. Die Registrierungsfrist war der 17. März 2025, aber eine verspätete Registrierung ist immer besser als keine. Das BSI berücksichtigt bei der Bußgeldbemessung, ob ein Unternehmen kooperiert und Versäumnisse eigenständig korrigiert. Dokumentieren Sie den Zeitpunkt der Nachregistrierung."},"q5":{"q":"Reichen vier Wochen für NIS2-Compliance?","a":"Nein, vier Wochen reichen nicht für die vollständige Compliance. Aber vier Wochen reichen, um die Grundlagen zu legen: Registrierung, Asset-Inventar, Risikoregister, Meldeprozess und die wichtigsten Quick Wins. Das ist Ihr Fundament, auf dem Sie in den folgenden Monaten aufbauen. Vollständige Compliance dauert typischerweise 3 bis 6 Monate."}},"ctaCard":{"heading":"Strukturiert statt planlos","description":"Die Plattform führt Sie durch alle 49 BSIG-Anforderungen - mit klarer Reihenfolge, Fristenverwaltung und automatischem Audit-Trail."},"cta":"Jetzt loslegen"},"sectorFood":{"meta":{"title":"NIS2 für die Lebensmittelindustrie","description":"Lebensmittelproduktion fällt unter NIS2 Anhang II. Praxisleitfaden: typische IT-Landschaft, Asset-Kategorien und Umsetzungsprioritäten."},"badge":"Anhang II NIS2","title":"NIS2 für die Lebensmittelindustrie","subtitle":"Lebensmittelproduktion, -verarbeitung und -verteilung ist ein sonstiger kritischer Sektor unter NIS2 Anhang II. Für viele Unternehmen der Branche ist dies der erste Kontakt mit Cybersicherheitsregulierung.","why":{"heading":"Warum die Lebensmittelindustrie?","p1":"Die Versorgung mit Lebensmitteln ist eine essenzielle Grundfunktion der Gesellschaft. Ein Cyberangriff auf Produktionssteuerungen, Kühlkettenmanagement oder Logistiksysteme kann die Versorgungssicherheit unmittelbar gefährden. NIS2 stuft die Lebensmittelindustrie daher als sonstigen kritischen Sektor (Anhang II) ein - konkret Großhandel, industrielle Produktion und Verarbeitung.","p2":"Unternehmen der Lebensmittelindustrie mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von mindestens 10 Mio. EUR (bei gleichzeitig über 10 Mio. EUR Bilanzsumme) fallen als wichtige Einrichtungen unter das BSIG. Große Unternehmen ab 250 Mitarbeitern oder über 50 Mio. EUR Umsatz können als wesentliche Einrichtung eingestuft werden.","p3":"Die Branche hat ein besonderes Risikoprofil: Die Produktion ist zunehmend automatisiert (MES, SPS-Steuerungen, Kühlkettenmonitoring), gleichzeitig sind viele Produktionssysteme historisch gewachsen und nicht für Cybersicherheit ausgelegt. Hinzu kommen strenge Hygienevorschriften und Chargenrückverfolgung, die bei einem IT-Ausfall direkt betroffen sind."},"assets":{"heading":"Wie sieht das Asset-Inventar eines Lebensmittelunternehmens aus?","description":"Jede NIS2-Einrichtung muss ein Inventar der IT-Systeme führen, die ihre wesentlichen Dienste unterstützen. Für ein typisches Unternehmen der Lebensmittelindustrie mit 80 bis 200 Mitarbeitern sind das in der Regel 10 bis 15 gruppierte Einträge.","items":{"erp":{"title":"ERP-System","detail":"SAP Business One, Microsoft Dynamics, proALPHA oder branchenspezifische Lösungen wie CSB-System oder GUS-OS. Das ERP steuert Einkauf, Produktion, Lagerhaltung, Chargenrückverfolgung und Abrechnung. Ein Ausfall legt typischerweise den gesamten Betrieb lahm."},"production":{"title":"Produktionssteuerung (MES/SPS)","detail":"Manufacturing Execution Systems und speicherprogrammierbare Steuerungen (SPS/PLC) für Misch-, Abfüll-, Verpackungs- und Sterilisationsanlagen. Häufig Siemens SIMATIC, Rockwell oder Beckhoff. Diese OT-Systeme steuern physische Prozesse und bilden eine eigene Risikokategorie, da sie oft ältere Firmware und eingeschränkte Sicherheitsfunktionen haben."},"coldChain":{"title":"Kühlkettenmanagement","detail":"Temperaturüberwachung und -steuerung für Lager, Transport und Produktion. Moderne Systeme sind netzwerkfähig und melden Abweichungen automatisch. Ein Ausfall gefährdet nicht nur Ware, sondern kann HACCP-Verstöße und Rückrufaktionen auslösen."},"logistics":{"title":"Logistik und Tourenplanung","detail":"Systeme für die Auslieferungslogistik, Tourenoptimierung und Sendungsverfolgung. Oft cloudbasiert mit Schnittstellen zum ERP und zu Handelskunden (EDI/EDIFACT). Fliegt das System aus, können Aufträge nicht kommissioniert und ausgeliefert werden."},"lab":{"title":"Labor- und Qualitätssysteme (LIMS)","detail":"Laboratory Information Management Systems für Qualitätskontrollen, Chargenfreigaben und die Dokumentation nach HACCP, IFS und BRC. Ohne LIMS-Zugriff können keine Chargen freigegeben werden - die Produktion steht still."},"endpoints":{"title":"Endgeräte und Büro-IT","detail":"Arbeitsplatzrechner, Laptops, Tablets in der Produktion und mobile Endgeräte. Microsoft 365, E-Mail, Dokumentenmanagement. Grundschutz erlaubt die Gruppierung: '60 Standard-Windows-Laptops' ist ein Asset-Eintrag."}}},"priorities":{"heading":"Wo anfangen - Prioritätenreihenfolge","description":"Nicht alles gleichzeitig. Diese Reihenfolge maximiert den Compliance-Wert pro investierter Stunde.","items":{"registration":{"title":"1. Beim BSI registrieren","description":"Die §33-BSIG-Registrierung über das MUK-Portal ist die sichtbarste Pflicht und hat einen eigenen Bußgeldtatbestand. 30 Minuten Aufwand, sofortiger Nachweis. Erledigen Sie das vor allem anderen."},"assets":{"title":"2. Asset-Inventar aufbauen","description":"Erfassen Sie die Systeme, die Ihre Lebensmittelproduktion und -verteilung unterstützen. Nutzen Sie die sechs obigen Kategorien als Ausgangspunkt. Für jedes Asset: Was tut es, wer betreibt es, was passiert bei 24h Ausfall? Das Inventar ist die Grundlage für Risikobewertung, Notfallplanung und alles Weitere."},"incidents":{"title":"3. Vorfallmeldung einrichten","description":"Definieren Sie, was für Ihr Unternehmen ein erheblicher Sicherheitsvorfall ist, und stellen Sie den BSI-Meldeprozess sicher (24h/72h/1 Monat). Wer entscheidet? Wer meldet? Wie erreichen Sie diese Personen am Wochenende? In der Lebensmittelindustrie laufen Produktionslinien oft im Schichtbetrieb - der Meldeprozess muss das berücksichtigen."},"suppliers":{"title":"4. Lieferantenbeziehungen dokumentieren","description":"Die Lebensmittelindustrie arbeitet mit vielen Zulieferern und Dienstleistern: ERP-Wartung, Cloud-Hosting, Kältetechnik, Logistiksoftware. Dokumentieren Sie, wer Zugang zu Ihren Systemen hat und welche Sicherheitszusagen bestehen. Wird Ihr ERP-Dienstleister gehackt, ist Ihre Chargenrückverfolgung betroffen."},"access":{"title":"5. Zugangskontrollen verstärken","description":"Prüfen Sie, wer Zugang zu ERP, Produktionssteuerung und Kühlkettenmanagement hat. MFA für Fernzugriffe und Administratorkonten einführen. Gemeinsam genutzte Passwörter in der Produktion eliminieren. Veraltete Konten ehemaliger Mitarbeiter und externer Techniker deaktivieren."}}},"specifics":{"heading":"Was Lebensmittelunternehmen besonders macht","p1":"Die Lebensmittelindustrie operiert an der Schnittstelle zwischen IT und physischer Produktion. Ein Ransomware-Angriff auf das ERP stoppt nicht nur die Buchhaltung - ohne Chargenrückverfolgung dürfen fertige Produkte nicht ausgeliefert werden. Ohne Kühlkettenmonitoring müssen Waren im Zweifel vernichtet werden. Die IT-Abhängigkeit ist höher, als viele Unternehmen denken.","p2":"Die bestehenden Qualitätsmanagementsysteme (IFS, BRC, HACCP) sind ein Vorteil. Unternehmen, die bereits nach IFS Food oder BRC zertifiziert sind, haben Erfahrung mit dokumentierten Prozessen, internen Audits und kontinuierlicher Verbesserung. Diese Strukturen lassen sich direkt für NIS2 nutzen. Das Risikodenken ist bereits vorhanden - es muss nur auf IT-Sicherheit ausgedehnt werden.","p3":"Die IT-Landschaft ist typischerweise überschaubar. Ein 150-Personen-Lebensmittelbetrieb hat vielleicht 8 bis 12 Asset-Gruppen. Der BSI-Grundsatz „angemessen und verhältnismäßig“ kommt Ihnen zugute: Sie müssen keine Bankensicherheit implementieren, sondern Maßnahmen, die zu Ihrem Risikoprofil passen."},"faq":{"heading":"Häufig gestellte Fragen","q1":{"q":"Sind auch regionale Lebensmittelproduzenten betroffen?","a":"Ja, wenn die Größenschwellen erreicht werden. NIS2 unterscheidet nicht zwischen regionalen und überregionalen Unternehmen. Ein regionaler Fleischverarbeitungsbetrieb mit 80 Mitarbeitern fällt genauso unter das BSIG wie ein bundesweiter Großhändler. Entscheidend sind Sektor (Lebensmittel) und Größe (ab 50 Mitarbeiter oder über 10 Mio. EUR Umsatz und Bilanzsumme)."},"q2":{"q":"Wir haben IFS-Food-Zertifizierung - reicht das für NIS2?","a":"Nein, IFS Food deckt NIS2 nicht ab. IFS konzentriert sich auf Lebensmittelsicherheit und -qualität, nicht auf IT-Sicherheit. Aber die IFS-Strukturen (Dokumentation, interne Audits, Prozessdenken) sind eine hervorragende Grundlage für die NIS2-Umsetzung. Sie müssen das Rad nicht neu erfinden - erweitern Sie Ihre bestehenden Prozesse um IT-Sicherheitsaspekte."},"q3":{"q":"Was ist mit unseren Produktionssteuerungen (SPS)?","a":"SPS- und MES-Systeme sind OT-Assets und gehören ins Asset-Inventar. Sie steuern physische Prozesse und bilden daher eine eigene Risikokategorie. Oft haben sie ältere Firmware, eingeschränkte Sicherheitsfunktionen und können nicht einfach gepatcht werden. Der Grundschutz-Baustein IND (Industrielle IT) adressiert genau diese Themen. Wichtig: Netzwerksegmentierung zwischen IT und OT ist die wichtigste Sofortmaßnahme."},"q4":{"q":"Wie lange dauert die NIS2-Umsetzung in der Lebensmittelindustrie?","a":"Für ein Unternehmen mit 80 bis 200 Mitarbeitern rechnen Sie mit 3 bis 6 Monaten für eine solide Grundlage. Die BSI-Registrierung ist in einer Woche erledigt. Asset-Inventar und Risikobewertung dauern 4 bis 6 Wochen. Richtlinien und Prozesse weitere 4 bis 8 Wochen. Danach folgt die laufende Pflege: jährliche Reviews und Reaktion auf Vorfälle."}},"ctaCard":{"heading":"NIS2-Umsetzung für die Lebensmittelindustrie","description":"Die Plattform führt Sie durch alle 49 BSIG-Anforderungen mit branchengerechten Hinweisen - von der Asset-Erfassung über Kühllkettenrisiken bis zur Lieferantenbewertung."},"cta":"NIS2-Compliance starten"},"sectorManufacturing":{"meta":{"title":"NIS2 für das Produzierende Gewerbe","description":"Produzierendes Gewerbe unter NIS2 Anhang II: OT/IT-Konvergenz, Asset-Landschaft und Umsetzungsprioritäten für Maschinenbauer und Fertiger."},"badge":"Anhang II NIS2","title":"NIS2 für das Produzierende Gewerbe","subtitle":"Das Verarbeitende Gewerbe fällt unter NIS2 Anhang II - darunter Maschinenbau, Elektrotechnik, Fahrzeugbau und Medizintechnik. Die zentrale Herausforderung: IT und OT wachsen zusammen, aber die Sicherheitskonzepte hinken hinterher.","why":{"heading":"Warum das Produzierende Gewerbe?","p1":"NIS2 erfasst das Verarbeitende Gewerbe erstmals als sonstigen kritischen Sektor. Die EU-Richtlinie nennt explizit: Herstellung von Medizinprodukten, Herstellung von Datenverarbeitungsgeräten und elektronischen Erzeugnissen, Herstellung von elektrischen Ausrüstungen, Maschinenbau, Herstellung von Kraftwagen und sonstiger Fahrzeugbau.","p2":"Unternehmen ab 50 Mitarbeitern oder über 10 Mio. EUR Umsatz (bei gleichzeitig über 10 Mio. EUR Bilanzsumme) fallen als wichtige Einrichtungen unter das BSIG. Für den deutschen Mittelstand betrifft das tausende Betriebe - vom Sondermaschinenbauer mit 70 Mitarbeitern bis zum Automobilzulieferer mit 200.","p3":"Das Produzierende Gewerbe hat ein einzigartiges Risikoprofil: Moderne Fertigungsanlagen sind vernetzt (Industrie 4.0, IoT-Sensoren, digitale Zwillinge), aber viele SCADA- und SPS-Systeme stammen aus einer Zeit, als Cybersicherheit kein Thema war. Die Konvergenz von IT und OT schafft neue Angriffsvektoren - ein kompromittiertes Büronetzwerk kann über ungesicherte Übergänge Produktionsanlagen erreichen."},"assets":{"heading":"Wie sieht das Asset-Inventar eines produzierenden Unternehmens aus?","description":"Ein typischer Maschinenbauer oder Fertiger mit 80 bis 200 Mitarbeitern hat 12 bis 18 gruppierte Asset-Einträge. Die Herausforderung: OT-Assets haben andere Lebenszyklen und Sicherheitsanforderungen als IT-Assets.","items":{"mes":{"title":"Manufacturing Execution System (MES)","detail":"Systeme wie MPDV HYDRA, Forcam, iTAC oder SAP ME, die Fertigungsaufträge steuern, Maschinendaten erfassen und die Rückverfolgbarkeit sicherstellen. Das MES verbindet ERP und Shopfloor. Ein Ausfall stoppt die Produktion oder erzwingt manuelle Steuerung."},"scada":{"title":"SCADA- und SPS-Systeme","detail":"Speicherprogrammierbare Steuerungen (Siemens S7, Beckhoff TwinCAT, Allen-Bradley) und übergeordnete SCADA-Systeme für Fertigungslinien, CNC-Bearbeitungszentren und Roboterzellen. Diese OT-Systeme steuern physische Prozesse und haben oft Laufzeiten von 15 bis 20 Jahren. Firmware-Updates sind selten und riskant."},"erp":{"title":"ERP-System","detail":"SAP, proALPHA, abas oder Microsoft Dynamics für Auftragsabwicklung, Materialwirtschaft, Produktionsplanung und Finanzbuchhaltung. Für Produktionsunternehmen ist das ERP das zentrale Nervensystem. Eine Kompromittierung betrifft Kundendaten, Konstruktionsdaten und die gesamte Wertschöpfung."},"cad":{"title":"CAD/CAM und Konstruktionsdaten","detail":"SolidWorks, Catia, Inventor, Creo oder NX für Produktentwicklung. CAM-Systeme erzeugen NC-Programme für Werkzeugmaschinen. Diese Daten sind häufig das wertvollste geistige Eigentum des Unternehmens. Industriespionage durch Cyberangriffe ist eine reale Bedrohung im Maschinenbau."},"network":{"title":"Netzwerkinfrastruktur","detail":"Büro-IT-Netzwerk, Produktionsnetzwerk (oft Industrial Ethernet oder PROFINET) und die Übergänge dazwischen. Firewalls, Switches, VPN-Zugänge für Fernwartung durch Maschinenhersteller. Die Netzwerksegmentierung zwischen IT und OT ist die kritischste Sicherheitsmaßnahme."},"endpoints":{"title":"Endgeräte und Büro-IT","detail":"Arbeitsplatzrechner in Konstruktion, Vertrieb und Verwaltung, Tablets an Maschinen, Engineering-Workstations mit CAD-Software. Grundschutz erlaubt Gruppierung: '30 Standard-Büroarbeitsplätze' = 1 Eintrag. Engineering-Workstations sind ein separater Eintrag wegen höherer Schutzbedarfe."}}},"priorities":{"heading":"Wo anfangen - Prioritätenreihenfolge","description":"Die Reihenfolge berücksichtigt die OT-spezifischen Risiken des Produzierenden Gewerbes.","items":{"registration":{"title":"1. Beim BSI registrieren","description":"Die §33-BSIG-Registrierung über das MUK-Portal ist die sichtbarste Pflicht. 30 Minuten Aufwand, sofortiger Compliance-Nachweis. Eigenständiger Bußgeldtatbestand bis 500.000 EUR. Erledigen Sie das vor allem anderen."},"assets":{"title":"2. Asset-Inventar aufbauen","description":"Erfassen Sie IT- und OT-Assets getrennt. Listen Sie Ihre Produktionssysteme (MES, SPS, SCADA), IT-Systeme (ERP, CAD/CAM, E-Mail) und die Netzwerkinfrastruktur dazwischen auf. Für jedes Asset: Was tut es, wer betreibt es, welche Firmware-Version läuft, was passiert bei Ausfall? Die OT-Assets sind oft der blinde Fleck."},"otSecurity":{"title":"3. IT/OT-Segmentierung prüfen","description":"Die wichtigste Sofortmaßnahme für produzierende Unternehmen: Prüfen Sie, ob Ihr Produktionsnetzwerk vom Büro-IT-Netzwerk getrennt ist. Oft gibt es historisch gewachsene Übergänge, über die ein Ransomware-Angriff aus dem Büronetz die Produktionsanlagen erreichen kann. Eine Firewall zwischen IT und OT mit restriktiven Regeln ist der höchste Sicherheitsgewinn."},"incidents":{"title":"4. Vorfallmeldung einrichten","description":"Definieren Sie, was für Ihr Unternehmen ein erheblicher Sicherheitsvorfall ist. Im Produzierenden Gewerbe kann das der Stillstand einer Fertigungslinie durch Ransomware ebenso sein wie der Diebstahl von Konstruktionsdaten. Stellen Sie den BSI-Meldeprozess sicher (24h/72h/1 Monat) und bestimmen Sie, wer die Entscheidung trifft."},"suppliers":{"title":"5. Lieferanten und Fernwartung dokumentieren","description":"Maschinenhersteller haben oft VPN-Fernwartungszugänge zu Ihren Produktionsanlagen. Dokumentieren Sie alle Fernwartungszugänge, deren Zweck und die vereinbarten Sicherheitsmaßnahmen. Auch ERP-Wartung, Cloud-Dienste und IT-Dienstleister gehören ins Lieferantenverzeichnis. Prüfen Sie, ob Fernwartungszugänge nur bei Bedarf aktiviert werden oder dauerhaft offen sind."}}},"specifics":{"heading":"Was produzierende Unternehmen besonders macht","p1":"Die OT/IT-Konvergenz ist die größte Herausforderung. Moderne Industrie-4.0-Konzepte verbinden Maschinen mit dem Internet, sammeln Echtzeitdaten und ermöglichen Fernwartung. Gleichzeitig laufen auf vielen Fertigungsanlagen Betriebssysteme, die seit Jahren keine Sicherheitsupdates mehr erhalten. Windows XP in einer CNC-Steuerung ist keine Seltenheit. Diese Systeme können oft nicht einfach aktualisiert werden, weil der Maschinenhersteller die Kompatibilität nicht garantiert.","p2":"Fernwartungszugänge sind ein besonderes Risiko. Fast jede größere Maschine hat einen VPN-Zugang für den Hersteller. In vielen Betrieben sind diese Zugänge dauerhaft aktiv und nicht überwacht. Unter NIS2 müssen Sie diese Zugänge dokumentieren, minimieren und überwachen. Der Grundschutz-Baustein IND.2.7 adressiert explizit die Fernwartung im industriellen Umfeld.","p3":"Der Schutz von Konstruktions- und Fertigungsdaten (CAD, NC-Programme, Rezepturen) ist ein oft unterschätztes Thema. Im Maschinenbau und in der Automobilzulieferung sind diese Daten das wertvollste geistige Eigentum. Ein Cyberangriff, der diese Daten abgreift, kann existenzbedrohend sein - auch wenn die Produktion weiterlauft. Die Risikobewertung muss neben Verfügbarkeit auch Vertraulichkeit adressieren."},"faq":{"heading":"Häufig gestellte Fragen","q1":{"q":"Unser Unternehmen stellt Maschinen her, keine Endprodukte. Sind wir trotzdem betroffen?","a":"Ja. NIS2 Anhang II erfasst das Verarbeitende Gewerbe breit: Maschinenbau, Elektrotechnik, Fahrzeugbau, Medizintechnik. Es kommt nicht darauf an, ob Sie B2B oder B2C produzieren. Entscheidend sind Sektor (Verarbeitendes Gewerbe/Herstellung) und Größe (ab 50 Mitarbeiter oder entsprechende Finanzkennzahlen)."},"q2":{"q":"Unsere SPS-Systeme können nicht gepatcht werden. Was tun?","a":"Das ist ein typisches Problem im Produzierenden Gewerbe und dem BSI bekannt. Der Grundschutz-Ansatz für nicht patchbare OT-Systeme: Netzwerksegmentierung (OT-Netz vom IT-Netz trennen), Zugriffsbeschränkung (nur autorisierte Personen), Überwachung (Netzwerkverkehr im OT-Segment protokollieren) und kompensierende Maßnahmen dokumentieren. Sie müssen nicht patchen, aber begründen, warum nicht, und zeigen, welche alternativen Schutzmaßnahmen Sie ergriffen haben."},"q3":{"q":"Wir haben viele Fernwartungszugänge für Maschinenhersteller. Ist das ein Problem?","a":"Es ist ein häufiges Risiko, das adressiert werden muss. Unter NIS2 müssen Sie alle Fernwartungszugänge dokumentieren und bewerten. Best Practice: Zugänge nur bei Bedarf aktivieren (nicht dauerhaft offen), Sitzungen protokollieren, Zugang auf bestimmte Maschinen beschränken und vertragliche Sicherheitsanforderungen mit dem Hersteller vereinbaren."},"q4":{"q":"Wie lange dauert die NIS2-Umsetzung für ein Produktionsunternehmen?","a":"Für ein Unternehmen mit 80 bis 200 Mitarbeitern rechnen Sie mit 4 bis 8 Monaten. Der OT-Bereich macht es tendenziell aufwendiger als bei reinen IT-Unternehmen: Die Asset-Erfassung im Shopfloor dauert länger, die Risikobewertung muss IT und OT abdecken, und die Netzwerksegmentierung erfordert möglicherweise Investitionen in Hardware. Starten Sie trotzdem jetzt - der BSI-Registrierung und den Grundlagen steht nichts im Weg."}},"ctaCard":{"heading":"NIS2-Umsetzung für produzierende Unternehmen","description":"Die Plattform führt Sie durch alle 49 BSIG-Anforderungen - mit branchenspezifischen Hinweisen zu OT-Sicherheit, Fernwartung und Lieferkettenbewertung."},"cta":"NIS2-Compliance starten"},"sectorHealth":{"meta":{"title":"NIS2 für das Gesundheitswesen - Sektorleitfaden","description":"Gesundheitswesen unter NIS2 Anhang I: Krankenhäuser, Pharma, Medizintechnik, Labore. Patientendaten, Medizingeräte und Umsetzungsprioritäten im Überblick."},"badge":"Anhang I NIS2","title":"NIS2 für das Gesundheitswesen","subtitle":"Das Gesundheitswesen ist ein hochkritischer Sektor unter NIS2 Anhang I. Krankenhäuser, pharmazeutische Unternehmen, Medizintechnikhersteller und Referenzlabore müssen erhöhte Sicherheitsanforderungen erfüllen.","why":{"heading":"Warum das Gesundheitswesen?","p1":"Cyberangriffe auf Gesundheitseinrichtungen gefährden unmittelbar Menschenleben. Ransomware-Angriffe auf Krankenhäuser haben in den letzten Jahren zu Notaufnahme-Umleitungen, verschobenen Operationen und kompromittierten Patientendaten geführt. NIS2 stuft das Gesundheitswesen daher als hochkritischen Sektor (Anhang I) ein - große Einrichtungen werden als wesentliche Einrichtungen klassifiziert.","p2":"Der Anwendungsbereich ist breit: Krankenhäuser und Kliniken, pharmazeutische Unternehmen, Hersteller von Medizinprodukten (insbesondere bei Versorgungsengpässen), EU-Referenzlabore und Forschungseinrichtungen im Gesundheitsbereich. Ab 50 Mitarbeitern oder über 10 Mio. EUR Umsatz fallen diese Einrichtungen unter das BSIG.","p3":"Das Gesundheitswesen hat ein doppeltes Risikoprofil: Einerseits die Verfügbarkeit kritischer Systeme für die Patientenversorgung, andererseits die Vertraulichkeit sensibler Gesundheitsdaten. Patientendaten sind nach Art. 9 DSGVO besondere Kategorien personenbezogener Daten und unterliegen erhöhtem Schutzbedarf. Ein Cybersicherheitsvorfall im Gesundheitswesen ist daher fast immer auch ein Datenschutzvorfall."},"assets":{"heading":"Wie sieht das Asset-Inventar einer Gesundheitseinrichtung aus?","description":"Gesundheitseinrichtungen haben eine komplexe IT-Landschaft mit vielen spezialisierten Systemen. Ein Krankenhaus mit 200 Mitarbeitern kann leicht 15 bis 25 Asset-Gruppen haben. Pharma und Medizintechnik sind typischerweise etwas weniger komplex.","items":{"his":{"title":"Krankenhausinformationssystem (KIS)","detail":"SAP IS-H, Dedalus ORBIS, Nexus/KIS oder Cerner. Das KIS ist das zentrale System für Patientenverwaltung, Dokumentation, Leistungserfassung und Abrechnung. Ein Ausfall lähmt den gesamten klinischen Betrieb. Bei Pharma-Unternehmen entspricht dies dem ERP-System (SAP, Oracle)."},"pacs":{"title":"PACS und Bildgebung","detail":"Picture Archiving and Communication Systems für Radiologie, Kardiologie und Pathologie. Speichert CT-, MRT-, Röntgen- und Ultraschallbilder. Kommuniziert über DICOM-Protokoll mit bildgebenden Geräten. Datenverlust im PACS bedeutet Verlust diagnostischer Informationen, die für die Patientenversorgung kritisch sind."},"medDevices":{"title":"Vernetzte Medizingeräte","detail":"Infusionspumpen, Patientenmonitore, Beatmungsgeräte, Laborautomaten - zunehmend netzwerkfähig. Viele Medizingeräte laufen auf eingebetteten Betriebssystemen, die der Hersteller kontrolliert und die nicht eigenständig gepatcht werden können. Gemäß MDR (EU-Medizinprodukteverordnung) dürfen Modifikationen nur durch den Hersteller erfolgen."},"lab":{"title":"Laborinformationssystem (LIS)","detail":"Systeme für die Labordiagnostik: Auftragsverwaltung, Befunderstellung, Anbindung an Laboranalytik-Geräte. Ohne LIS-Zugriff müssen Laborbefunde manuell erstellt und übermittelt werden - ein massiver Engpass in der Patientenversorgung."},"network":{"title":"Netzwerkinfrastruktur","detail":"Klinisches Netzwerk, Verwaltungsnetzwerk, Medizingerätenetzwerk (oft VLAN-segmentiert), WLAN für mobile Visite und Patienten-WLAN. Firewalls, VPN-Zugänge für Fernwartung und Telemedizin. Die Netzwerksegmentierung zwischen klinischen und administrativen Systemen ist sicherheitskritisch."},"endpoints":{"title":"Endgeräte und Arbeitsplätze","detail":"Stations-PCs, mobile Visitenwagen, Tablets, Thin Clients. In Krankenhäusern oft hunderte Endgeräte an Dutzenden Standorten. Grundschutz erlaubt Gruppierung: '200 Standard-Thin-Clients auf Stationen' ist ein Asset-Eintrag."}}},"priorities":{"heading":"Wo anfangen - Prioritätenreihenfolge","description":"Die Reihenfolge berücksichtigt die besonderen Anforderungen des Gesundheitswesens an Datenschutz und Verfügbarkeit.","items":{"registration":{"title":"1. Beim BSI registrieren","description":"Die §33-BSIG-Registrierung über das MUK-Portal ist Pflicht. Gesundheitseinrichtungen als Anhang-I-Sektor unterliegen wesentlicher Einstufung und damit proaktiver BSI-Aufsicht. Registrieren Sie sich umgehend, falls noch nicht geschehen."},"assets":{"title":"2. Asset-Inventar aufbauen","description":"Erfassen Sie alle Systeme, die die Patientenversorgung oder Ihre wesentlichen Dienste unterstützen. Im Gesundheitswesen ist die Asset-Landschaft komplexer als in anderen Branchen. Beginnen Sie mit den sechs obigen Kategorien und verfeinern Sie schrittweise. Vergessen Sie nicht die vernetzten Medizingeräte - sie sind oft der blinde Fleck."},"incidents":{"title":"3. Vorfallmeldung einrichten","description":"Im Gesundheitswesen hat ein Sicherheitsvorfall doppelte Meldepflichten: BSI-Meldung nach §32 BSIG (24h/72h/1 Monat) und bei Betroffenheit von Patientendaten zusätzlich Meldung an die Datenschutzaufsichtsbehörde nach Art. 33 DSGVO (72h). Definieren Sie einen integrierten Meldeprozess, der beide Pflichten abdeckt."},"access":{"title":"4. Zugangskontrollen verstärken","description":"Wer hat Zugang zu Patientendaten? Im klinischen Alltag sind gemeinsam genutzte Stationskonten und fehlende Bildschirmsperren verbreitet. Führen Sie rollenbasierte Zugriffskontrollen ein, aktivieren Sie MFA für Fernzugriffe und VPN, und überprüfen Sie regelmäßig die Zugriffsberechtigungen. Jeder Zugriff auf Patientendaten muss nachvollziehbar sein."},"encryption":{"title":"5. Verschlüsselung umsetzen","description":"Patientendaten müssen sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt werden. Prüfen Sie: Ist die Kommunikation zwischen KIS und PACS verschlüsselt? Sind die Datenbanken verschlüsselt? Sind mobile Endgeräte mit Patientendaten verschlüsselt? Ein gestohlener Laptop ohne Festplattenverschlüsselung ist ein meldepflichtiger Datenschutzvorfall."}}},"specifics":{"heading":"Was Gesundheitseinrichtungen besonders macht","p1":"Die Verfügbarkeitsanforderungen sind in kaum einem anderen Sektor so hoch. Ein KIS-Ausfall in einem Krankenhaus ist kein wirtschaftliches Problem - er gefährdet die Patientenversorgung. Notfallpläne müssen den Rückfall auf Papier-basierte Dokumentation abdecken. Jede Minute zählt, wenn Rettungswagen umgeleitet werden müssen.","p2":"Vernetzte Medizingeräte stellen eine besondere Herausforderung dar. Sie dürfen gemäß der EU-Medizinprodukteverordnung (MDR) nicht eigenständig verändert werden - auch keine Sicherheitsupdates. Die Verantwortung liegt beim Hersteller. In der Praxis bedeutet das: Netzwerksegmentierung, Überwachung des Netzwerkverkehrs und kompensierende Maßnahmen dokumentieren. Im Asset-Inventar müssen Sie festhalten, welche Geräte herstellergebunden sind.","p3":"Die Überschneidung mit der DSGVO ist im Gesundheitswesen besonders stark. Fast jeder Cybersicherheitsvorfall betrifft auch Patientendaten (Art. 9 DSGVO, besondere Kategorien). Das bedeutet doppelte Meldepflichten, erhöhte Bußgeldrisiken und höhere Anforderungen an technische und organisatorische Maßnahmen. Positiv: Wer NIS2 konsequent umsetzt, erfüllt auch einen Großteil der DSGVO-Anforderungen an die technisch-organisatorische Sicherheit."},"faq":{"heading":"Häufig gestellte Fragen","q1":{"q":"Wir sind ein Krankenhaus mit 300 Betten. Sind wir wesentliche Einrichtung?","a":"Mit hoher Wahrscheinlichkeit ja. Krankenhäuser fallen unter NIS2 Anhang I (Gesundheitswesen, hochkritischer Sektor). Wenn Sie 250 oder mehr Mitarbeiter haben oder über 50 Mio. EUR Umsatz, werden Sie als wesentliche Einrichtung eingestuft. Das bedeutet proaktive BSI-Aufsicht und die höchste Bußgeldstufe (bis 10 Mio. EUR oder 2 % des Umsatzes). Mittlere Einrichtungen (50 bis 249 Mitarbeiter) gelten als wichtige Einrichtung."},"q2":{"q":"Wie gehen wir mit Medizingeräten um, die wir nicht patchen dürfen?","a":"Das ist ein bekanntes Problem, das das BSI adressiert hat. Der Ansatz: Dokumentieren Sie alle vernetzten Medizingeräte im Asset-Inventar mit Firmware-Version und Herstellerverantwortung. Isolieren Sie sie in einem eigenen Netzwerksegment. Überwachen Sie den Netzwerkverkehr auf Anomalien. Schließen Sie Cybersicherheitsklauseln in Wartungsverträge mit Herstellern ein. Dokumentieren Sie die kompensierenden Maßnahmen - das BSI erwartet nicht, dass Sie MDR-konforme Geräte verändern."},"q3":{"q":"Haben wir durch das Patientendatenschutzgesetz (PDSG) nicht schon alles abgedeckt?","a":"Nur teilweise. Das PDSG und §75c SGB V betreffen Krankenhäuser und definieren Anforderungen an die IT-Sicherheit. NIS2/BSIG geht weiter: Es verlangt ein formales Risikomanagementsystem, strenge Meldepflichten (24h/72h/1 Monat), Lieferkettenbewertung und persönliche Geschäftsführerhaftung. Wenn Sie bereits nach §75c SGB V arbeiten, haben Sie eine gute Grundlage, müssen aber Lücken in den NIS2-spezifischen Bereichen schließen."},"q4":{"q":"Wie lange dauert die NIS2-Umsetzung im Gesundheitswesen?","a":"Länger als in anderen Sektoren, weil die Asset-Landschaft komplexer ist. Für ein Krankenhaus mit 200 bis 500 Mitarbeitern rechnen Sie mit 6 bis 12 Monaten für eine solide Grundlage. Die BSI-Registrierung ist in einer Woche erledigt. Asset-Inventar und Risikobewertung dauern 6 bis 10 Wochen (wegen der Medizingeräte). Richtlinien, Prozesse und technische Maßnahmen weitere 4 bis 6 Monate. Pharma und Medizintechnik sind tendenziell schneller (4 bis 8 Monate)."}},"ctaCard":{"heading":"NIS2-Umsetzung für das Gesundheitswesen","description":"Die Plattform führt Sie durch alle 49 BSIG-Anforderungen - mit Hinweisen zu Patientendatenschutz, Medizingeräten und der Verbindung von NIS2 und DSGVO."},"cta":"NIS2-Compliance starten"},"sectorLogistics":{"meta":{"title":"NIS2 für Logistik und Transport","description":"Logistik und Transport unter NIS2: Fuhrpark, Lagersysteme, TMS und Lieferkette. Praxisleitfaden für Speditionen, Paketdienste und Logistikdienstleister."},"badge":"Anhang I/II NIS2","title":"NIS2 für Logistik und Transport","subtitle":"Transport ist ein hochkritischer Sektor unter NIS2 Anhang I, Post- und Kurierdienste fallen unter Anhang II. Für Speditionen, Paketdienste und Logistikdienstleister ab 50 Mitarbeitern gelten die BSIG-Pflichten seit Dezember 2025.","why":{"heading":"Warum Logistik und Transport?","p1":"Die moderne Logistik ist vollständig digitalisiert: Transportmanagementsysteme steuern Aufträge, Telematik überwacht Fahrzeuge in Echtzeit, Lagerverwaltungssysteme koordinieren den Warenfluss und EDI-Schnittstellen verbinden Verlader, Spediteure und Empfänger. Ein Cyberangriff auf eines dieser Systeme bringt die Lieferkette zum Stillstand.","p2":"NIS2 erfasst den Transportsektor breit: Straßentransport und Logistik (Anhang I, hochkritisch), Post- und Kurierdienste (Anhang II, sonstig kritisch), sowie Luft-, Schienen- und Schifffahrt. Unternehmen ab 50 Mitarbeitern oder über 10 Mio. EUR Umsatz (bei über 10 Mio. EUR Bilanzsumme) sind betroffen.","p3":"Die Logistikbranche hat ein besonderes Risikoprofil: Die IT-Systeme sind hochgradig vernetzt - mit Kunden, Subunternehmern, Frachtbörsen und Behörden. Gleichzeitig ist die IT-Sicherheitsreife in vielen mittelständischen Speditionen gering. Shared-User-Accounts in der Disposition, fehlende Netzwerksegmentierung und ungesicherte Telematik-Schnittstellen sind verbreitet."},"assets":{"heading":"Wie sieht das Asset-Inventar eines Logistikunternehmens aus?","description":"Ein typisches Logistikunternehmen mit 80 bis 200 Mitarbeitern hat 10 bis 15 gruppierte Asset-Einträge. Die Besonderheit: Viele Assets sind mobil oder über mehrere Standorte verteilt.","items":{"tms":{"title":"Transportmanagementsystem (TMS)","detail":"Systeme wie Transporeon, CarLo, Wanko oder TimoCom für Auftragsmanagement, Frachtenbuchung, Disposition und Sendungsverfolgung. Das TMS ist das Herzstück des operativen Geschäfts. Ein Ausfall bedeutet: Keine Auftragsdisposition, keine Sendungsverfolgung, keine Abrechnung."},"fleet":{"title":"Telematik und Fuhrparkmanagement","detail":"GPS-Tracking, Fahrtenschreiber-Auswertung, Lenk- und Ruhezeitenüberwachung, Reifendruckkontrolle und Kraftstoffmanagement. Systeme wie Fleetboard, TomTom WEBFLEET oder Trimble. Die Telematik verbindet jedes Fahrzeug mit der Zentrale - ein kompromittiertes System kann die gesamte Flotte betreffen."},"warehouse":{"title":"Lagerverwaltungssystem (WMS)","detail":"SAP EWM, Manhattan Associates, Jungheinrich WMS oder Ehrhardt + Partner für die Steuerung von Wareneingang, Einlagerung, Kommissionierung und Versand. In automatisierten Lagern steuert das WMS auch Fördertechnik, Regalbedienperäte und Sortierer. Ein WMS-Ausfall bringt das Lager zum Stillstand."},"erp":{"title":"ERP- und Abrechnungssystem","detail":"SAP, Microsoft Dynamics, proALPHA oder spezialisierte Speditionssoftware für Finanzbuchhaltung, Personalwesen und Rechnungsstellung. Die Schnittstellen zu TMS und WMS sind geschäftskritisch. Viele Logistikunternehmen wickeln tausende Transaktionen pro Tag über automatisierte EDI-Verbindungen ab."},"network":{"title":"Netzwerkinfrastruktur","detail":"Standortübergreifende Netzwerke zwischen Verwaltung, Lagerstandorten und ggf. Cross-Docking-Hubs. VPN-Verbindungen für Homeoffice und mobile Mitarbeiter. WLAN in Lagerhallen für Scanner und Tablets. Die Vernetzung zwischen Standorten ist die Grundlage für den Echtzeitbetrieb."},"endpoints":{"title":"Endgeräte und Büro-IT","detail":"Disponenten-Arbeitsplätze, Handscanner im Lager (z.B. Zebra, Honeywell), Tablets für Fahrer (Unterschriften, Schadensmeldung), Standard-Büroarbeitsplätze. Grundschutz erlaubt Gruppierung: '80 Zebra-Handscanner' = 1 Asset-Eintrag."}}},"priorities":{"heading":"Wo anfangen - Prioritätenreihenfolge","description":"Die Reihenfolge berücksichtigt die Vernetzung und Lieferkettenabhängigkeiten der Logistikbranche.","items":{"registration":{"title":"1. Beim BSI registrieren","description":"Die §33-BSIG-Registrierung über das MUK-Portal ist die sichtbarste Pflicht. Transport (Anhang I) führt bei großen Unternehmen zur Einstufung als wesentliche Einrichtung. Post/Kurier (Anhang II) als wichtige Einrichtung. Eigenständiger Bußgeldtatbestand bis 500.000 EUR."},"assets":{"title":"2. Asset-Inventar aufbauen","description":"Erfassen Sie alle Systeme, die Ihren Logistikbetrieb unterstützen. Vergessen Sie nicht die Telematik (jedes Fahrzeug ist ein vernetztes Endgerät) und die Lagertechnik. Für jedes Asset: Was tut es, wer betreibt es, was passiert bei 24h Ausfall?"},"incidents":{"title":"3. Vorfallmeldung einrichten","description":"Ein Ransomware-Angriff auf das TMS betrifft nicht nur Ihr Unternehmen, sondern die gesamte Lieferkette Ihrer Kunden. Definieren Sie den Meldeprozess (BSI: 24h/72h/1 Monat) und die interne Eskalation. In der Logistik müssen Sie zusätzlich Kunden informieren, deren Sendungen betroffen sind."},"suppliers":{"title":"4. Lieferanten und Schnittstellen dokumentieren","description":"Logistikunternehmen sind hochgradig vernetzt: EDI-Verbindungen zu Kunden, Frachtbörsen, Subunternehmer mit Zugang zum TMS, Telematik-Anbieter. Dokumentieren Sie alle Schnittstellen, den Datenfluss und die Sicherheitsmaßnahmen. Besonders kritisch: Subunternehmer mit Zugang zu Ihren Systemen."},"access":{"title":"5. Zugangskontrollen verstärken","description":"In der Disposition werden oft gemeinsam genutzte Konten verwendet. Fahrer haben Zugang zu Apps mit Kundendaten. Subunternehmer loggen sich in Ihr TMS ein. Führen Sie individuelle Konten, MFA für Fernzugriffe und regelmäßige Zugriffsprüfungen ein. Deaktivieren Sie Zugänge ausgeschiedener Fahrer und Subunternehmer sofort."}}},"specifics":{"heading":"Was Logistikunternehmen besonders macht","p1":"Logistikunternehmen sind Knotenpunkte in Lieferketten. Ein Cyberangriff auf eine größere Spedition betrifft nicht nur das Unternehmen selbst, sondern hunderte Kunden, deren Waren nicht mehr transportiert werden können. Diese Kaskadeneffekte machen Logistikunternehmen zu attraktiven Zielen für Cyberkriminelle. Die NotPetya-Attacke auf Maersk 2017 hat gezeigt, was passiert, wenn ein großer Logistiker ausfällt.","p2":"Die Branche hat eine hohe Abhängigkeit von Subunternehmern und externen Schnittstellen. Viele Speditionen arbeiten mit Dutzenden von Subunternehmern, die Zugang zu TMS und Auftragsdaten haben. EDI-Verbindungen übertragen automatisiert Aufträge, Statusmeldungen und Rechnungen. Jede dieser Schnittstellen ist ein potenzieller Angriffsvektor. Unter NIS2 müssen Sie diese Lieferkettenrisiken systematisch bewerten.","p3":"Mobile Assets (Fahrzeuge, Handscanner, Fahrer-Tablets) stellen eine besondere Herausforderung dar. Anders als stationäre Büro-IT sind diese Geräte physisch schwer zu kontrollieren: Sie sind unterwegs, werden von wechselnden Fahrern genutzt und verbinden sich über öffentliche Mobilfunknetze. Device-Management, Fernlöschung und Verschlüsselung sind hier entscheidende Maßnahmen."},"faq":{"heading":"Häufig gestellte Fragen","q1":{"q":"Wir sind eine Spedition mit 80 Mitarbeitern. Fallen wir unter Anhang I oder II?","a":"Das hängt von Ihrem genauen Tätigkeitsfeld ab. Straßentransport und Logistik fallen unter Anhang I (hochkritisch) - große Unternehmen werden als wesentliche Einrichtung eingestuft. Post- und Kurierdienste fallen unter Anhang II (sonstig kritisch) - hier ist die Einstufung als wichtige Einrichtung. Bei gemischten Tätigkeiten gilt die höhere Einstufung. Mit 80 Mitarbeitern im Transportsektor sind Sie in jedem Fall betroffen."},"q2":{"q":"Unsere Subunternehmer haben Zugang zum TMS. Ist das ein Problem?","a":"Es ist ein Risiko, das adressiert werden muss. Subunternehmer mit TMS-Zugang sehen Auftragsdaten, Kundenadressen und möglicherweise Preise. Unter NIS2 müssen Sie diesen Zugang dokumentieren, auf das Notwendige beschränken und vertraglich Sicherheitsanforderungen vereinbaren. Best Practice: Eigene Subunternehmer-Zugangsstufe mit eingeschränkten Berechtigungen, individuelle Konten statt geteilter Zugänge, und Deaktivierung bei Vertragsende."},"q3":{"q":"Was ist mit den Telematik-Daten unserer Fahrzeuge?","a":"Telematik-Daten (GPS-Position, Fahrverhalten, Fahrzeugdiagnose) sind geschäftskritische Daten und gehören ins Risikomanagement. Prüfen Sie, wo die Daten gespeichert werden (beim Telematik-Anbieter oder lokal), wer darauf Zugriff hat und wie die Übertragung gesichert ist. Die Telematik-Plattform selbst ist ein Asset mit hohem Schutzbedarf - ein Kompromittierung könnte die gesamte Flottenüberwachung lahmlegen."},"q4":{"q":"Wie lange dauert die NIS2-Umsetzung für ein Logistikunternehmen?","a":"Für ein Unternehmen mit 80 bis 200 Mitarbeitern rechnen Sie mit 3 bis 6 Monaten für eine solide Grundlage. BSI-Registrierung (Woche 1), Asset-Inventar und Risikobewertung (Wochen 2 bis 6), Vorfallmeldeprozess (Wochen 4 bis 8), Zugangskontrolle und Lieferantendokumentation (Wochen 6 bis 12), Richtlinien (fortlaufend). Die Logistik-IT-Landschaft ist überschaubar - der größte Aufwand liegt in der Dokumentation der vielen Schnittstellen und Subunternehmerbeziehungen."}},"ctaCard":{"heading":"NIS2-Umsetzung für Logistikunternehmen","description":"Die Plattform führt Sie durch alle 49 BSIG-Anforderungen - mit Hinweisen zu Telematik, Lieferkettensicherheit und mobilen Assets."},"cta":"NIS2-Compliance starten"},"europeanStandard":{"meta":{"title":"NIS2-Compliance auf echtem europäischem Niveau","description":"NIS2-Richtlinie, CIR 2024/2690, BSIG und IT-Grundschutz vereint zum strengsten gemeinsamen Nenner. Einmal compliant, überall in der EU."},"badge":"Strengster gemeinsamer Nenner","title":"Ein Standard für ganz Europa","subtitle":"NIS2-Richtlinie, CIR, BSIG, Grundschutz - vier Regelwerke, ein Ziel. Wir nehmen die strengste Anforderung aus jedem und machen sie zu Ihrem Standard. Das Ergebnis: echte EU-weite Compliance, nicht nur auf dem Papier.","problem":{"heading":"Das Chaos der europäischen Cybersicherheit","p1":"NIS2 ist eine EU-Richtlinie, kein einheitliches Gesetz. Sie setzt Mindestanforderungen - und jedes Land darf strenger werden. Deutschland hat genau das getan. Frankreich wird es tun. Die Niederlande auch. Für Unternehmen mit grenzüberschreitenden Aktivitäten heisst das: Willkommen im Dschungel.","p2":"Dazu kommen die CIR 2024/2690, eine EU-Durchführungsverordnung, die für bestimmte Einrichtungen verbindliche technische Anforderungen definiert - deutlich konkreter als die Richtlinie selbst. Und in Deutschland schreibt das BSI mit den IT-Grundschutz-Standards vor, wie die Umsetzung konkret auszusehen hat.","p3":"Unternehmen stehen vor der Frage: Was gilt für mich? Die Richtlinie? Das nationale Gesetz? Die CIR? Grundschutz? Die ehrliche Antwort: alles davon, je nach Kontext. Und genau deshalb brauchen Sie einen Ansatz, der nicht rät, sondern den höchsten Standard als Baseline nimmt."},"layers":{"heading":"Vier Ebenen, ein Compliance-Framework","description":"NIS2-Compliance besteht nicht aus einem einzigen Dokument. Es sind vier Ebenen, die aufeinander aufbauen - jede konkreter und teilweise strenger als die vorherige.","items":{"directive":{"title":"NIS2-Richtlinie (EU 2022/2555)","description":"Das EU-Minimum. Definiert Pflichten für wesentliche und wichtige Einrichtungen - bewusst vage gehalten, damit jedes Land sie national umsetzen kann. Artikel 21 nennt zehn Risikomanagement-Massnahmen, ohne zu sagen, wie genau."},"nationalLaw":{"title":"BSIG - Deutsches Umsetzungsgesetz","description":"Deutschlands Antwort auf NIS2. Das BSIG geht weiter: §30 konkretisiert die Massnahmen, §38 schafft persönliche Haftung für Geschäftsführer, die Meldepflichten sind enger getaktet. Wer nur die EU-Richtlinie liest, ist in Deutschland nicht compliant."},"cir":{"title":"CIR 2024/2690 - EU-Durchführungsverordnung","description":"Gilt direkt - ohne nationale Umsetzung. Definiert technische und methodische Anforderungen für DNS-Dienste, TLD-Registries, Cloud-Anbieter und weitere kritische Einrichtungen. Deutlich spezifischer als die Richtlinie: konkrete Fristen, dokumentierte Prozesse, messbare Kriterien."},"grundschutz":{"title":"IT-Grundschutz (BSI-200-1/2/3)","description":"Das deutsche \"Wie\". Die BSI-Standards beschreiben Schritt für Schritt, wie ein Informationssicherheits-Managementsystem aufzubauen ist. §44 Abs. 2 BSIG stellt klar: Wer Grundschutz implementiert, erfüllt automatisch die NIS2-Anforderungen in Deutschland."}}},"approach":{"heading":"Unser Ansatz: der strengste gemeinsame Nenner","p1":"Wir vergleichen jede einzelne Anforderung über alle vier Ebenen hinweg und nehmen die strengste Version als Massstab. Wo die Richtlinie vage bleibt, nutzen wir die CIR-Konkretisierung. Wo das BSIG strenger ist, gilt das BSIG. Wo Grundschutz die detaillierteste Umsetzungsmethodik liefert, folgen wir Grundschutz.","p2":"Das Ergebnis ist kein theoretisches Konstrukt - es ist das, was die EU eigentlich hätte liefern sollen: ein einheitlicher europäischer Standard für Cybersicherheit. Die EU hat 27 nationale Umsetzungen zugelassen. Wir normalisieren sie auf ein Niveau, das überall besteht.","p3":"Unsere 128 Anforderungen bilden die Schnittmenge aus allen vier Ebenen ab. Jede Anforderung referenziert ihre Quellen: Richtlinien-Artikel, BSIG-Paragraph, CIR-Abschnitt, Grundschutz-Baustein. Sie wissen immer, warum Sie etwas tun - nicht nur, dass Sie es tun müssen."},"comparison":{"heading":"Wo sich die Ebenen unterscheiden","description":"Sechs Bereiche, in denen die Anforderungen von vage bis hochspezifisch reichen. Unsere Plattform nimmt jeweils die strengste Spalte.","colArea":"Bereich","colDirective":"NIS2-Richtlinie","colCir":"CIR 2024/2690","colBsig":"BSIG / Grundschutz","rows":{"riskManagement":{"area":"Risikomanagement","directive":"\"Geeignete Massnahmen\" - keine Methodik vorgeschrieben","cir":"Dokumentierte Risikobewertung mit definierten Kriterien, jährliche Überprüfung","bsig":"BSI-200-3: Vollständige Risikoanalyse mit Schutzbedarfsfeststellung, Gefährdungsmodellierung, Massnahmenableitung"},"incidentReporting":{"area":"Vorfallmeldung","directive":"Frühwarnung innerhalb 24h, vollständige Meldung innerhalb 72h","cir":"Zusätzlich: dokumentiertes Klassifizierungsschema, Eskalationsprozeduren","bsig":"§32 BSIG: 24h-Erstmeldung an BSI, 72h-Folgemeldung, Abschlussbericht innerhalb eines Monats"},"supplyChain":{"area":"Lieferkettensicherheit","directive":"\"Sicherheit der Lieferkette\" - keine Details","cir":"Verzeichnis direkter Lieferanten, Bewertungskriterien, vertragliche Sicherheitsklauseln","bsig":"§30 Abs. 2 Nr. 4: Konkrete Anforderungen an Beschaffung, Entwicklung, Wartung inkl. Schwachstellenmanagement"},"encryption":{"area":"Kryptografie","directive":"\"Einsatz von Kryptografie\" - keine Spezifikation","cir":"Kryptografie-Richtlinie erforderlich, Algorithmenauswahl dokumentiert","bsig":"BSI TR-02102: Spezifische Algorithmen, Schlüssellängen, Protokollversionen. CON.1: Kryptokonzept mit Schlüsselmanagement"},"accessControl":{"area":"Zugriffskontrolle","directive":"\"Konzepte für die Zugriffskontrolle\" - Rahmen","cir":"Rollenbasiert, Least Privilege, regelmässige Überprüfung der Berechtigungen","bsig":"ORP.4: Berechtigungskonzept, Need-to-Know, Dokumentation aller Berechtigungen, privilegierte Accounts separat verwaltet"},"training":{"area":"Schulungen","directive":"\"Grundlegende Cyberhygiene-Praktiken und Schulungen\"","cir":"Schulungsprogramm, regelmässige Durchführung, Wirksamkeitsprüfung","bsig":"ORP.3: Jährliche Awareness für alle Mitarbeiter, rollenspezifisch für IT, §38-Schulung für Geschäftsführer"}}},"benefits":{"heading":"Was Sie davon haben","description":"Der strengste Standard klingt nach mehr Arbeit. In der Praxis ist es weniger - weil Sie sich nie fragen müssen, ob es reicht.","items":{"crossBorder":{"title":"EU-weit compliant","description":"Egal ob Sie in Deutschland, Österreich, Frankreich oder den Niederlanden geprüft werden - wer den strengsten Standard erfüllt, erfüllt automatisch alle schwächeren. Sie brauchen keine länderspezifische Anpassung."},"noGuesswork":{"title":"Kein Interpretationsspielraum","description":"Die NIS2-Richtlinie ist absichtlich vage. Das BSIG etwas konkreter. Grundschutz sagt Ihnen genau, was zu tun ist. Wir nehmen die konkreteste Formulierung und übersetzen sie in klare Anforderungen - kein Berater nötig, der Ihnen erklärt, was \"geeignete Massnahmen\" bedeuten."},"futureProof":{"title":"Zukunftssicher","description":"Wenn andere EU-Länder ihre nationalen Gesetze verschärfen, sind Sie bereits darüber. Wenn die EU die CIR erweitert, haben Sie die Grundlage. Sie implementieren heute den Standard von morgen."},"auditReady":{"title":"Audit-ready ab Tag eins","description":"Jede Anforderung ist mit Quellen belegt - Richtlinien-Artikel, BSIG-Paragraph, CIR-Abschnitt, Grundschutz-Baustein. Wenn der Prüfer fragt, warum Sie etwas so machen, zeigen Sie auf die Norm. Nicht auf eine Vermutung."}}},"myth":{"heading":"Strenger heisst nicht mehr Arbeit","p1":"Der grösste Einwand, den wir hören: \"Wenn ich den strengsten Standard nehme, habe ich doch viel mehr zu tun.\" Das klingt logisch, stimmt aber nicht. Der Unterschied zwischen der vagen EU-Richtlinie und dem konkreten Grundschutz-Ansatz liegt nicht im Umfang der Arbeit - er liegt im Verständnis dessen, was zu tun ist.","p2":"Die vage Richtlinie sagt: \"Treffen Sie geeignete Massnahmen.\" Das klingt nach weniger Arbeit - bis Sie drei Monate und einen teuren Berater später immer noch nicht wissen, was \"geeignet\" bedeutet. Grundschutz sagt: \"Erstellen Sie ein Berechtigungskonzept nach ORP.4 mit diesen Elementen.\" Das klingt nach mehr - ist aber in zwei Stunden erledigt, weil Sie genau wissen, was gemeint ist.","p3":"Unser Job ist es, dieses Verständnis zu liefern. Nicht als 300-seitiges PDF, sondern als geführten Prozess in der Plattform. Sie füllen keine Fragebögen aus - Sie bauen Ihr Sicherheitskonzept auf, Schritt für Schritt, mit klaren Anforderungen statt interpretierbaren Richtlinien."},"faq":{"heading":"Häufige Fragen","q1":{"q":"Ist das nicht übertrieben für ein mittelständisches Unternehmen?","a":"Nein. Grundschutz und CIR klingen einschüchternd, aber sie machen die Arbeit einfacher, nicht schwerer. Statt zu raten, was die EU-Richtlinie meint, folgen Sie konkreten Vorgaben. Ein 50-Personen-Unternehmen braucht ca. 10-15 Asset-Gruppen, eine Handvoll Richtlinien und jährliche Reviews. Das ist machbar - besonders mit einer Plattform, die Sie Schritt für Schritt durchführt."},"q2":{"q":"Was wenn mein Land andere Anforderungen hat als Deutschland?","a":"Genau dafür existiert unser Ansatz. Die NIS2-Richtlinie ist das EU-Minimum - kein Land darf darunter gehen, viele gehen darüber. Deutschland (BSIG) und die CIR setzen die höchste Messlatte. Wenn Sie diese erfüllen, erfüllen Sie automatisch jede schwächere nationale Umsetzung. Sollte ein Land in einem spezifischen Bereich strenger als Deutschland sein, passen wir das an - bisher ist das nicht der Fall."},"q3":{"q":"Kostet das mehr als nur die Mindestanforderungen zu erfüllen?","a":"Nicht wirklich. Der Aufwand liegt im Aufbau des Systems - Risikomanagement, Richtlinien, Schulungen. Ob Sie dabei der vagen Richtlinie oder dem konkreten Grundschutz folgen, ändert wenig am Zeitaufwand. Was sich ändert: die Qualität des Ergebnisses und die Sicherheit, dass es einem Audit standhält."},"q4":{"q":"Brauche ich dann noch ISO 27001?","a":"ISO 27001 und NIS2 überlappen sich stark, sind aber nicht identisch. Wenn Sie unsere Plattform vollständig umsetzen, haben Sie ca. 80% der ISO-27001-Anforderungen bereits abgedeckt. Eine ISO-Zertifizierung kann sinnvoll sein - aber als strategische Entscheidung, nicht als Compliance-Notwendigkeit. NIS2-Compliance ist gesetzliche Pflicht, ISO 27001 ist freiwillig."},"q5":{"q":"Wie verhält sich die CIR 2024/2690 zum BSIG?","a":"Die CIR ist eine EU-Durchführungsverordnung - sie gilt direkt in allen Mitgliedstaaten, ohne nationale Umsetzung. Das BSIG ist Deutschlands nationales Gesetz. Beide können parallel gelten: Die CIR für grenzüberschreitende und besonders kritische Einrichtungen, das BSIG für alle NIS2-pflichtigen Unternehmen in Deutschland. Unsere Plattform berücksichtigt beide und nimmt jeweils die strengere Anforderung."}},"ctaCard":{"heading":"Echte EU-Compliance, nicht nur deutsches Minimum","description":"Unsere Plattform normalisiert NIS2 auf ein Niveau, das die EU selbst nicht hinbekommt - einen einheitlichen Standard, der in jedem Mitgliedstaat besteht. Starten Sie mit dem strengsten gemeinsamen Nenner."},"cta":"Jetzt starten"},"entityTypes":{"meta":{"title":"NIS2-Einrichtungen: Wichtig vs Besonders Wichtig","description":"Wichtige vs wesentliche Einrichtungen vs KRITIS: Die Compliance-Arbeit ist identisch - der Unterschied liegt bei Aufsicht und Bußgeldern."},"title":"Wichtig vs Besonders Wichtig vs KRITIS: Gleiche Arbeit, unterschiedliche Konsequenzen","subtitle":"NIS2 definiert drei Stufen regulierter Einrichtungen. Die Sicherheitsmaßnahmen sind bei allen drei identisch. Was sich ändert, ist wie genau das BSI Sie überwacht und wie hart die Strafen ausfallen.","overview":{"heading":"Drei Stufen, ein Regelwerk","p1":"Die deutsche NIS2-Umsetzung (BSIG) unterteilt regulierte Einrichtungen in drei Kategorien: wichtige Einrichtungen, wesentliche Einrichtungen und Betreiber kritischer Anlagen (KRITIS). Viele Unternehmen verbringen Wochen damit, ihre Kategorie herauszufinden, bevor sie mit der Compliance-Arbeit beginnen.","p2":"Die entscheidende Erkenntnis: Für die Arbeit selbst spielt es keine Rolle. Alle drei Kategorien müssen dieselben 10 Sicherheitsmaßnahmenkategorien gemäß §30(2) BSIG umsetzen. Dasselbe Risikomanagement. Dieselbe Vorfallmeldung. Dieselbe Lieferkettensicherheit. Dieselben Zugangskontrollen. Dieselben Verschlüsselungsrichtlinien. Dieselbe Notfallplanung.","p3":"Die Unterschiede liegen in der Aufsicht (wie das BSI Sie überwacht), den Bußgeldern (wie viel Sie bei Nicht-Compliance zahlen) und drei Zusatzpflichten, die nur für KRITIS-Betreiber gelten. Der Compliance-Prozess, den Sie auf NISD2 durchlaufen, deckt alle drei Kategorien identisch ab."},"classification":{"heading":"Wie Einrichtungen klassifiziert werden","description":"Die Klassifizierung basiert auf Unternehmensgröße, Sektor und ob Sie kritische Infrastruktur betreiben. Definiert in §28 BSIG.","headers":{"criterion":"Kriterium","important":"Wichtig","essential":"Besonders Wichtig","kritis":"KRITIS"},"rows":{"size":{"criterion":"Unternehmensgröße","important":"50+ Mitarbeiter ODER >10 Mio. EUR Umsatz und >10 Mio. EUR Bilanzsumme","essential":"250+ Mitarbeiter ODER >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanzsumme","kritis":"Jede Größe - bestimmt durch Infrastruktur-Schwellenwerte (z.B. 500.000 versorgte Personen)"},"sectors":{"criterion":"Sektoren","important":"Anlage 1 (Energie, Verkehr, Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur, Weltraum) + Anlage 2 (Post, Abfall, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung)","essential":"Nur Anlage-1-Sektoren (mittelgroße Unternehmen in Anlage 1 werden als wichtig eingestuft, nicht als wesentlich)","kritis":"Teilmenge der wesentlichen - nur Einrichtungen, deren Ausfall die öffentliche Versorgung stören würde"},"sizeIndependent":{"criterion":"Größenunabhängige Einschlüsse","important":"Nicht-qualifizierte Vertrauensdiensteanbieter, kleine Telekommunikationsanbieter","essential":"Qualifizierte Vertrauensdienste, TLD-Registrierungsstellen, DNS-Diensteanbieter, große Telekommunikationsanbieter","kritis":"Betreiber kritischer Anlagen gemäß BSI-KritisV (Stromnetze, Wasseraufbereitung, Krankenhäuser usw.)"}}},"edgeCases":{"heading":"Grenzfälle: Wenn die Größenklassifizierung nicht offensichtlich ist","description":"NIS2 verwendet die EU-KMU-Definition (Empfehlung 2003/361/EG). Die Schwellenwerte kombinieren Mitarbeiterzahl mit Finanzkennzahlen auf Weisen, die viele Unternehmen überraschen.","intro":"Der EU-Schwellenwert für mittlere Unternehmen lautet: 50+ Mitarbeiter ODER (>10 Mio. EUR Umsatz UND >10 Mio. EUR Bilanzsumme). Beide Finanzkennzahlen müssen gleichzeitig erfüllt sein - hoher Umsatz allein reicht nicht. Für wesentliche Einrichtungen gilt der Großunternehmensschwellenwert: 250+ Mitarbeiter ODER (>50 Mio. EUR Umsatz UND >43 Mio. EUR Bilanzsumme). Diese Beispiele zeigen, wie die Regeln in der Praxis angewandt werden.","headers":{"scenario":"Szenario","employees":"Mitarbeiter","turnover":"Umsatz","balanceSheet":"Bilanzsumme","sector":"Sektor","result":"Einstufung"},"rows":{"e1":{"scenario":"Umsatzstarkes Handelsunternehmen, kleines Team","employees":"12","turnover":"25 Mio. €","balanceSheet":"18 Mio. €","sector":"Anlage 1 - Bankwesen","result":"Wichtig - beide Finanzschwellen überschritten (>10 Mio. €), Mitarbeiterzahl irrelevant"},"e2":{"scenario":"Großer Hersteller, niedrige Marge","employees":"200","turnover":"5 Mio. €","balanceSheet":"3 Mio. €","sector":"Anlage 2 - Verarbeitendes Gewerbe","result":"Wichtig - Mitarbeiterzahl ≥50 reicht aus, Umsatz spielt keine Rolle"},"e3":{"scenario":"SaaS-Startup, hoher Umsatz, winziges Team","employees":"8","turnover":"15 Mio. €","balanceSheet":"4 Mio. €","sector":"Anlage 1 - Digitale Infrastruktur","result":"Nicht betroffen - Umsatz >10 Mio. €, aber Bilanzsumme <10 Mio. €. BEIDE müssen erfüllt sein"},"e4":{"scenario":"Regionalkrankenhaus","employees":"400","turnover":"60 Mio. €","balanceSheet":"45 Mio. €","sector":"Anlage 1 - Gesundheit","result":"Wesentlich - 250+ Mitarbeiter in Anlage-1-Sektor. Bei >30.000 stationären Fällen/Jahr: KRITIS"},"e5":{"scenario":"Energiehändler, asset-light","employees":"15","turnover":"120 Mio. €","balanceSheet":"55 Mio. €","sector":"Anlage 1 - Energie","result":"Wesentlich - beide Großunternehmensschwellen überschritten (>50 Mio. € Umsatz UND >43 Mio. € Bilanzsumme)"},"e6":{"scenario":"Abfallentsorgungsunternehmen","employees":"80","turnover":"8 Mio. €","balanceSheet":"6 Mio. €","sector":"Anlage 2 - Abfallbewirtschaftung","result":"Wichtig - 80 Mitarbeiter ≥50, trotz niedrigem Umsatz. Nur NACE E.38 (nicht Sanierung E.39)"},"e7":{"scenario":"Managed Service Provider (MSP)","employees":"45","turnover":"12 Mio. €","balanceSheet":"11 Mio. €","sector":"Anlage 1 - IKT-Dienstleistungsmanagement","result":"Wichtig - unter 50 Mitarbeiter, aber beide Finanzschwellen überschritten. Unterliegt auch CIR 2024/2690"},"e8":{"scenario":"Lebensmittelverarbeiter, Saisonarbeit","employees":"55 (Jahresdurchschnitt)","turnover":"9 Mio. €","balanceSheet":"7 Mio. €","sector":"Anlage 2 - Lebensmittel","result":"Wichtig - Mitarbeiterzahl verwendet Jahresarbeitseinheiten (Empf. 2003/361/EG Art. 5). Saisonspitzen zählen anteilig"},"e9":{"scenario":"Qualifizierter Vertrauensdiensteanbieter (qTSP)","employees":"3","turnover":"500.000 €","balanceSheet":"200.000 €","sector":"Anlage 1 - Digitale Infrastruktur","result":"Wesentlich - größenunabhängig nach §28(1) BSIG. qTSPs sind immer wesentlich"},"e10":{"scenario":"Chemiedistributor, große Tochtergesellschaft","employees":"180","turnover":"70 Mio. €","balanceSheet":"50 Mio. €","sector":"Anlage 2 - Chemische Stoffe","result":"Wichtig - trotz großer Finanzkennzahlen, Anlage-2-Sektoren maximal wichtig. Nur Anlage 1 + groß = wesentlich"}},"legalBasis":"Größenschwellen gemäß EU-Empfehlung 2003/361/EG Art. 2, referenziert durch NIS2-Richtlinie Art. 2(1). Mitarbeiterzahl verwendet Jahresarbeitseinheiten (Art. 5). Verbund-/Partnerunternehmensregeln (Anhang Art. 3) können Mitarbeiterzahl und Finanzkennzahlen der Muttergesellschaft aggregieren. Sektorklassifizierung gemäß NIS2-Richtlinie Anlage I/II, umgesetzt in BSIG §28 Anlage 1/2. Größenunabhängige Fälle nach §28(1) BSIG."},"sameWork":{"heading":"Was bei allen drei Kategorien identisch ist","p1":"Die in §30(2) BSIG definierten Compliance-Pflichten sind für wichtige, wesentliche und KRITIS-Einrichtungen gleich. Es gibt keine leichtere Version für wichtige und keine schwerere Version für wesentliche Einrichtungen. Die 10 Sicherheitsmaßnahmenkategorien gelten gleichermaßen:","items":["Risikomanagement-Konzepte und -Verfahren (§30(2) Nr. 1)","Vorfallbehandlung und Meldung - 24h Erstmeldung, 72h Detailbericht, 1 Monat Abschlussbericht (§32)","Business Continuity und Notfallwiederherstellung (§30(2) Nr. 3)","Sicherheit in der Lieferkette (§30(2) Nr. 4)","Sicherheit bei Beschaffung, Entwicklung und Wartung (§30(2) Nr. 5)","Konzepte zur Bewertung der Wirksamkeit von Sicherheitsmaßnahmen (§30(2) Nr. 6)","Cyberhygiene und Schulungen (§30(2) Nr. 7)","Kryptografie und Verschlüsselung (§30(2) Nr. 8)","Personalsicherheit und Zugangskontrolle (§30(2) Nr. 9)","Multi-Faktor-Authentifizierung und sichere Kommunikation (§30(2) Nr. 10)","Registrierung beim BSI innerhalb von 3 Monaten (§33)","Geschäftsführerhaftung - persönliche Verantwortung für die Genehmigung und Überwachung von Sicherheitsmaßnahmen (§38)"],"p2":"Das bedeutet: Die NISD2-Plattform deckt alle Einrichtungsarten mit denselben Anforderungen ab. Ob Sie ein wichtiges Lebensmittelunternehmen oder ein wesentlicher Energieversorger sind - der Compliance-Prozess ist identisch. Sie erfüllen dieselben Anforderungen, erstellen dieselben Nachweise und erfüllen dieselben Standards."},"comparison":{"heading":"Was sich tatsächlich unterscheidet","description":"Die Unterschiede zwischen den Einrichtungsarten betreffen die Durchsetzung, nicht was Sie umsetzen müssen.","headers":{"obligation":"Pflicht","important":"Wichtig","essential":"Besonders Wichtig","kritis":"KRITIS"},"rows":{"measures":{"obligation":"10 Sicherheitsmaßnahmen (§30)","important":"Erforderlich","essential":"Erforderlich","kritis":"Erforderlich"},"reporting":{"obligation":"Vorfallmeldung (§32)","important":"24h / 72h / 1 Monat","essential":"24h / 72h / 1 Monat","kritis":"24h / 72h / 1 Monat"},"registration":{"obligation":"BSI-Registrierung (§33)","important":"Standard","essential":"Standard","kritis":"Erweitert - kritische Dienstleistung, Versorgungskennzahlen, Standort, 24/7-Kontakt"},"management":{"obligation":"Geschäftsführerhaftung (§38)","important":"Persönliche Haftung","essential":"Persönliche Haftung","kritis":"Persönliche Haftung"},"supervision":{"obligation":"BSI-Aufsicht","important":"Nur reaktiv (§62) - BSI handelt nur bei Hinweisen auf Nicht-Compliance","essential":"Proaktiv (§61) - BSI kann jederzeit ohne Anlass prüfen","kritis":"Proaktiv + verpflichtender 3-Jahres-Nachweiszyklus (§39)"},"fineBase":{"obligation":"Maximales Bußgeld (Basis)","important":"7.000.000 EUR","essential":"10.000.000 EUR","kritis":"10.000.000 EUR"},"fineRevenue":{"obligation":"Maximales Bußgeld (Umsatz)","important":"1,4 % des weltweiten Umsatzes","essential":"2 % des weltweiten Umsatzes","kritis":"2 % des weltweiten Umsatzes"},"attackDetection":{"obligation":"Angriffserkennung (§31)","important":"Nicht erforderlich","essential":"Nicht erforderlich","kritis":"Erforderlich - kontinuierliche SIEM/SOC-Fähigkeit"},"complianceProof":{"obligation":"Verpflichtender Nachweis (§39)","important":"Nicht erforderlich","essential":"Nicht erforderlich","kritis":"Erforderlich - alle 3 Jahre, beim BSI einzureichen"}}},"kritisExtras":{"heading":"KRITIS: Drei zusätzliche Pflichten","intro":"KRITIS-Betreiber - Einrichtungen, die Infrastruktur betreiben, deren Ausfall die öffentliche Versorgung stören würde (Stromnetze, Wasseraufbereitung, Krankenhäuser) - müssen drei zusätzliche Anforderungen über die Pflichten wichtiger und wesentlicher Einrichtungen hinaus erfüllen.","items":{"attackDetection":{"title":"§31 - Systeme zur Angriffserkennung (Angriffserkennungssysteme)","detail":"Sie benötigen ein System, das Ihr Netzwerk rund um die Uhr überwacht und laufende Angriffe oder bereits erfolgte Einbrüche erkennen kann. In der Praxis bedeutet das ein SIEM (Security Information and Event Management) - Software, die Logs von jedem Server, jeder Firewall und jedem Endgerät sammelt, korreliert und bei Anomalien alarmiert. Es muss sowohl Mustererkennung ALS AUCH Anomalieerkennung nutzen, nicht nur Signaturen. Die meisten Unternehmen lagern dies an einen Managed-SOC-Anbieter aus, was typischerweise 5.000-15.000 EUR pro Monat kostet. Normale NIS2-Einrichtungen können mit Basis-Monitoring auskommen - KRITIS-Betreiber ausdrücklich nicht."},"enhancedRegistration":{"title":"§33(2) - Erweiterte Registrierung beim BSI","detail":"Zusätzlich zur Standard-Registrierung (Name, Sektor, Kontakt) müssen KRITIS-Betreiber dem BSI genau mitteilen, welche kritische Dienstleistung sie erbringen (z.B. 'Trinkwasserversorgung für 200.000 Personen'), welche kritischen Komponenten sie verwenden, den physischen Standort der Anlage und eine 24/7-Kontaktperson. Versorgungskennzahlen müssen jährlich gemeldet werden - das BSI nutzt diese, um zu prüfen, ob Sie weiterhin den KRITIS-Schwellenwert überschreiten (definiert in BSI-KritisV, z.B. 500.000 versorgte Personen für Wasser, 104 MW für Strom)."},"complianceProof":{"title":"§39 - Verpflichtender Compliance-Nachweis alle 3 Jahre (Nachweispflicht)","detail":"Alle 3 Jahre müssen Sie proaktiv Audit-Ergebnisse, Sicherheitsberichte oder Zertifizierungen beim BSI einreichen, die die Einhaltung aller §30-Maßnahmen und der §31-Angriffserkennung nachweisen. Das BSI muss Sie nicht aufsuchen - Sie kommen zum BSI. Bei festgestellten Mängeln erlässt das BSI verbindliche Anordnungen mit Fristen und verlangt den Nachweis der Behebung. Stellen Sie es sich wie einen verpflichtenden ISO-Zertifizierungszyklus vor, nur dass der Prüfer die Regierung ist. Erste Frist: Dezember 2028 (5 Jahre für Krankenhäuser: Dezember 2030)."}}},"takeaway":{"heading":"Was das für Ihr Unternehmen bedeutet","p1":"Wenn Sie ein Unternehmen mit 50-250 Mitarbeitern in Deutschland sind - der typische NISD2-Nutzer - sind Sie mit hoher Wahrscheinlichkeit als wichtige Einrichtung eingestuft. Ihr Produktionsunternehmen, Lebensmittelbetrieb oder IT-Dienstleister fällt in diese Kategorie. Die Compliance-Arbeit, die Sie leisten müssen, ist exakt dieselbe wie bei einem großen wesentlichen Unternehmen oder sogar einem KRITIS-Betreiber. Der einzige praktische Unterschied: Das BSI wird Sie nicht proaktiv prüfen, es sei denn, es gibt einen Anlass (einen Vorfall, eine Beschwerde oder einen Hinweis).","p2":"Das ist kein Grund, weniger zu tun. Wenn das BSI Sie doch prüft - reaktiv, nach einem Vorfall - und Nicht-Compliance feststellt, drohen Bußgelder bis zu 7 Millionen EUR oder 1,4 % des weltweiten Umsatzes. Und Ihre Geschäftsführung haftet persönlich nach §38. Die sicherste Position ist vollständige Compliance unabhängig von der Kategorie. NISD2 bietet Ihnen denselben Compliance-Prozess, den auch wesentliche und KRITIS-Einrichtungen nutzen, weil die Anforderungen identisch sind."},"faq":{"heading":"Häufig gestellte Fragen","q1":{"q":"Kann mein Unternehmen gleichzeitig wichtig und wesentlich sein?","a":"Nein. Die Kategorien schließen sich nach §28 BSIG gegenseitig aus. Wenn Sie den Schwellenwert für wesentlich erreichen (250+ Mitarbeiter oder >50 Mio. EUR Umsatz in einem Anlage-1-Sektor), sind Sie wesentlich. Wenn Sie den Schwellenwert für wichtig, aber nicht für wesentlich erreichen, sind Sie wichtig. KRITIS ist eine Teilmenge der wesentlichen - KRITIS-Betreiber werden automatisch als wesentlich eingestuft, mit zusätzlichen Pflichten."},"q2":{"q":"Ich bin eine wichtige Einrichtung. Muss ich weniger Compliance-Arbeit leisten?","a":"Nein. Die 10 Sicherheitsmaßnahmenkategorien in §30(2) BSIG gelten identisch für wichtige und wesentliche Einrichtungen. Der einzige Unterschied liegt in der Durchsetzung: Das BSI überwacht wesentliche Einrichtungen proaktiv (anlasslose Prüfungen) und wichtige Einrichtungen reaktiv (nur bei Hinweisen auf Nicht-Compliance). Aber die Maßnahmen selbst, die Meldefristen und die Geschäftsführerhaftung sind identisch."},"q3":{"q":"Wie weiß ich, ob ich KRITIS bin?","a":"Die KRITIS-Klassifizierung ist in der BSI-KritisV definiert, basierend auf spezifischen Versorgungsschwellenwerten: 500.000 versorgte Personen für Wasser, 104 MW installierte Leistung für Strom, 30.000 stationäre Fälle pro Jahr für Krankenhäuser usw. Wenn der Ausfall Ihrer Infrastruktur die öffentliche Versorgung nicht in dieser Größenordnung direkt stören würde, sind Sie kein KRITIS. Die meisten mittelständischen Unternehmen sind nicht KRITIS - sie sind wichtige oder wesentliche Einrichtungen."},"q4":{"q":"Was passiert, wenn ich meine Einrichtungskategorie falsch einschätze?","a":"Die Klassifizierung bestimmt die Aufsichtsintensität und Bußgeldgrenzen, nicht was Sie umsetzen müssen. Wenn Sie alle 10 Maßnahmenkategorien umsetzen (wozu NISD2 Sie anleitet), sind Sie compliant - unabhängig von der Klassifizierung. Das Risiko einer Fehleinschätzung liegt darin, Ihre Aufsichtsexposition zu unterschätzen - zu glauben, das BSI werde Sie nicht prüfen, obwohl es das kann."},"q5":{"q":"Unterscheidet die CIR 2024/2690 zwischen wichtigen und wesentlichen Einrichtungen?","a":"Nein. Die CIR gilt für bestimmte Einrichtungsarten (Cloud-Anbieter, DNS-Diensteanbieter, Managed-Service-Provider usw.) unabhängig davon, ob sie als wichtig oder wesentlich eingestuft sind. Die technischen Anforderungen der CIR sind für beide Kategorien identisch."}},"sources":{"heading":"Rechtsquellen","items":["§28 BSIG - Einrichtungsklassifizierung (wesentliche und wichtige Einrichtungen)","§30 BSIG - Risikomanagementmaßnahmen (10 Kategorien, identisch für alle Einrichtungsarten)","§31 BSIG - Systeme zur Angriffserkennung (nur KRITIS)","§32 BSIG - Meldepflichten (identische Fristen für alle Einrichtungsarten)","§33 BSIG - Registrierungspflichten (erweitert für KRITIS)","§38 BSIG - Geschäftsführerhaftung (identisch für alle Einrichtungsarten)","§39 BSIG - Nachweispflicht (nur KRITIS, alle 3 Jahre)","§61 BSIG - Aufsicht über wesentliche Einrichtungen (proaktiv)","§62 BSIG - Aufsicht über wichtige Einrichtungen (reaktiv)","§65 BSIG - Bußgelder und Sanktionen","CIR 2024/2690 - EU-Durchführungsverordnung (keine Unterscheidung nach Einrichtungsart)","BSI-KritisV - KRITIS-Schwellenwertverordnung"]},"ctaCard":{"heading":"Eine Plattform, alle Einrichtungsarten","description":"NISD2 setzt das vollständige Set der NIS2/BSIG-Anforderungen um - dieselben, die für wichtige, wesentliche und KRITIS-Einrichtungen gelten. Erfüllen Sie Ihre Compliance einmalig. Die Anforderungen sind unabhängig von Ihrer Klassifizierung identisch."},"cta":"Jetzt starten"},"faq":{"meta":{"title":"NIS2 FAQ - Häufige Fragen zur Compliance","description":"Antworten auf die häufigsten NIS2-Fragen: Einrichtungsarten, Bußgelder, Geschäftsführerhaftung, BSI-Registrierung und Meldepflichten."},"title":"NIS2 - Häufig gestellte Fragen","subtitle":"Klare Antworten auf die Fragen, die deutsche Unternehmen am häufigsten zu NIS2, dem BSIG und den Compliance-Anforderungen stellen.","categories":{"basics":"NIS2 Grundlagen","scope":"Geltungsbereich & Anwendbarkeit","frameworks":"NIS2 vs. andere Frameworks","liability":"Geschäftsführerhaftung","registration":"BSI-Registrierung","incidents":"Meldepflichten","penalties":"Bußgelder & Strafen","implementation":"Umsetzung"},"basics":{"q1":{"q":"Was ist der Unterschied zwischen wesentlichen und wichtigen Einrichtungen bei NIS2?","a":"Wesentliche Einrichtungen (Essential Entities) sind Unternehmen in hochkritischen Sektoren wie Energie, Verkehr, Banken, Gesundheit, Wasser und digitale Infrastruktur (NIS2 Anhang I). Wichtige Einrichtungen (Important Entities) befinden sich in anderen kritischen Sektoren wie Abfallwirtschaft, Lebensmittel, Fertigung, Post und Chemie (Anhang II). Die wesentlichen Unterschiede: Wesentliche Einrichtungen haben höhere Bußgelder (10 Mio. € / 2 % Umsatz vs. 7 Mio. € / 1,4 %), proaktive BSI-Prüfungen (das BSI kann jederzeit ohne Anlass prüfen) und strengere Aufsicht. Wichtige Einrichtungen werden nur reaktiv geprüft - nach einem Vorfall oder bei Hinweisen auf Nichtkonformität. Beide müssen dieselben 10 Cybersicherheitsmaßnahmen nach §30 BSIG umsetzen."},"q2":{"q":"Wie viele Unternehmen sind in Deutschland von NIS2 betroffen?","a":"Das BSI schätzt, dass rund 29.500 Unternehmen in Deutschland unter den NIS2-Geltungsbereich fallen. Das ist eine massive Ausweitung gegenüber dem bisherigen KRITIS-Regime, das nur etwa 2.000 Betreiber umfasste. Der Anstieg kommt durch niedrigere Schwellenwerte (ab 50 Mitarbeiter statt Hunderttausende versorgte Personen) und sieben neu hinzugekommene Sektoren: Abfallwirtschaft, Lebensmittelproduktion, Fertigung, Postdienste, Chemie, Forschung und erweiterte digitale Dienste."},"q3":{"q":"Seit wann gilt NIS2 in Deutschland?","a":"Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) wurde am 13. November 2025 vom Bundestag beschlossen, am 21. November 2025 vom Bundesrat gebilligt, am 5. Dezember 2025 im Bundesgesetzblatt veröffentlicht und trat am 6. Dezember 2025 in Kraft. Das BSI-Registrierungsportal ging am 6. Januar 2026 online, mit Registrierungsfrist am 6. März 2026. Deutschland hat die ursprüngliche EU-Umsetzungsfrist vom 17. Oktober 2024 um über ein Jahr verfehlt."},"q4":{"q":"Gibt es eine Übergangsfrist für NIS2 in Deutschland?","a":"Nein. Es gibt keine Übergangsfrist. Alle Pflichten - Risikomanagementmaßnahmen, Meldepflichten, Geschäftsführerhaftung und BSI-Registrierung - gelten ab dem Tag des Inkrafttretens am 6. Dezember 2025. Die BSI-Registrierungsfrist war der 6. März 2026 (3 Monate nach Inkrafttreten). Unternehmen, die noch nicht mit der Compliance begonnen haben, sind technisch bereits nicht konform."},"q5":{"q":"Gilt NIS2 für kleine Unternehmen mit weniger als 50 Mitarbeitern?","a":"Grundsätzlich nein. NIS2 nutzt die EU-KMU-Definition (Empfehlung 2003/361/EG): Unternehmen benötigen mindestens 50 Mitarbeiter ODER mehr als 10 Mio. € Jahresumsatz UND 10 Mio. € Bilanzsumme. Beide Finanzschwellen müssen erfüllt sein - hoher Umsatz allein reicht nicht, wenn die Bilanzsumme unter 10 Mio. € liegt. Jedoch sind bestimmte Einrichtungsarten unabhängig von der Größe betroffen: DNS-Anbieter, TLD-Registrierungsstellen, qualifizierte Vertrauensdiensteanbieter, KRITIS-Betreiber und Alleinversorger für wesentliche Dienste in einer Region. Bei Nähe zur 50-Mitarbeiter-Schwelle prüfen Sie, ob verbundene Konzernunternehmen den Schwellenwert überschreiten. Siehe unseren Einrichtungsarten-Artikel für 10 praxisnahe Grenzfallbeispiele."}},"scope":{"q1":{"q":"Welche Sektoren fallen unter NIS2?","a":"NIS2 umfasst insgesamt 18 Sektoren. Anhang I (hohe Kritikalität, wesentliche Einrichtungen): Energie, Verkehr, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement (B2B), öffentliche Verwaltung und Weltraum. Anhang II (andere kritische Sektoren, wichtige Einrichtungen): Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion und -vertrieb, Fertigung (Medizinprodukte, Elektronik, Maschinen, Fahrzeuge), digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke) und Forschungseinrichtungen."},"q2":{"q":"Was ist der Unterschied zwischen NIS2 Anhang I und Anhang II?","a":"Anhang I listet 11 Sektoren mit hoher Kritikalität - Unternehmen darin werden als wesentliche Einrichtungen eingestuft, wenn sie groß sind, oder als wichtige Einrichtungen, wenn sie mittelgroß sind. Anhang II listet 7 andere kritische Sektoren - Unternehmen darin werden unabhängig von ihrer Größe als wichtige Einrichtungen eingestuft. Das bedeutet: Ein Chemiedistributor mit 180 Mitarbeitern, 70 Mio. € Umsatz und 50 Mio. € Bilanzsumme wird trotzdem als wichtig eingestuft - nicht als wesentlich - weil Chemie ein Anhang-II-Sektor ist. Der praktische Unterschied: Wesentliche Einrichtungen aus Anhang I unterliegen proaktiven BSI-Prüfungen, höheren Bußgeldern (10 Mio. € vs. 7 Mio. €) und strengerer Aufsicht. Wichtige Einrichtungen aus Anhang II unterliegen nur reaktiver Aufsicht."},"q3":{"q":"Gilt NIS2 für produzierende Unternehmen?","a":"Ja, wenn Sie Medizinprodukte, Computer, Elektronik, optische Produkte, elektrische Ausrüstung, Maschinen, Kraftfahrzeuge oder andere Transportmittel herstellen und 50+ Mitarbeiter oder 10 Mio. €+ Umsatz haben. Die Fertigung ist in NIS2 Anhang II aufgeführt und macht betroffene Unternehmen zu wichtigen Einrichtungen. Eine erhebliche Anzahl deutscher Mittelstandsunternehmen fällt in diese Kategorie. Alle 10 Cybersicherheitsmaßnahmen nach §30 BSIG gelten."},"q4":{"q":"Wir lagern unsere gesamte IT an einen Dienstleister aus. Gilt NIS2 trotzdem?","a":"Ja, vollständig. NIS2 gilt für die Einrichtung, die den regulierten Dienst erbringt - unabhängig davon, wer die IT betreibt. Sie können den Betrieb auslagern, aber nicht die Verantwortung (§30 BSIG). Ihr IT-Dienstleister wird zu Ihrem kritischsten Lieferanten: Dokumentieren Sie die Beziehung, nehmen Sie Cybersicherheitsanforderungen in den Vertrag auf und überprüfen Sie deren Sicherheitsmaßnahmen. Bei einer Sicherheitsverletzung beim Dienstleister greift Ihre Meldepflicht - nicht seine. Die Geschäftsführung haftet persönlich nach §38 BSIG."},"q5":{"q":"Unser Unternehmen ist in mehreren EU-Ländern tätig. Müssen wir jedes nationale NIS2-Gesetz einhalten?","a":"Ja. Ein Vorfall bei einem Unternehmen mit Niederlassungen in mehreren Mitgliedstaaten kann Meldepflichten in jedem Land auslösen, in dem betroffene Dienste erbracht werden. Bis Anfang 2026 hatten nur etwa 6-8 von 27 EU-Mitgliedstaaten NIS2 vollständig umgesetzt. Jedes Land hat sein eigenes Registrierungsportal und eigene Verfahren. Das deutsche BSIG gehört zu den detailliertesten Umsetzungen. Bei grenzüberschreitenden Aktivitäten gilt: Einhaltung jedes nationalen Gesetzes, wo Sie Dienste erbringen."}},"frameworks":{"q1":{"q":"Was ist der Unterschied zwischen NIS2 und KRITIS?","a":"NIS2 ersetzt KRITIS nicht - es erweitert es dramatisch. KRITIS umfasste rund 2.000 Betreiber mit hohen Schwellenwerten (z. B. 500.000 versorgte Personen). NIS2 umfasst etwa 30.000 Einrichtungen mit deutlich niedrigeren Schwellenwerten (ab 50 Mitarbeiter). NIS2 fügt sieben neue Sektoren hinzu, persönliche Geschäftsführerhaftung (§38 BSIG), verpflichtende BSI-Registrierung, strukturierte Meldepflichten (24h/72h/1 Monat) und deutlich höhere Bußgelder (bis 10 Mio. € vs. 100.000 €). KRITIS-Betreiber werden automatisch als wesentliche Einrichtungen unter NIS2 eingestuft."},"q2":{"q":"Bedeutet eine ISO-27001-Zertifizierung, dass ich NIS2-konform bin?","a":"Nein. ISO 27001 deckt etwa 70 % der technischen NIS2-Anforderungen ab, verfehlt aber die Bereiche mit dem höchsten Durchsetzungsrisiko: BSI-Registrierung (§33), Meldefristen (24h/72h/1 Monat nach §32), persönliche Geschäftsführerhaftung (§38), erweiterte Lieferketten-Sorgfaltspflicht und den gesetzlichen Bußgeldrahmen. ISO 27001 ist ein freiwilliger Managementstandard; NIS2 ist eine gesetzliche Verpflichtung mit behördlicher Berichterstattung und persönlicher Haftung. Ihre ISO-Zertifizierung ist eine starke Grundlage, aber Sie benötigen Lückenschließung für die NIS2-spezifischen regulatorischen Anforderungen."},"q3":{"q":"Was ist IT-Grundschutz und warum ist er für NIS2 wichtig?","a":"IT-Grundschutz ist die eigene Cybersicherheitsmethodik des BSI - ein umfassendes Framework mit schrittweiser Umsetzungsanleitung. §44(2) BSIG erkennt die Grundschutz-Implementierung ausdrücklich als Nachweis der NIS2-Compliance an. Das ist ein legaler Vorteil: Das BSI veröffentlicht sowohl den Grundschutz als auch die NIS2-Durchsetzung, sodass Sie gegen einen Standard geprüft werden, den der Auditor in- und auswendig kennt. Grundschutz deckt 100 % der CIR 2024/2690-Anforderungen ab und ist detaillierter als ISO 27001 für NIS2-Zwecke."},"q4":{"q":"Was ist die CIR 2024/2690 und wie hängt sie mit NIS2 zusammen?","a":"Die CIR 2024/2690 ist die EU-Durchführungsverordnung vom 17. Oktober 2024, die die genauen technischen und methodischen Anforderungen für die NIS2-Compliance festlegt. Anders als die NIS2-Richtlinie gilt sie direkt in allen EU-Mitgliedstaaten ohne nationale Umsetzung. Sie beantwortet die Frage: 'Was genau müssen wir umsetzen?' - indem sie die 10 Maßnahmenbereiche in konkrete, prüfbare Anforderungen aufgliedert. In Deutschland erweitert das BSIG diese technischen Anforderungen auf alle NIS2-betroffenen Sektoren."}},"liability":{"q1":{"q":"Welche drei Pflichten hat die Geschäftsführung nach §38 BSIG?","a":"§38 BSIG definiert drei persönliche Pflichten für die Geschäftsleitung, die nicht delegiert werden können: (1) Billigung - formelle Genehmigung der Cybersicherheits-Risikomanagementmaßnahmen mit dokumentierter, nachverfolgbarer Freigabe. (2) Überwachung - aktive Kontrolle der Umsetzung durch regelmäßige Statusüberprüfungen, nicht passive Kenntnisnahme. (3) Schulung - persönliche Teilnahme an Cybersicherheitsschulungen, um ausreichende Kenntnisse zur Risikobewertung zu entwickeln. Das Versäumnis einer einzelnen dieser Pflichten begründet persönliche Haftung - selbst wenn das Unternehmen angemessene Maßnahmen umgesetzt hat."},"q2":{"q":"Kann ich die NIS2-Verantwortung an meine IT-Abteilung delegieren?","a":"Sie können die Ausführung delegieren, aber nicht die Verantwortung. §38 BSIG benennt ausdrücklich Geschäftsleiter - nicht IT-Manager, CISOs oder externe Berater. Sie müssen persönlich Maßnahmen genehmigen, deren Umsetzung überwachen und Cybersicherheitsschulungen absolvieren. Ihr IT-Team setzt um; Sie genehmigen und überwachen. Die Behauptung, alles an die IT delegiert zu haben, ist keine Verteidigung - es ist der Beweis einer Überwachungspflichtverletzung."},"q3":{"q":"Deckt eine D&O-Versicherung die NIS2-Haftung ab?","a":"Die meisten D&O-Policen schließen Bußgelder und Verwaltungsstrafen aus - diese sind nach deutschem Recht typischerweise nicht versicherbar. Die zivilrechtliche Haftung nach §38 BSIG (Schadensersatzansprüche des eigenen Unternehmens) kann je nach Policenbedingungen gedeckt sein. Versicherer können Leistungen auch ablehnen, wenn die Geschäftsführung wissentlich gegen gesetzliche Pflichten verstoßen hat. Prüfen Sie die Ausschlussklauseln Ihrer Police - 'Nichteinhaltung gesetzlicher Pflichten' ist eine Standardausschlussklausel in deutschen D&O-Policen. Gehen Sie nicht von Deckung aus - fordern Sie schriftliche Bestätigung an."},"q4":{"q":"Können Gesellschafter die Geschäftsführerhaftung für NIS2 erlassen?","a":"Nein. §38(2) BSIG stellt ausdrücklich fest, dass Schadensersatzansprüche aus Verletzungen der §30 BSIG-Pflichten nicht von Gesellschaftern erlassen oder in einer zur finanziellen Lage des Unternehmens unverhältnismäßigen Weise verglichen werden können. Dies überlagert die normalen GmbHG §43-Regeln. Selbst in einer inhabergeführten GmbH, in der der Geschäftsführer gleichzeitig alleiniger Gesellschafter ist, besteht die Haftung. Im Insolvenzfall kann der Insolvenzverwalter auf Ihr Privatvermögen zugreifen."},"q5":{"q":"Ich bin nicht technisch versiert - kann ich wirklich für Cybersicherheit haftbar gemacht werden?","a":"Ja. §38(3) BSIG normiert die Schulungspflicht gerade, um diese Verteidigung auszuschließen. Das Gesetz unterstellt, dass die Geschäftsführung nach Absolvierung einer angemessenen Cybersicherheitsschulung über ausreichende Kenntnisse verfügt, um ihre Pflichten zu erfüllen. 'Ich verstehe nichts von Technik' ist keine Verteidigung - es ist der Beweis einer Schulungspflichtverletzung. Die Schulung verlangt nicht, dass Sie IT-Experte werden, aber Sie müssen das Risikoprofil Ihres Unternehmens und die getroffenen Maßnahmen verstehen."}},"registration":{"q1":{"q":"Wie registriere ich mein Unternehmen beim BSI für NIS2?","a":"Die Registrierung erfolgt in zwei Schritten: (1) Erstellen Sie ein Konto über Mein Unternehmenskonto (MUK) mit Ihrem ELSTER-Unternehmenszertifikat unter muk.bsi.bund.de. (2) Melden Sie sich an und füllen Sie das NIS2-Registrierungsformular aus - mit Unternehmensdaten, Sektorklassifizierung, Ansprechpartner für Cybersicherheit und IP-Adressbereichen. Der Prozess dauert 30-60 Minuten, wenn Sie alles vorbereitet haben. Sie benötigen Ihr ELSTER-Zertifikat, die Handelsregisternummer und einen benannten Cybersicherheits-Ansprechpartner."},"q2":{"q":"Ich habe die BSI-Registrierungsfrist verpasst. Ist es zu spät?","a":"Nein. Das Portal ist weiterhin geöffnet - registrieren Sie sich sofort. Die Frist vom 6. März 2026 ist abgelaufen, aber ein erheblicher Teil der geschätzten 30.000 betroffenen Unternehmen hat sich noch nicht registriert. Das BSI hat signalisiert, dass es die Durchsetzung gegen Unternehmen priorisiert, die ihre Pflichten vollständig ignorieren - nicht gegen solche, die verspätet registriert sind, aber in gutem Glauben handeln. Das Bußgeld für Nichtregistrierung beträgt bis zu 500.000 €, aber das BSI berücksichtigt die Umstände."},"q3":{"q":"Wie hoch ist das Bußgeld für die Nichtregistrierung beim BSI?","a":"§65 BSIG sieht Bußgelder bis zu 500.000 € speziell für Registrierungsverstöße vor. Dies ist ein eigenständiger Verstoß - getrennt von Bußgeldern für die fehlende Umsetzung von Sicherheitsmaßnahmen. Sie können für Nichtregistrierung bestraft werden, selbst wenn Ihre tatsächlichen Cybersicherheitsmaßnahmen angemessen sind. Die Bußgelder werden jedoch im Einzelfall unter Berücksichtigung von Schwere, Dauer und Gutgläubigkeit bemessen."},"q4":{"q":"Kann ich mich registrieren, wenn ich nicht sicher bin, ob mein Unternehmen betroffen ist?","a":"Ja, und das BSI empfiehlt im Zweifel die Registrierung. Eine Registrierung, die sich als nicht erforderlich herausstellt, hat keine negativen Konsequenzen - sie kann korrigiert werden. Eine fehlende Registrierung, wenn Sie betroffen sind, birgt echtes rechtliches Risiko. Im Zweifel: registrieren."},"q5":{"q":"Bedeutet die BSI-Registrierung, dass ich NIS2-konform bin?","a":"Nein. Die Registrierung erfüllt eine Pflicht (§33 BSIG), aber nicht die inhaltlichen Anforderungen: Cybersicherheitsmaßnahmen (§30), Meldepflichten (§32) oder die Geschäftsführerpflichten (§38). Stellen Sie sich die Registrierung wie eine Steuererklärung vor - Sie müssen trotzdem die Steuern zahlen. Nach der Registrierung müssen Sie alle 10 Pflichtmaßnahmen umsetzen, Meldeprozesse einrichten und sicherstellen, dass die Geschäftsführung ihre persönlichen Pflichten erfüllt."}},"incidents":{"q1":{"q":"Wie sieht die NIS2-Meldekaskade bei Sicherheitsvorfällen aus?","a":"NIS2 erfordert eine dreistufige Meldekaskade an das BSI: (1) Frühwarnung innerhalb von 24 Stunden - Bestätigung eines erheblichen Vorfalls, ob er böswillig ist und ob grenzüberschreitende Auswirkungen möglich sind. (2) Aktualisierte Meldung innerhalb von 72 Stunden - Schwerebewertung, Kompromittierungsindikatoren, erste Ursachenanalyse und ergriffene Maßnahmen. (3) Abschlussbericht innerhalb von 1 Monat - detaillierte Beschreibung, bestätigte Ursache, Gegenmaßnahmen und Lessons Learned. Ist der Vorfall nach einem Monat noch nicht abgeschlossen, ist ein Zwischenbericht erforderlich."},"q2":{"q":"Was gilt als 'erheblicher' Sicherheitsvorfall unter NIS2?","a":"Ein Vorfall ist erheblich, wenn er: schwere Betriebsstörungen verursacht, finanzielle Verluste über 500.000 € oder 5 % des Jahresumsatzes verursacht, andere natürliche oder juristische Personen erheblich schädigt, unbefugten Zugriff oder Veränderung von Daten beinhaltet oder eine längere Dienstunterbrechung verursacht. Die CIR 2024/2690 ergänzt, dass wiederkehrende kleinere Vorfälle aggregiert und als erheblich behandelt werden können, wenn sie zusammen innerhalb von sechs Monaten die Kriterien erfüllen."},"q3":{"q":"Wo melde ich NIS2-Sicherheitsvorfälle?","a":"Alle Vorfallsmeldungen müssen über das offizielle BSI-Meldeportal im NIS2-Bereich eingereicht werden. Das BSI akzeptiert keine Meldungen per E-Mail, Telefon oder Brief als Ersatz für die Portalmeldung. Der Zugang erfordert eine vorherige Registrierung nach §33 BSIG - nicht registrierte Einrichtungen haben ein doppeltes Problem: Sie können keine Vorfallsmeldungen über den ordnungsgemäßen Kanal einreichen. Telefonischer Kontakt mit dem CERT-Bund ist für die parallele Koordination der Reaktion angemessen."},"q4":{"q":"Was passiert, wenn ich einen Vorfall nicht dem BSI melde?","a":"Die Nichtmeldung wird unabhängig vom Vorfall selbst bestraft. Jede fehlende Stufe (24h, 72h, 1 Monat) ist ein separater Verstoß mit Bußgeldern bis 500.000 €. Für wesentliche Einrichtungen kann auch der erweiterte Bußgeldrahmen (bis 10 Mio. €) greifen. Wusste die Geschäftsführung von einem Vorfall und stellte die Meldung nicht sicher, stellt dies einen persönlichen Überwachungsverstoß nach §38 BSIG dar. Die Nichtmeldung wirft zudem Fragen zur gesamten Compliance-Haltung auf und kann eine umfassende BSI-Prüfung auslösen."},"q5":{"q":"Ersetzt die NIS2-Vorfallsmeldung die DSGVO-Meldepflicht?","a":"Nein. Die NIS2-Vorfallsmeldung nach §32 BSIG ist getrennt von und zusätzlich zur DSGVO-Datenschutzverletzungsmeldung nach Art. 33/34 DSGVO. Beide Pflichten können gleichzeitig für denselben Vorfall gelten. Wenn ein Cyberangriff personenbezogene Daten offenlegt und Dienste stört, müssen Sie sowohl beim BSI nach NIS2 als auch bei der Datenschutzbehörde nach DSGVO melden. Unterschiedliche Fristen, unterschiedliche Behörden, unterschiedliche Formulare."}},"penalties":{"q1":{"q":"Wie hoch ist das maximale NIS2-Bußgeld für mein Unternehmen?","a":"Es hängt von Ihrer Einrichtungskategorie ab. Wesentliche Einrichtungen (Anhang-I-Sektoren): der höhere Betrag aus 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen (Anhang-II-Sektoren): der höhere Betrag aus 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes. Für die meisten mittelständischen Unternehmen unter 500 Mio. € Umsatz gilt der Festbetrag, da der Prozentsatz niedriger ist. Separate Bußgelder bis 500.000 € gelten für Registrierungs- und Meldeverstöße. Mehrere Verstöße können sich kumulieren."},"q2":{"q":"Kann ich als Geschäftsführer persönlich bestraft werden?","a":"Die Bußgelder nach §65 BSIG werden gegen das Unternehmen verhängt, nicht gegen die Einzelperson. Jedoch begründet §38 BSIG eine persönliche zivilrechtliche Haftung für Schäden aus dem Versäumnis, Cybersicherheitsmaßnahmen zu genehmigen und zu überwachen. Sie haften also persönlich für Verluste des Unternehmens - kein Bußgeld, aber potenziell ein Schadensersatzanspruch Ihres eigenen Unternehmens. Im Insolvenzfall kann der Insolvenzverwalter diesen Anspruch persönlich gegen Sie geltend machen."},"q3":{"q":"Sind NIS2-Bußgelder verhältnismäßig zur Unternehmensgröße?","a":"Ja, das ist beabsichtigt. Die umsatzbezogene Berechnung stellt sicher, dass Bußgelder mit der Unternehmensgröße skalieren. Für ein Unternehmen mit 15 Mio. € Umsatz beträgt das maximale Bußgeld für wesentliche Einrichtungen 10 Mio. € (der Festbetrag, da 2 % nur 300.000 € wären). Für ein 600-Mio.-€-Unternehmen beträgt das Maximum 12 Mio. € (2 % übersteigt die 10-Mio.-€-Untergrenze). Das BSI muss zudem die Verhältnismäßigkeit berücksichtigen: Unternehmensgröße, Schwere, Dauer und Gutgläubigkeit fließen in die tatsächliche Bußgeldhöhe ein."},"q4":{"q":"Was löst BSI-Durchsetzungsmaßnahmen aus?","a":"Bei wesentlichen Einrichtungen: Das BSI kann proaktive Prüfungen und Inspektionen ohne konkreten Anlass durchführen - risikobasierte Stichproben. Bei wichtigen Einrichtungen: Die Durchsetzung ist reaktiv - ausgelöst durch einen gemeldeten Vorfall, Beschwerden Dritter, Medienberichte über eine Sicherheitsverletzung oder fehlende Registrierung. Das BSI gleicht auch Handelsregister- und Sektordatenbanken ab, um Einrichtungen zu identifizieren, die registriert sein sollten, es aber nicht sind."},"q5":{"q":"Wie vergleichen sich NIS2-Bußgelder mit DSGVO-Bußgeldern?","a":"NIS2-Bußgelder orientieren sich an der DSGVO-Struktur. Maximale NIS2-Bußgelder (10 Mio. € / 2 % Umsatz für wesentliche Einrichtungen) sind vergleichbar mit DSGVO-Stufe-1-Bußgeldern (10 Mio. € / 2 % Umsatz). DSGVO-Stufe-2-Bußgelder gehen höher (20 Mio. € / 4 %). Der zentrale Unterschied: NIS2 fügt persönliche Geschäftsführerhaftung (§38 BSIG) hinzu, die die DSGVO nicht kennt. Zudem können sich NIS2-Bußgelder kumulieren - Nichtregistrierung, Nichtmeldung und Nichtkonformität mit Maßnahmen sind separate Verstöße mit separaten Bußgeldern."}},"implementation":{"q1":{"q":"Wie lange dauert die NIS2-Compliance für ein mittelständisches Unternehmen?","a":"Für ein Unternehmen mit 50-250 Mitarbeitern, das bei Null anfängt, rechnen Sie mit 3-6 Monaten für eine solide Grundlage: BSI-Registrierung (Woche 1), Asset-Inventar und Risikoanalyse (Wochen 2-6), Meldeprozess (Wochen 4-8), Zugangskontrollen (Wochen 6-12) und Richtliniendokumentation (fortlaufend). Die meisten der 49 BSIG-Anforderungen sind einmalige Dokumentation - Richtlinien, Risikobewertungen, Verfahren. Nur wenige erfordern laufende operative Prozesse. Das BSI bewertet Entwicklung und Gutgläubigkeit, nicht Perfektion am ersten Tag."},"q2":{"q":"Wie viel kostet die NIS2-Compliance?","a":"Für ein Unternehmen mit 50-250 Mitarbeitern: Managementberatung kostet 150.000-500.000 €, Enterprise-GRC-Plattformen 100.000 €+/Jahr, US-Compliance-Tools (Vanta, Drata) ab 7.500 €/Jahr, aber ohne BSIG-Spezifika, und Eigenleistung 20.000-80.000 € an Personalaufwand. Realistische Erstjahreskosten für ein 100-Personen-Unternehmen: Gap-Analyse (5.000-15.000 €), Richtliniendokumentation (10.000-30.000 €), technische Maßnahmen (15.000-50.000 €), Schulung (3.000-8.000 €), insgesamt 33.000-103.000 € einmalig plus 20.000-53.000 € jährlich."},"q3":{"q":"Was sind die 10 verpflichtenden NIS2-Cybersicherheitsmaßnahmen?","a":"§30(2) BSIG definiert 10 Pflichtmaßnahmen: (1) Risikoanalyse und Informationssicherheitsrichtlinien, (2) Bewältigung von Sicherheitsvorfällen, (3) Aufrechterhaltung des Betriebs und Krisenmanagement, (4) Sicherheit der Lieferkette, (5) Sicherheit bei Beschaffung, Entwicklung und Wartung, (6) Bewertung der Wirksamkeit, (7) Cybersicherheitsschulung und -hygiene, (8) Kryptografie und Verschlüsselung, (9) Personalsicherheit, Zugangskontrolle und Asset-Management, (10) Multi-Faktor-Authentifizierung und gesicherte Kommunikation. Alle wesentlichen und wichtigen Einrichtungen müssen alle 10 Maßnahmen umsetzen."},"q4":{"q":"Wie sieht ein Asset-Inventar für ein mittelständisches Unternehmen aus?","a":"Einfacher als gedacht. Ein typisches 100-Personen-Unternehmen hat etwa 10-15 gruppierte Asset-Einträge. IT-Grundschutz erlaubt ausdrücklich die Gruppierung identischer Assets: '45 Windows-Laptops' ist ein Eintrag, nicht 45. Typische Kategorien: ERP-/Abrechnungssystem, E-Mail und Zusammenarbeit (Microsoft 365), Netzwerkinfrastruktur pro Standort, Standard-Endgeräte (gruppiert), Server und Datenbanken, Cloud-Dienste und eventuell Betriebstechnik. Für Entsorgungsunternehmen kommen Flottenmanagement und Wiegesysteme hinzu, für Hersteller Produktionsanlagensteuerungen."},"q5":{"q":"Muss ich einen CISO oder ein Sicherheitsteam für NIS2 einstellen?","a":"Nein. Für mittelständische Unternehmen (50-250 Mitarbeiter) ist die NIS2-Compliance mit vorhandenem Personal in Teilzeitrollen machbar: ein Compliance-Verantwortlicher (4-8 Stunden/Woche, meist IT-Leiter oder Qualitätsmanager), ein IT-Ansprechpartner (2-4 Stunden/Woche) und ein Management-Sponsor (1-2 Stunden/Woche, erforderlich nach §38 BSIG). Das Gesetz verlangt 'angemessene und verhältnismäßige' Maßnahmen - ein 100-Personen-Entsorgungsunternehmen braucht kein SOC oder SIEM."},"q6":{"q":"In welcher Reihenfolge sollten die NIS2-Maßnahmen umgesetzt werden?","a":"Sofort starten mit Maßnahme 1 (Risikoanalyse), 2 (Vorfallsbewältigung) und 9 (Zugangskontrolle und Assets) - diese sind grundlegend und alles andere baut darauf auf. Wochen 3-6: Maßnahmen 3 (Betriebskontinuität), 4 (Lieferkette) und 7 (Schulung), die das Asset-Inventar aus Maßnahme 1 benötigen. Wochen 7-12: Maßnahmen 5 (Beschaffungssicherheit), 6 (Wirksamkeitsbewertung), 8 (Kryptografie) und 10 (MFA). Die Reihenfolge ist wichtig, da spätere Maßnahmen auf früheren aufbauen."}},"cta":"Jetzt NIS2-Compliance starten"},"nis2Timeline":{"meta":{"title":"NIS2 Regulatorische Zeitleiste","description":"Laufend aktualisierte Zeitleiste der NIS2-Richtlinie, BSIG, CIR 2024/2690 und IT-Grundschutz-Entwicklungen in der EU und Deutschland."},"badge":"Live-Zeitleiste","title":"NIS2 Regulatorische Zeitleiste","subtitle":"Wichtige Meilensteine und aktuelle Entwicklungen zu NIS2-Richtlinie, BSIG, CIR 2024/2690, IT-Grundschutz und ENISA - automatisch aktualisiert."},"changelog":{"meta":{"title":"Aktuelles - was sich auf NISD2.eu geändert hat","description":"Veröffentlichte Änderungen an der NISD2.eu-Plattform, am CEO-Kurs, an Compliance-Dokumenten und an Inhalten - kuratiert, nicht jeder Commit. Mit RSS-Feed."},"title":"Aktuelles","subtitle":"Kuratierte Liste der wichtigen Änderungen an Plattform, Kurs und Compliance-Dokumenten. Keine vollständige Commit-Historie - nur was für Nutzer, Käufer und Auditoren relevant ist.","empty":"Keine Einträge in dieser Kategorie.","tabs":{"all":"Alle","product":"Produkt","content":"Inhalt","course":"Kurs","compliance":"Compliance","regulatory":"Regulierung"}},"openSource":{"meta":{"title":"Open Source - NISD2.eu","description":"Wir veröffentlichen unter github.com/NISD2 die Datenstrukturen, mit denen wir auf nisd2.eu arbeiten - als Zod-Schemas mit MIT-Lizenz für Code und CC BY 4.0 für Inhalte."},"title":"Open Source","subtitle":"Wir veröffentlichen die Datenstrukturen, mit denen wir auf nisd2.eu arbeiten - damit andere Berater, GRC-Tools und Auditoren sie ohne Lizenzkosten nutzen können.","why":{"heading":"Warum","p1":"NIS2 betrifft rund 29.500 deutsche Unternehmen und Zehntausende weitere in der EU. Die meisten haben kein Compliance-Budget. Closed-Source-Compliance-Tools verlangen 7.000 bis 12.000 Euro pro Jahr für eine Checkliste über öffentlich zugängliche Gesetzestexte.","p2":"Der Gesetzestext gehört allen, die Checkliste zur Zerlegung des Gesetzestexts sollte allen gehören, und die einzige legitime Wertschöpfung liegt in der nachgelagerten Umsetzungsarbeit. Eine einzige, gut gepflegte, öffentlich überprüfbare Datenbasis ist mehr wert als zehn proprietäre Forks."},"repos":{"heading":"Was wir veröffentlichen"},"gapAssessment":{"title":"NIS2 Gap-Analyse - 116 Fragen, 15 Domänen","description":"Strukturierte Selbstbewertung als typisiertes Zod-Schema. Jede Frage ist mit einer konkreten Rechtsquelle verankert (NIS2-Richtlinie, BSIG, CIR 2024/2690, BSI IT-Grundschutz). Mit Referenz-Scoring-Logik und einem Drizzle-Speicher-Beispiel für Antworten."},"supplierQuestionnaire":{"title":"NIS2 Lieferantenfragebogen - 56 Felder, 6 Sektionen","description":"Die Fragen, die ein NIS2-reguliertes Unternehmen seinen Lieferanten stellen muss. Verankert an NIS2 Art. 21(2), CIR 2024/2690, ENISA TIG, BSI IT-Grundschutz und DSGVO Art. 28. Mit visibleWhen-Mechanismus zur Steuerung optionaler Sektionen je nach Servicetyp."},"grcDataModel":{"title":"GRC-Datenmodell — RoPA, DPA, TOMs, NIS2 ↔ DSGVO-Mappings","description":"Relationales Datenmodell für EU-GRC. Verzeichnis von Verarbeitungstätigkeiten (RoPA), 8-Klausel-Checkliste für Auftragsverarbeitungen (Art. 28 DSGVO), TOMs-Katalog, plus feldgenaue Zuordnungen zwischen NIS2 Art. 21 Maßnahmenbereichen und DSGVO-Artikeln. Zod als Quelle, npm-Subpath-Exports."},"euResources":{"title":"EU Compliance Resources — kuratierter Index","description":"Einseitiger Index zu Regulierungen, Leitfäden, nationalen Behörden, Open-Source-Schemas und Toolkits für EU-Compliance (NIS2, DSGVO, CRA, DORA, KI-Verordnung). Lizenz pro Eintrag sichtbar. CC0 — public domain."},"viewOnGitHub":"Auf GitHub ansehen","licence":{"heading":"Lizenz","p1":"Beide Repositories sind dual-lizenziert: MIT für Code (Zod-Schemas, Helper, Beispiele), Creative Commons Attribution 4.0 (CC BY 4.0) für Inhalte (Fragen, Beschreibungen, Rechtsquellen).","p2":"Sie dürfen den Inhalt teilen, anpassen und kommerziell nutzen, sofern Sie nisd2.eu als Quelle nennen. Konkrete Attributionsformulierung: siehe LICENSE-Datei in jedem Repository."},"contribute":{"heading":"Mitwirken","p1":"Pull Requests willkommen - besonders Korrekturen an Rechtsquellen (mit Primärquellen-Zitat), zusätzliche Sprachübersetzungen, sektorspezifische Erweiterungen (KRITIS, Energie, Gesundheitswesen) und nationale Umsetzungs-Deltas. Für größere Änderungen bitte zuerst ein Issue eröffnen."}},"status":{"meta":{"title":"Plattform-Status - NISD2.eu","description":"Aktueller Betriebsstatus der NISD2.eu-Plattform: Anwendung, Datenbank, gemeldete Vorfälle. In Echtzeit beim Seitenaufruf geprüft."},"title":"Plattform-Status","subtitle":"Aktueller Betriebsstatus von nisd2.eu - Anwendung, Datenbank und Verlauf gemeldeter Vorfälle.","lastChecked":"Zuletzt geprüft","overall":{"operational":"Alle Systeme betriebsbereit","degraded":"Eingeschränkter Betrieb","description":"Status wird in Echtzeit beim Aufruf dieser Seite geprüft."},"components":{"heading":"Komponenten","platform":"Anwendung","database":"Datenbank (PostgreSQL, Hetzner Falkenstein/Nürnberg)"},"componentState":{"ok":"Betriebsbereit","error":"Gestört"},"incidents":{"heading":"Gemeldete Vorfälle","none":"Keine Vorfälle gemeldet.","active":"Aktiv","resolved":"Behoben"},"contact":{"heading":"Vorfall melden","p1":"Sehen Sie ein Problem, das hier nicht aufgeführt ist? Bitte melden Sie sich:"}},"nis2Roadmap":{"meta":{"title":"NIS2-Roadmap für Geschäftsführer | NISD2.eu","description":"Die priorisierte Roadmap für Geschäftsführer. Persönlicher Aufwand: ~3 Stunden pro Jahr. Eine Seite, zum Drucken (A4).","ogTitle":"NIS2-Roadmap — was ein Geschäftsführer wissen muss","ogDescription":"Persönlicher Aufwand: ~3 Stunden pro Jahr. Alles andere ist delegierbar. Mit Paragrafenzitaten und konkreten Aktionen."},"heroBadge":"Für Geschäftsführer","heroTitle":"NIS2-Roadmap für Geschäftsführer","heroSubtitle":"Die priorisierten Schritte. Ihr persönlicher Aufwand: ~3 Stunden pro Jahr — alles andere ist delegierbar.","triageHeading":"Bevor Sie weiterlesen","triageBody":"Sind Sie überhaupt von NIS2 betroffen? Der 2-Minuten-Check ist kostenlos und ohne Login.","triageCta":"Anwendbarkeit prüfen","delegableBadge":"delegierbar","personalBadge":"persönlich · nicht delegierbar","lawLabel":"Rechtsgrundlage","ownerLabel":"Verantwortlich","timeLabel":"Aufwand","deadlineLabel":"Frist","actionLabel":"Konkrete Aktion","stepsHeading":"Die Roadmap","step1":{"title":"Anwendbarkeit prüfen","law":"§28 BSIG","owner":"Geschäftsführer","time":"2 Minuten","deadline":"sofort","what":"Schwellenwerte (Beschäftigte, Umsatz, Sektor) prüfen, um zu klären, ob Ihre Einrichtung als „wesentlich“ oder „wichtig“ gilt.","actionText":"2-Minuten-Check ohne Login","actionHref":"/applicability"},"step2":{"title":"Bei der nationalen NIS2-Behörde registrieren","law":"NIS2 Art. 27 · §33 BSIG (DE)","owner":"IT-Leitung füllt aus, Geschäftsführer zeichnet","time":"~1 Stunde pro Land + nationale Identitätsverfahren (z. B. ELSTER in DE: 5–10 Werktage)","deadline":"Nationale Fristen gelten — DE: 06.03.2026 abgelaufen, Pflicht besteht weiter","what":"Sie registrieren sich bei der NIS2-Behörde jedes EU-Mitgliedstaats, in dem Sie tätig sind — nicht nur in Deutschland. Tätig sein heißt hier: physische Niederlassung — eigene Gesellschaft, Zweigstelle, Büro oder eigene Mitarbeiter vor Ort in diesem Land. Reiner grenzüberschreitender Vertrieb zählt nicht. Beispiel: GmbH in Köln plus Standort in Wien → Registrierung beim BSI (DE) und bei der NIS-Stelle (AT).","actionText":"Behörden je Land ansehen","actionHref":"/nis2-registration-portals"},"step3":{"title":"GF-Schulung absolvieren","law":"§38 Abs. 3 BSIG","owner":"Geschäftsführer persönlich","time":"~2 Stunden, Erstaufwand · jährliche Auffrischung empfohlen","deadline":"vor erster Aufsicht","what":"Die einzige Pflicht, die Sie als Geschäftsführer nicht delegieren können. Ausreichende Kenntnisse zu Cybersicherheits-Risikomanagement nachweisen.","actionText":"Kostenlose GF-Schulung starten","actionHref":"/training/nis2-ceo"},"step4":{"title":"Asset-Inventar und Risikoregister","law":"§30 Abs. 2 BSIG · NIS2 Art. 21(2)(a)","owner":"IT-Leitung erstellt, Geschäftsführer zeichnet (§38 Abs. 1 BSIG)","time":"~1 Tag Erstaufnahme · laufend pflegen, jährlich freigeben","deadline":"Quartal 1","what":"Vollständige Liste der Systeme, Anwendungen und Daten, von denen Ihr Betrieb abhängt — und die zugehörigen Risiken. Beides ist die Grundlage für alle weiteren NIS2-Pflichten und der erste Punkt, den ein Auditor sehen will. In der NISD2-Plattform legen Ihre IT-Leitung und der CISO Inventar und Risiken an, halten sie aktuell und ziehen den Vorfallsmeldungsprozess (24 h / 72 h / 1 Monat nach §32 BSIG) automatisch in den Compliance-Nachweis ein.","actionText":"Asset- und Risikoregister im Portal anlegen","actionHref":"/features"},"step5":{"title":"Lieferantenverzeichnis und Lieferantenrisiko-Management","law":"§30 Abs. 2 Nr. 4 BSIG · NIS2 Art. 21(2)(d)","owner":"Einkauf / IT erstellt, Geschäftsführer zeichnet","time":"~½ Tag Erstaufnahme · laufend pflegen","deadline":"Quartal 1–2","what":"Verzeichnis der direkten Lieferanten, gekoppelt an Ihr Asset-Inventar (welcher Lieferant betreibt welches System). Kontinuierliches Cybersicherheits-Risiko-Management statt einmaliger Fragebogen: Sicherheitsstatus pro Lieferant, Vorfallsmeldungen aus deren Lieferantenportal, Risikobewertung. Die Plattform stellt den auf NIS2 verankerten Standardfragebogen bereit (Open Source, MIT + CC BY 4.0) und führt das Verzeichnis fort.","actionText":"Lieferantenverzeichnis im Portal anlegen","actionHref":"/features"},"step6":{"title":"Restliche NIS2-Pflichten umsetzen","law":"§30 Abs. 2 Nr. 1–10 BSIG · NIS2 Art. 21","owner":"IT-Leitung / CISO setzt um, Geschäftsführer zeichnet jährlich","time":"laufend, parallel zur IT-Arbeit","deadline":"Quartal 2 ff.","what":"Die zehn Maßnahmenbereiche aus Art. 21 NIS2 — Vorfallsbearbeitung, Geschäftskontinuität (Backups, Wiederanlauf), Schulungen, Zugangskontrolle, Kryptografie, Schwachstellen- und Patch-Management, Netzwerksicherheit, Monitoring, Lieferantenverträge, Kommunikation. Die Plattform deckt alle zehn Bereiche mit Vorlagen, automatischen Nachweisen und einem Audit-Trail ab; Sie als Geschäftsführer zeichnen jährlich die Übersicht ab.","actionText":"Plattform-Funktionen ansehen","actionHref":"/features"},"anchor":{"heading":"Ihr persönlicher Mindestaufwand","lineSchulung":"1× Schulung (~2 Stunden, einmalig)","lineSign":"5× Dokumente unterzeichnen (~40 Minuten gesamt)","lineYearly":"Jährliche Auffrischung empfohlen","totalLabel":"Gesamtaufwand","total":"~3 Stunden pro Jahr.","footer":"Alles andere übernimmt Ihre IT-Leitung oder Ihr CISO."},"disclaimer":"Diese Seite ist eine strukturierte Hilfestellung auf Basis von NIS2, BSIG, CIR 2024/2690 und ENISA TIG. Sie ersetzt keine Rechtsberatung. Die operative Umsetzung übernimmt Ihre IT-Leitung oder Ihr CISO.","actions":{"print":"Seite drucken","share":"Per E-Mail teilen","shareSubject":"NIS2-Roadmap — für Geschäftsführer","shareBody":"Hallo,\n\nhier ist eine kompakte NIS2-Roadmap für Geschäftsführer. Persönlicher Aufwand: ca. 3 Stunden pro Jahr, alles andere ist delegierbar.\n\n%URL%\n\nViele Grüße"},"transparency":{"heading":"Quellen und Transparenz","sources":"NIS2-Richtlinie (EU) 2022/2555 · BSIG (Stand 06.12.2025) · CIR 2024/2690 · ENISA Technical Implementation Guidance v1.0","openSource":"Open-Source-Werkzeuge (MIT + CC BY 4.0)","openSourceUrl":"https://github.com/NISD2","hosting":"Hosting in Deutschland · DSGVO-konform"}},"corrections":{"meta":{"title":"Korrekturen - NISD2.eu","description":"Fehler in unserem NIS2-Kurs, der Plattform oder der Gap-Analyse gefunden? Melden Sie sich. Wir beheben bestätigte Korrekturen innerhalb von 48 Stunden."},"badge":"Genauigkeit","title":"Korrekturen","subtitle":"Wir nehmen Genauigkeit ernst. Wenn Sie einen Fehler finden, möchten wir es wissen.","body":"Unser CEO-Kurs, die Gap-Analyse und die Compliance-Plattform basieren auf dem Lesen der NIS2-Richtlinie, der CIR 2024/2690, des BSIG und der BSI IT-Grundschutz-Leitfäden. Wir zitieren durchgehend spezifische Artikel und Paragraphen. Aber wir sind Ingenieure, keine Anwälte, und die regulatorische Landschaft ändert sich. Wenn Sie einen sachlichen Fehler, eine veraltete Referenz oder eine Fehlinterpretation des Gesetzes finden, lassen Sie es uns bitte wissen.","emailLabel":"Korrektur melden","response":"Wir prüfen jede Einsendung und beheben bestätigte Korrekturen innerhalb von 48 Stunden. Wenn Ihre Korrektur zu einer wesentlichen Änderung führt, nennen wir Sie auf der betroffenen Seite."},"teamPage":{"meta":{"title":"Team - NISD2.eu","description":"Das Team hinter NISD2.eu. Zwei Gründer, die Europas NIS2-Compliance-Kosten halbieren."},"badge":"Team","title":"Wer wir sind","subtitle":"Zwei Gründer, die versuchen, die NIS2-Kosten zu halbieren. Keine Beratungsfirma, kein VC-Backing. Nur die Überzeugung, dass Compliance keine sechs Stellen kosten sollte.","simon":"10+ Jahre Software Engineering in sicherheitskritischen Branchen. Senior Engineer und Tech Lead für eine Top-5-EU-Bank, Europas größten Hersteller von Gleitlagern und VC-finanzierte Plattformen. Hat die gesamte NIS2-Rechtskette (Richtlinie, CIR 2024/2690, BSIG, IT-Grundschutz) recherchiert und darauf die NISD2-Plattform, den 47-Lektionen CEO-Kurs und die 116-Fragen Gap-Analyse aufgebaut. Entwickelt außerdem KI-gestützte Legal-Tech-Anwendungen für deutsche Rechtsprechungssuche. Standort: Köln.","cory":"M.Eng Mechatronik mit Schwerpunkt Embedded Systems und KI-Integration. Verantwortlich für Business Development, Partnerschaften und kundennahe Implementierungsbegleitung. Hintergrund in Software Engineering mit Python, TypeScript und IoT-Systemen. Überbrückt die Lücke zwischen technischen Compliance-Anforderungen und der Geschäftsrealität der Unternehmen, die sie umsetzen müssen. Standort: Deutschland.","whyUs":{"heading":"Warum wir","body":"Wir sind keine Beratungsfirma. Wir verkaufen kein Tool und kassieren dann für die Schulung. Wir haben alles auf dieser Plattform gebaut, indem wir das Gesetz, die Durchführungsverordnung und die BSI-Leitfäden gelesen haben. Jede Lektion im CEO-Kurs nennt ihre Rechtsgrundlage. Jede Anforderung in der Plattform verweist auf einen konkreten BSIG-Paragraphen. Wir sind Ingenieure, die entschieden haben, dass Compliance keine sechs Stellen kosten sollte."},"ctaMission":"Unsere Mission lesen","ctaPlatform":"Kostenlos starten"},"gapAssessmentLanding":{"meta":{"title":"Kostenlose NIS2 Gap-Analyse","description":"116 Fragen in 15 Bereichen. Finden Sie Ihre NIS2-Lücken und persönliche Haftungsrisiken. Kostenlos, kein Lock-in.","ogTitle":"Kostenlose NIS2 Gap-Analyse - nisd2.eu","ogDescription":"116 Fragen. 15 Bereiche. Finden Sie Ihre NIS2-Lücken. Kostenlos."},"badge":"Kostenlose Gap-Analyse","title":"Wie bereit sind Sie für NIS2?","subtitle":"116 Fragen über 15 Compliance-Bereiche. Finden Sie heraus, wo genau Ihre Lücken sind, welche persönliche Haftung erzeugen und was Sie zuerst beheben sollten. Etwa 30 Minuten pro Tag über 5 Tage.","cta":"Gap-Analyse starten","highlights":{"questions":{"title":"116 Fragen, 15 Bereiche","description":"Deckt alle NIS2-Pflichten ab: Governance, Risikomanagement, Vorfallmanagement, Geschäftskontinuität, Lieferkette, Schulung, Zugriffskontrolle, Kryptografie und mehr."},"time":{"title":"~30 Minuten pro Tag","description":"Aufgeteilt in 5 Tage. In Ihrem eigenen Tempo. Fortschritt wird automatisch gespeichert. Jederzeit unterbrechen und fortsetzen."},"scoring":{"title":"Reifegrad pro Bereich","description":"Sehen Sie genau, wo Sie stehen: Kritisch, Initial, In Entwicklung, Gesteuert oder Optimiert. Wissen Sie, welche Lücken nach rechtlichem Risiko priorisiert werden."},"report":{"title":"Bericht für die Geschäftsführung","description":"PDF-Export mit Ihrem Bereitschaftsergebnis, priorisierten Lücken und persönlicher Haftung. Gebaut für den CEO, um es dem Aufsichtsrat zu zeigen."}},"structure":{"heading":"Die 5-Tage-Struktur","body":"Jeder Tag konzentriert sich auf andere Bereiche. Tag 1 ist für die Geschäftsführung. Tage 2-5 können von IT, Personal oder Einkauf beantwortet werden. Eine Person kann auch alles alleine machen.","day1":{"title":"Tag 1: Anwendungsbereich & Governance","description":"Sind Sie betroffen? Versteht Ihre Geschäftsführung ihre persönliche Haftung? Haben Sie sich beim BSI registriert? 26 Fragen."},"day2":{"title":"Tag 2: Risikomanagement","description":"Kennen Sie Ihre Assets, Ihre Risiken und Ihre Sicherheitsrichtlinien? Haben Sie ein Risikoregister? 17 Fragen."},"day3":{"title":"Tag 3: Vorfallmanagement & Geschäftskontinuität","description":"Können Sie Vorfälle erkennen, darauf reagieren und innerhalb von 24 Stunden melden? Haben Sie getestete Backups? 19 Fragen."},"day4":{"title":"Tag 4: Mitarbeiter, Lieferanten & Zugang","description":"Sind Mitarbeiter geschult? Lieferanten bewertet? Zugänge kontrolliert? Physische Sicherheit gewährleistet? 26 Fragen."},"day5":{"title":"Tag 5: Technische Kontrollen & Nachweise","description":"Patching, Kryptografie, Netzwerksicherheit, Wirksamkeitsprüfung und audit-bereite Dokumentation. 28 Fragen."}},"output":{"heading":"Was Sie erhalten","body":"Einen Reifegrad pro Bereich, einen Gesamtbereitschaftswert und eine priorisierte Liste von Lücken, geordnet nach rechtlichem Risiko. Jede Lücke zeigt, ob sie Bußgeldrisiko oder persönliche Haftung erzeugt und wie lange die Behebung dauert. Die Ergebnisse verlinken direkt zur Compliance-Plattform, damit Sie sofort mit der Behebung beginnen können."},"whoFor":{"heading":"Für wen ist das?","body":"Jedes Unternehmen, das weiß, dass es unter NIS2 fällt, aber noch nicht angefangen hat. Oder jedes Unternehmen, das angefangen hat, aber wissen möchte, wie weit es tatsächlich ist. Die Fragen sind in einfacher Sprache geschrieben. Kein Vorwissen im Compliance-Bereich erforderlich."},"ctaCard":{"heading":"Finden Sie heraus, wo Sie stehen","body":"Erstellen Sie ein kostenloses Konto und starten Sie Tag 1. Kein Lock-in, kein Upsell. Die Analyse ist kostenlos und die Ergebnisse gehören Ihnen."}},"trainingCeo":{"meta":{"title":"NIS2 Management-Training - Artikel 20 + 21","description":"NIS2-Training zu Artikel 20 + 21: Risiken, die 10 Sicherheitsmaßnahmen und Aufsicht durch die Leitung. Erfüllt die Schulungspflicht nach Art. 20(2). 47 Lektionen, kostenlos.","ogTitle":"NIS2 Management-Training - Artikel 20 + 21","ogDescription":"47 Lektionen. 4 Stunden. Artikel 20 und 21 der NIS2-Richtlinie. Erfüllt die Schulungspflicht nach Art. 20(2). Kostenlos."},"badge":"NIS2 Artikel 20 + 21","title":"NIS2 Management-Training","subtitle":"Alles, was die NIS2-Richtlinie von Ihnen als Mitglied des Leitungsorgans verlangt - strukturiert, kostenlos und fuer die Fragen des Auditors aufbereitet.","startCourse":"Kurs starten","viewOutline":"Kursueberblick","downloadPdf":"PDF herunterladen","lessonsLabel":"Lektionen","learnerCount":"{count} Personen haben diesen Kurs begonnen","highlights":{"lessons":{"title":"47 Lektionen","description":"Strukturiert nach den drei BSI-Kompetenzbereichen und den zehn Massnahmen nach Artikel 21"},"hours":{"title":"~4 Stunden","description":"Kurze Lektionen, die Sie in Ihrem eigenen Tempo absolvieren koennen - zwischen Terminen"},"quizzes":{"title":"Quiz nach jeder Lektion","description":"Ueberpruefen Sie Ihr Verstaendnis fortlaufend - keine Abschlusspruefung, kein Druck"},"certificate":{"title":"Abschlusszertifikat","description":"Datierter Schulungsnachweis fuer den Auditor - dokumentiert Inhalte und Zeitaufwand"}},"whoFor":{"heading":"Fuer wen ist dieses Training?","body":"Wenn Sie in der Geschaeftsfuehrung eines von NIS2 betroffenen Unternehmens taetig sind - als Geschaeftsfuehrer, Vorstand, COO, CFO oder in einer anderen Rolle, die das Gesetz als \"Mitglied des Leitungsorgans\" bezeichnet - ist dieser Kurs fuer Sie. Artikel 20(2) macht die Schulungspflicht persoenlich und nicht delegierbar. Sie koennen nicht Ihren CISO an Ihrer Stelle schicken."},"whatLearn":{"heading":"Was Sie lernen werden","body":"Die Schulung muss drei Kompetenzbereiche abdecken: Risiken erkennen, die eingesetzten Massnahmen bewerten und verstehen, wie diese Risiken die Dienstleistungen Ihres Unternehmens beeinflussen. Dieser Kurs deckt alle drei ab, strukturiert in {moduleCount} Module:"},"whyFree":{"heading":"Warum ist das kostenlos?","body":"Kein EU-Mitgliedstaat hat eine staatlich anerkannte Zertifizierungsstelle fuer NIS2-Schulungen eingerichtet. Bis offizielle Zertifizierungswege existieren, ist die Schulungsdokumentation der universelle Standard. Wir haben diesen Kurs entwickelt, damit jeder betroffene Geschaeftsfuehrer in der EU seine Pflicht nach Artikel 20(2) erfuellen kann, ohne einen Berater zu bezahlen. Die Plattform ist kostenlos. Das Zertifikat ist kostenlos. Kein Lock-in, keine Paywall."},"cta":{"heading":"Bereit, Ihre Schulungspflicht zu erfuellen?","body":"Erstellen Sie ein kostenloses Konto und starten Sie mit Lektion 0.1. Dauert insgesamt etwa vier Stunden.","button":"Kostenlos starten"},"testimonials":{"heading":"Stimmen aus der Praxis"}},"trainingTabletop":{"meta":{"title":"Kostenlose NIS-2-Tabletop-Schulung - Artikel 21 + 23","description":"NIS-2-Tabletop-Schulung für Informationssicherheits-Beauftragte, IT-Verantwortliche und Notfall- und Krisenmanagement-Leitungen. Artikel 21(2)(b) + (c) sowie Artikel 23 Meldekette. 8 Lektionen, 50 Minuten, kostenlos.","ogTitle":"NIS-2-Tabletop-Schulung","ogDescription":"8 Lektionen. 50 Minuten. Die jaehrliche Tabletop-Uebung der Richtlinie planen, durchfuehren und dokumentieren. Kostenlos."},"badge":"NIS 2 Artikel 21 + 23","title":"NIS-2-Tabletop-Schulung","subtitle":"Planen, durchfuehren und dokumentieren Sie die jaehrliche Uebung, die die Richtlinie verlangt. Fuer Moderationen - 50 Minuten, auditfest, kostenlos.","startCourse":"Kurs starten","viewOutline":"Kursuebersicht ansehen","downloadPdf":"PDF herunterladen","lessonsLabel":"Lektionen","learnerCount":"{count} Personen haben diesen Kurs begonnen","highlights":{"lessons":{"title":"8 Lektionen","description":"Rechtliche Grundlage, Rollen, Trennung der Moderation, vollstaendiges Szenario, Hot-Wash-Nachbesprechung, Protokoll und Haeufigkeit"},"hours":{"title":"~50 Minuten","description":"Kurs in einer Sitzung, fuer Moderationen mit wenig Zeit"},"quizzes":{"title":"7 Quizze","description":"Sechs Quizze nach den Inhaltslektionen plus das Acht-Fragen-Abschluss-Quiz"},"certificate":{"title":"Teilnahmebescheinigung","description":"Datierter Nachweis der Schulung nach Artikel 21(2)(g) NIS 2 fuer die Moderationsrolle - das Dokument, nach dem das Audit fragt"}},"whoFor":{"heading":"Fuer wen dieser Kurs ist","body":"Informationssicherheits-Beauftragte, CISOs, IT-Verantwortliche, Notfall- und Krisenmanagement-Leitungen sowie Krisenmanager in wesentlichen und wichtigen Einrichtungen unter NIS 2. Die Moderation, die Ihre jaehrliche Tabletop-Uebung leitet. EU-weit verstaendlich, mit Beispielen aus der deutschen Umsetzung."},"whatLearn":{"heading":"Was Sie nach dem Kurs koennen","body":"Die rechtliche Grundlage der Uebungspflicht erkennen, die Meldekette nach Artikel 23 durchspielen, die Pflicht- und empfohlenen Rollen besetzen, die Moderation von den Teilnehmenden trennen, ein vollstaendiges Szenario mit Entscheidungspunkten durchspielen, den Hot Wash so fuehren, dass Verbesserungspunkte entstehen, und ein auditfestes Protokoll mit Freigabe der Geschaeftsleitung schreiben. Strukturiert ueber {moduleCount} Module:"},"whyFree":{"heading":"Warum ist der Kurs kostenlos?","body":"Es gibt keine EU-Stelle, die NIS-2-Schulungsanbieter zertifiziert. Die Uebungspflicht aus Artikel 21(2)(b) und (c) trifft jede wesentliche und wichtige Einrichtung, aber Beratungs-Tabletops kosten €15.000-50.000 pro Sitzung. Wir haben diesen Kurs und das Live-System-Tabletop-Modul gebaut, damit jede Moderation einen verteidigungsfaehigen Uebungsnachweis erstellen kann, ohne eine Beratung zu beauftragen. Die Plattform ist kostenlos. Die Bescheinigung ist kostenlos. Open Source, kein Lock-in."},"cta":{"heading":"Bereit fuer Ihre erste Tabletop-Uebung?","body":"Erstellen Sie ein kostenloses Konto und starten Sie mit Lektion 0.1. Insgesamt fuenfzig Minuten. Kombinieren Sie den Kurs mit dem Live-System-Tabletop-Modul, um die Uebung selbst durchzufuehren.","button":"Kostenlos starten"}},"trainingCraSbom":{"meta":{"title":"Kostenloses CRA-SBOM-Training - Artikel 13(5) Cyber Resilience Act","description":"CRA-SBOM-Training fuer Produktmanager, Entwickler und Security-Leads. CRA-Artikel-13(5)-Pflichten, CycloneDX- und SPDX-Formate, Werkzeuge und Artikel-14-Schwachstellenmonitoring. 9 Lektionen, ca. 50 Minuten, kostenlos.","ogTitle":"CRA SBOM-Grundlagen Training","ogDescription":"9 Lektionen. Ca. 50 Minuten. Erstellen, pflegen und archivieren Sie die SBOM, die der Cyber Resilience Act fordert. Kostenlos."},"badge":"CRA Artikel 13(5) + Artikel 14","title":"CRA SBOM-Grundlagen","subtitle":"Erstellen, pflegen und archivieren Sie die Software-Stueckliste, die der Cyber Resilience Act fordert. Fuer Produktteams, die in die EU verkaufen - 60 Minuten, Audit-tauglich, kostenlos.","startCourse":"Kurs starten","viewOutline":"Kursuebersicht ansehen","downloadPdf":"PDF herunterladen","lessonsLabel":"Lektionen","learnerCount":"{count} Personen haben diesen Kurs begonnen","highlights":{"lessons":{"title":"9 Lektionen","description":"Rechtsgrundlage, Pflichtfelder, direkte vs. transitive Abhaengigkeiten, CycloneDX, SPDX, Werkzeuge und Schwachstellenmonitoring"},"hours":{"title":"Ca. 60 Minuten","description":"Kurs in einer Sitzung fuer Produktteams mit wenig Zeit"},"quizzes":{"title":"8 Wissenstests","description":"Sieben Lektions-Wissenstests plus der 8-Fragen-Attestierungstest"},"certificate":{"title":"Attestierungs-PDF","description":"Datierter Nachweis der SBOM-Compliance-Schulung - das Dokument, das eine Marktueberwauchungsbehoerde anfordert"}},"whoFor":{"heading":"Fuer wen ist dieser Kurs","body":"Produktmanager, Softwareentwickler, Security-Leads und Compliance-Beauftragte in Unternehmen, die Produkte mit digitalen Elementen in der EU herstellen oder vertreiben. Jedes Team, das die CRA-Artikel-13(5)-SBOM-Pflichten oder die Artikel-14-Schwachstellenmeldepflichten erfuellen muss."},"whatLearn":{"heading":"Was Sie danach koennen","body":"Die CRA-Artikel-13(5)-SBOM-Pflicht erklaeren, die Pflichtfelder eines SBOM-Komponenteneintrags benennen, direkte von transitiven Abhaengigkeiten unterscheiden, zwischen CycloneDX und SPDX waehlen, eine SBOM aus einer CI/CD-Pipeline generieren, automatisiertes Schwachstellenmonitoring gegen eine SBOM durchfuehren und Artikel-14-Meldeentscheidungen mit VEX-Aussagen dokumentieren. Strukturiert in {moduleCount} Modulen:"},"whyFree":{"heading":"Warum ist dieser Kurs kostenlos?","body":"Die CRA-SBOM-Pflicht betrifft jeden Hersteller von Produkten mit digitalen Elementen, die in der EU verkauft werden. Die meisten Leitlinien sind in Regulierungstexten und Normenentwuerfen vergraben. Wir haben diesen Kurs entwickelt, damit jedes Produktteam seine Artikel-13(5)-Pflichten ohne Beraterkosten verstehen und umsetzen kann. Die Plattform ist kostenlos. Die Attestierung ist kostenlos. Open Source, kein Lock-in."},"cta":{"heading":"Bereit fuer Ihre erste CRA-konforme SBOM?","body":"Erstellen Sie ein kostenloses Konto und starten Sie mit Lektion 0.1. Insgesamt ca. fuenfzig Minuten. Kombinieren Sie den Kurs mit den Schwachstellenmonitoring-Tools der Plattform fuer kontinuierliches Artikel-14-Monitoring.","button":"Kostenlos starten"}},"registrationPortals":{"meta":{"title":"NIS2 Registrierungsportale - Alle EU","description":"Alle NIS2-Registrierungsportale der EU. Zuständige Behörde, Portal, Fristen und nationales Umsetzungsgesetz Ihres Landes finden."},"badge":"EU-27 Registrierung","title":"NIS2 Nationale Registrierungsportale","subtitle":"Jeder EU-Mitgliedstaat hat einen eigenen NIS2-Registrierungsprozess, eine zuständige Behörde und eigene Fristen. Finden Sie das richtige Portal für Ihr Land.","lastUpdated":"Zuletzt aktualisiert","headers":{"country":"Land","authority":"Zuständige Behörde","portal":"Registrierungsportal","status":"Status","deadline":"Registrierungsfrist","law":"Nationales Gesetz","entryIntoForce":"Inkrafttreten"},"status":{"operational":"In Betrieb","pre-registration":"Vorregistrierung","planned":"Geplant","not-yet-available":"Noch nicht verfügbar"},"countries":{"DE":"Deutschland","BE":"Belgien","IT":"Italien","FR":"Frankreich","AT":"Österreich","CZ":"Tschechische Republik","DK":"Dänemark","NL":"Niederlande","PL":"Polen","SE":"Schweden","HR":"Kroatien","LT":"Litauen","LV":"Lettland","GR":"Griechenland","SK":"Slowakei","RO":"Rumänien","FI":"Finnland","EE":"Estland","PT":"Portugal","ES":"Spanien","HU":"Ungarn","BG":"Bulgarien","CY":"Zypern","IE":"Irland","LU":"Luxemburg","MT":"Malta","SI":"Slowenien"},"noPortal":"Noch nicht verfügbar","noDeadline":"Noch offen","noLaw":"Noch nicht verabschiedet","visitPortal":"Portal öffnen","visitAuthority":"Behörden-Website","operationalSection":"Aktive Registrierungsportale","operationalDescription":"Diese Länder haben aktive Registrierungsplattformen, auf denen sich Einrichtungen jetzt registrieren können.","preRegSection":"Vorregistrierung verfügbar","preRegDescription":"Diese Länder bieten eine Vorregistrierung oder frühzeitige Meldung an. Die vollständige Registrierung folgt.","plannedSection":"Registrierung geplant","plannedDescription":"Nationales Gesetz verabschiedet, aber Registrierungsportal noch nicht gestartet.","notAvailableSection":"Noch nicht verfügbar","notAvailableDescription":"Nationale Umsetzung noch in Arbeit. Registrierungsdetails folgen.","directIdentification":"Einrichtungen werden direkt von der zuständigen Behörde identifiziert — keine Selbstregistrierung erforderlich.","sources":{"heading":"Quellen","items":["ECSO NIS2-Richtlinien-Umsetzungstracker (ecs-org.eu)","Europäische Kommission NIS2-Status (digital-strategy.ec.europa.eu)","Wavestone NIS2-Umsetzungsanalyse","OpenKRITIS: NIS2 EU-Mitgliedstaaten (openkritis.de)","Nationale Behörden-Websites (BSI, CCB, ACN, ANSSI, NUKIB usw.)"]},"ctaCard":{"heading":"NIS2-Compliance in Deutschland starten","description":"Die BSI-Registrierungsfrist ist abgelaufen. Starten Sie jetzt Ihren BSIG-Compliance-Prozess mit unserer kostenlosen Plattform."},"cta":"Kostenlose NIS2-Compliance starten"},"supplyChain":{"meta":{"title":"NIS2 für Zulieferer - Lieferkette","description":"Zu klein für NIS2? Wer an NIS2-regulierte Unternehmen liefert, muss Cybersicherheit nachweisen. Was § 30 BSIG für Zulieferer bedeutet."},"badge":"Lieferkette","title":"NIS2-Compliance für Zulieferer","subtitle":"Ihr Unternehmen fällt nicht direkt unter NIS2 — aber Ihre Kunden schon. Und die werden von Ihnen Nachweise über Cybersicherheit verlangen.","why":{"heading":"Warum auch kleine Zulieferer von NIS2 betroffen sind","p1":"NIS2 (§ 30 BSIG, Maßnahme 4) verpflichtet regulierte Unternehmen ausdrücklich, ihre gesamte Lieferkette abzusichern. Das bedeutet: Alle rund 29.500 betroffenen Unternehmen in Deutschland müssen Cybersicherheitsstandards vertraglich von ihren Zulieferern einfordern.","p2":"Wenn Ihr Unternehmen weniger als 50 Mitarbeiter hat oder unter den Umsatzschwellen liegt, sind Sie nicht direkt von NIS2 reguliert. Aber wenn Sie IT-Dienstleistungen, Software, Komponenten, Logistik oder andere Services an ein reguliertes Unternehmen liefern, werden NIS2-Anforderungen über Ihre Verträge auf Sie zukommen.","p3":"Das ist keine Theorie. Große Unternehmen aktualisieren bereits ihre Einkaufsbedingungen, fügen Cybersicherheitsklauseln hinzu und fordern Compliance-Nachweise von Zulieferern. Unternehmen, die keine angemessenen Sicherheitsmaßnahmen nachweisen können, riskieren den Verlust von Aufträgen an Wettbewerber."},"legalBasis":{"heading":"§ 30 Abs. 2 Nr. 4 BSIG — Sicherheit in der Lieferkette","text":"Regulierte Einrichtungen müssen „Sicherheitsmaßnahmen in der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern“ umsetzen. Diese Pflicht fließt auf jeden Zulieferer in der Kette herunter."},"reasons":{"heading":"5 Gründe, warum Ihre Kunden NIS2-Compliance verlangen werden","description":"Auch ohne direkte Regulierung erreicht dieser Druck jeden Zulieferer in der Kette.","items":{"contracts":{"title":"Vertragliche Anforderungen","description":"NIS2-regulierte Unternehmen müssen Cybersicherheitsanforderungen in Lieferantenverträge aufnehmen. Erwarten Sie neue Klauseln zu Risikomanagement, Vorfallmeldung und Zugangskontrolle. Bestehende Verträge werden nachverhandelt."},"audits":{"title":"Lieferanten-Audits und Fragebögen","description":"Ihre Kunden werden Sicherheitsfragebögen senden und möglicherweise Audits durchführen. Unternehmen mit nisd2.eu können Compliance-Nachweise sofort generieren — ohne System dauert die Beantwortung Wochen."},"incidents":{"title":"Meldepflichten bei Vorfällen","description":"Wenn ein Sicherheitsvorfall bei Ihnen einen NIS2-regulierten Kunden betrifft, muss dieser innerhalb von 24 Stunden an das BSI melden. Dafür braucht er von Ihnen funktionierende Erkennungs- und Meldeprozesse."},"reputation":{"title":"Wettbewerbsvorteil","description":"Wenn ein reguliertes Unternehmen zwischen zwei Zulieferern wählt und einer kann NIS2-konforme Sicherheit nachweisen, der andere nicht — ist die Wahl offensichtlich. Compliance wird zum Verkaufsargument."},"insurance":{"title":"Anforderungen der Cyberversicherung","description":"Cyberversicherer verlangen zunehmend Nachweise über Lieferkettensicherheit. Die Versicherungspolicen Ihrer Kunden können vorschreiben, dass deren Zulieferer Mindeststandards bei der Cybersicherheit erfüllen."}}},"requirements":{"heading":"Was Ihre Kunden von Ihnen erwarten werden","description":"Die häufigsten Anforderungen, die von NIS2 auf Zulieferer durchgereicht werden.","items":{"riskManagement":{"title":"Risikobewertung","detail":"Identifizieren und dokumentieren Sie Risiken für Systeme, die Sie für Kundenarbeit nutzen. Muss nicht komplex sein — eine strukturierte Liste mit Behandlungsplänen genügt."},"accessControl":{"title":"Zugangskontrolle","detail":"Wer hat Zugang zu Kundendaten und -systemen? Rollenbasierte Zugriffe, MFA für Fernzugriff und dokumentierte Benutzerverwaltung."},"incidentReporting":{"title":"Vorfallbehandlung","detail":"Ein dokumentierter Prozess zur Erkennung, Reaktion und Meldung von Sicherheitsvorfällen. Ihr Kunde muss innerhalb von Stunden informiert werden, nicht Wochen."},"businessContinuity":{"title":"Geschäftskontinuität","detail":"Was passiert, wenn Ihre Systeme ausfallen? Backup-Strategie, Wiederherstellungsverfahren und getestete Pläne zur weiteren Lieferfähigkeit."},"documentation":{"title":"Richtlinien und Nachweise","detail":"Schriftliche Sicherheitsrichtlinien, Schulungsnachweise und ein Audit-Trail als Beweis, dass Sie Ihre eigenen Regeln befolgen. Das ist es, was Auditoren tatsächlich prüfen."}}},"steps":{"heading":"In 5 Schritten zur Lieferketten-Compliance","description":"Ein praktischer Weg für kleine Unternehmen, die NIS2-Zulieferanforderungen erfüllen müssen.","items":{"check":{"title":"Betroffenheit prüfen","description":"Nutzen Sie unsere kostenlose Betroffenheitsprüfung, um Ihren NIS2-Status zu klären. Auch wenn Sie nicht direkt betroffen sind: Identifizieren Sie, welche Ihrer Kunden NIS2-reguliert sind — diese Verträge werden neue Anforderungen enthalten."},"gap":{"title":"Gap-Analyse durchführen","description":"Vergleichen Sie Ihre aktuellen Sicherheitspraktiken mit den 10 Maßnahmen aus § 30 BSIG. Die meisten kleinen Unternehmen tun einiges davon bereits informell — die Lücke ist meist die Dokumentation, nicht die Praxis."},"implement":{"title":"Grundlagen umsetzen","description":"Beginnen Sie mit den wirkungsvollsten Maßnahmen: Zugangskontrolle, Backup-Strategie, Incident-Response-Prozess. Die nisd2.eu-Plattform führt Sie mit vorgefertigten Vorlagen durch jede Anforderung."},"evidence":{"title":"Nachweispaket aufbauen","description":"Wenn Ihr Kunde einen Sicherheitsfragebogen schickt, brauchen Sie fertige Antworten. Richtlinien, Schulungsnachweise, Risikobewertungen und technische Maßnahmen — alles dokumentiert und exportierbar."},"maintain":{"title":"Jährlich überprüfen","description":"NIS2-Compliance ist kein einmaliges Projekt. Planen Sie eine jährliche Überprüfung Ihrer Risiken, aktualisieren Sie Ihre Richtlinien und frischen Sie Mitarbeiterschulungen auf. Die Plattform verfolgt Fristen automatisch."}}},"faqHeading":"Häufig gestellte Fragen","faq":{"q1":{"q":"Bin ich als kleiner Zulieferer gesetzlich zur NIS2-Compliance verpflichtet?","a":"Nicht direkt — NIS2 gilt für Unternehmen oberhalb der Schwelle für mittlere Unternehmen (50+ Mitarbeiter oder 10+ Mio. EUR Umsatz). Allerdings sind Ihre NIS2-regulierten Kunden gesetzlich verpflichtet, ihre Lieferkette abzusichern (§ 30 BSIG). Daraus entsteht eine vertragliche Pflicht, die auf Sie durchschlägt. Sie werden nicht vom BSI bestraft, aber Sie können Aufträge verlieren."},"q2":{"q":"Was passiert, wenn ich nicht compliant bin?","a":"Ihren NIS2-regulierten Kunden drohen Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes bei Versäumnissen in der Lieferkettensicherheit. Sie werden entweder Ihre Compliance einfordern oder Sie durch einen Zulieferer ersetzen, der compliant ist. Die praktische Konsequenz ist Geschäftsverlust, kein BSI-Bußgeld."},"q3":{"q":"Was kostet Zulieferer-Compliance?","a":"Die nisd2.eu-Plattform ist kostenlos. Für ein kleines Unternehmen (10-50 Mitarbeiter) sind die Hauptkosten Zeit — typischerweise 2-4 Wochen Teilzeitarbeit für die Ersteinrichtung von Richtlinien, Risikobewertungen und Prozessen. Die laufende Pflege sind wenige Stunden pro Quartal."},"q4":{"q":"Kann ich NIS2-Compliance als Verkaufsargument nutzen?","a":"Auf jeden Fall. Wenn Sie NIS2-konforme Sicherheitspraktiken mit dokumentierten Nachweisen vorweisen können, werden Sie zum bevorzugten Zulieferer. Einige Unternehmen werben bereits mit NIS2-Lieferketten-Compliance als Wettbewerbsvorteil in Ausschreibungen und Angeboten."},"q5":{"q":"Was, wenn mein Kunde noch nicht gefragt hat?","a":"Das wird kommen. Die BSI-Registrierungsfrist lief im März 2026 ab und über 18.000 Unternehmen holen noch auf. Sobald sie NIS2 umsetzen, ist Lieferkettensicherheit eine der 10 Pflichtmaßnahmen. Wer sich frühzeitig vorbereitet, positioniert sich als proaktiver, vertrauenswürdiger Partner."}},"cta":{"heading":"Starten Sie Ihre Lieferketten-Compliance — kostenlos","description":"Die nisd2.eu-Plattform führt Sie durch jede Anforderung, erstellt Ihr Nachweispaket und hält Sie audit-bereit. Ohne Kosten, ohne Kreditkarte.","checkButton":"Betroffenheit prüfen","startButton":"Kostenlos starten"}},"multiCountryReg":{"meta":{"title":"NIS2-Registrierung in mehreren Ländern","description":"Ist Ihr Unternehmen in mehr als einem EU-Land tätig, müssen Sie sich bei der NIS2-Behörde jedes Landes registrieren. Alle nationalen Behörden auf einen Blick."},"badge":"NIS2 Mehrere Länder","title":"NIS2-Registrierung in mehreren EU-Ländern","subtitle":"Sind Sie in mehr als einem EU-Mitgliedstaat tätig? Dann müssen Sie sich bei der nationalen Behörde jedes Landes registrieren, nicht nur im Sitzland Ihres Unternehmens.","hannover":{"heading":"Eine Frage von der Hannover Messe","p1":"Bei unserem Besuch auf der Hannover Messe, einer der größten Industriemessen Europas, wurde uns eine Frage gestellt, mit der viele grenzüberschreitend tätige Unternehmen zu kämpfen haben: Wenn ein Unternehmen in mehr als einem EU-Land tätig ist, wo muss es sich dann für NIS2 registrieren?","p2":"Es ist eine komplexe Frage, deren Antwort viele Unternehmen überrascht. Die Regel richtet sich nicht danach, wo Sie verkaufen, sondern wo Sie als juristische Person wirklich operativ tätig sind."},"rule":{"heading":"Verkaufen in einem Land ist nicht dasselbe wie dort tätig sein","p1":"Viele Unternehmen vertreiben ihre Produkte oder Dienstleistungen EU-weit über eine einzige juristische Person, die in einem Land eingetragen ist. In diesem Fall reicht die Registrierung bei der Behörde des Heimatlandes, Sie sind nicht in jedem Land \"niedergelassen\", in das Sie verkaufen.","p2":"Wenn Ihr Unternehmen jedoch in einem Land vollständig operativ tätig ist, das heißt, Sie haben dort eine eingetragene Niederlassung, Mitarbeitende vor Ort und zahlen dort Körperschaftsteuer, dann gilt das NIS2-Recht dieses Landes für Sie als dort ansässige juristische Person.","p3":"Die NIS2-Richtlinie verpflichtet jeden EU-Mitgliedstaat, die Richtlinie in nationales Recht umzusetzen. Dieses nationale Recht gilt für in dem jeweiligen Land niedergelassene Einrichtungen. Wenn Sie Tochtergesellschaften oder Niederlassungen in Frankreich, Deutschland und den Niederlanden haben, unterliegt jede dieser juristischen Personen der jeweiligen nationalen NIS2-Gesetzgebung, und muss sich bei der nationalen Behörde des jeweiligen Landes registrieren."},"onestop":{"heading":"Ausnahme: Digitale Dienstleister nutzen den One-Stop-Shop","description":"NIS2 Artikel 26 schafft eine wichtige Ausnahme für bestimmte digitale Dienstleistungstypen: Cloud-Computing-Anbieter, Managed-Service-Provider, Managed-Security-Service-Provider, Rechenzentrumsbetreiber, Content-Delivery-Networks, DNS-Dienstleister, Online-Marktplätze, Online-Suchmaschinen und Social-Networking-Plattformen. Diese Einrichtungen registrieren sich in einem einzigen EU-Mitgliedstaat, dem, in dem Entscheidungen zum Cybersicherheitsrisikomanagement überwiegend getroffen werden. Wenn Sie einen dieser Dienste betreiben, müssen Sie sich nicht in jedem Land registrieren, in dem Sie niedergelassen sind. Alle anderen Einrichtungstypen (Hersteller, Lebensmittelunternehmen, Energieversorger, Verkehrsbetreiber, Krankenhäuser usw.) fallen unter die allgemeine Regel und müssen sich in jedem Land mit rechtlicher Niederlassung registrieren."},"tax":{"heading":"Die Steuer-Faustregel","description":"Eine praktische Faustregel: Wenn Sie in einem Land als lokal registrierte Einheit Körperschaftsteuer zahlen, müssen Sie sich höchstwahrscheinlich auch bei der NIS2-Behörde dieses Landes registrieren. Das betrifft Tochtergesellschaften, Filialen und lokal gegründete Unternehmen, nicht Handelsvertreter, Distributoren oder Kunden in diesem Land."},"authorities":{"heading":"NIS2-Nationalbehörden: Vollständige Liste","description":"Jeder EU-Mitgliedstaat sowie die EWR-Länder Norwegen und Island haben eine nationale Behörde benannt, die für NIS2-Registrierung und -Durchsetzung zuständig ist. Finden Sie Ihre Behörde in der Übersicht.","headers":{"country":"Land","authority":"Nationale Behörde"}},"practical":{"heading":"Was das in der Praxis bedeutet","p1":"Für ein Unternehmen mit Niederlassungen in drei EU-Ländern bedeutet dies drei separate Registrierungsprozesse, jeweils mit unterschiedlichen Fristen, Formularen und technischen Anforderungen. Einige Länder haben operative Portale (das BSI in Deutschland, die ANSSI in Frankreich, Rumäniens DNSC hat die Registrierung im August 2025 eröffnet), während andere die Registrierungsinfrastruktur noch aufbauen.","p2":"Die gute Nachricht: Die Registrierung ist in der Regel unkompliziert, sobald Sie wissen, welche Behörde zuständig ist und welche Informationen benötigt werden. Die Herausforderung liegt darin, mehrere Verpflichtungen in Ländern mit unterschiedlichen Umsetzungsfristen im Blick zu behalten – Mitte 2025 hatten erst rund 8 der 27 EU-Mitgliedstaaten die NIS2-Umsetzung vollständig abgeschlossen.","p3":"Unternehmen mit Niederlassungen in fünf oder mehr EU-Ländern sollten erwägen, für jede Zuständigkeit eine verantwortliche Compliance-Person zu benennen. Fristen, jährliche Meldepflichten und Fristen zur Meldung von Sicherheitsvorfällen variieren je nach Land und können erheblich von der NIS2-Basisrichtlinie abweichen."},"steps":{"heading":"Vorgehen bei der NIS2-Compliance in mehreren Ländern","items":{"map":{"title":"Juristische Personen erfassen","description":"Listen Sie alle Länder auf, in denen Ihr Unternehmen eine registrierte juristische Person hat, Tochtergesellschaft, Niederlassung oder lokales Unternehmen. Das ist Ihr Compliance-Fußabdruck, nicht Ihr Vertriebsfußabdruck."},"check":{"title":"Schwellenwerte je Land prüfen","description":"NIS2 gilt für mittlere und große Einrichtungen (50+ Mitarbeitende oder 10 Mio. € Jahresumsatz). Wenden Sie den Schwellenwerttest pro juristische Person an – nicht konzernweit. Eine kleine Tochtergesellschaft kann unterhalb der Schwelle liegen."},"register":{"title":"Bei jeder nationalen Behörde registrieren","description":"Nutzen Sie die obenstehende Tabelle, um die zuständige Behörde in jedem Land zu finden, in dem Sie den Schwellenwert erreichen. Einige Länder erfordern zusätzlich eine sektorspezifische Registrierung."},"track":{"title":"Länderspezifische Fristen im Blick behalten","description":"Jedes Land hat seinen eigenen Umsetzungszeitplan und eigene Meldefristen. Setzen Sie Erinnerungen pro Zuständigkeit, gehen Sie nicht davon aus, dass alle Länder zeitlich synchron laufen."}}},"faq":{"heading":"Häufig gestellte Fragen","q1":{"q":"Ich habe ein Vertriebsbüro in Deutschland, mein Hauptsitz ist aber in Frankreich, muss ich mich beim BSI registrieren?","a":"Das hängt von der rechtlichen Struktur des deutschen Büros ab. Wenn es sich um eine eingetragene GmbH oder Zweigniederlassung handelt, die in Deutschland eine eigene Steuererklärung einreicht, müssen Sie sich voraussichtlich sowohl beim BSI als auch bei der ANSSI in Frankreich registrieren. Handelt es sich lediglich um eine Kostenstelle der französischen Muttergesellschaft ohne eigene Rechtspersönlichkeit in Deutschland, kann die Registrierung in Frankreich ausreichen. Konsultieren Sie einen mit NIS2 in beiden Ländern vertrauten Rechtsanwalt."},"q2":{"q":"Muss ich in jedem Land unterschiedliche Sicherheitsanforderungen erfüllen?","a":"NIS2 legt einen harmonisierten Mindeststandard fest, aber jede nationale Umsetzung kann strengere sektorspezifische Anforderungen hinzufügen. In der Praxis gilt: Wer den NIS2-Basisstandard umsetzt Risikomanagement, Incident-Reporting, Zugangskontrolle, Lieferkettensicherheit, erfüllt die Anforderungen in den meisten EU-Ländern. Prüfen Sie das nationale Recht jedes Landes auf etwaige zusätzliche Verpflichtungen."},"q3":{"q":"Was ist, wenn ein Land NIS2 noch nicht abschließend umgesetzt hat?","a":"Einige EU-Länder haben die Richtlinie verspätet umgesetzt (die Frist war Oktober 2024). Bis das nationale Recht in Kraft tritt, ist eine Registrierung möglicherweise noch nicht möglich. Verfolgen Sie die Website der zuständigen nationalen Behörde und registrieren Sie sich, sobald der Prozess eröffnet wird. Die verspätete Umsetzung durch den Gesetzgeber mindert Ihre letztendliche rechtliche Verpflichtung nicht."},"q4":{"q":"Kann ich mich einmal auf EU-Ebene registrieren, um alle Länder abzudecken?","a":"Nein. Es gibt kein einheitliches EU-weites NIS2-Register. Jedes Land betreibt sein eigenes Registrierungssystem. Dies ist eine der bekannten Komplexitäten der dezentralen Umsetzung der Richtlinie und erzeugt erheblichen Compliance-Aufwand für paneuropäisch tätige Unternehmen."}},"sources":{"heading":"Quellen & Referenzen"},"ctaCard":{"heading":"NIS2-Compliance in allen Zuständigkeiten verwalten","description":"Die nisd2.eu-Plattform hilft Ihnen, Verpflichtungen zu verfolgen, Nachweise zu verwalten und compliant zu bleiben, ob Sie in einem Land oder zehn tätig sind."},"cta":"Kostenlos starten"}},"internalAudits":{"title":"Interne Audits","description":"Interner Auditplan, Durchführung und Feststellungen. Erforderlich für die Wirksamkeitsbewertung nach NIS2 Art. 21.","helpText":"Planen und dokumentieren Sie interne Audits Ihrer Cybersicherheitsmaßnahmen. Erfassen Sie Umfang, Feststellungen und Korrekturmaßnahmen. NIS2 verlangt die regelmäßige Bewertung der Wirksamkeit von Sicherheitsmaßnahmen.","add":"Audit hinzufügen","edit":"Audit bearbeiten","empty":"Noch keine internen Audits geplant. Planen Sie Ihr erstes Audit.","deleteConfirm":"Sind Sie sicher, dass Sie dieses Audit löschen möchten?","actions":"Aktionen","status":{"planned":"Geplant","in_progress":"In Bearbeitung","completed":"Abgeschlossen","cancelled":"Abgesagt"},"fields":{"title":"Titel","auditArea":"Auditbereich","scope":"Umfang","status":"Status","scheduledDate":"Geplantes Datum","completedAt":"Abgeschlossen am","auditorName":"Auditor"},"fieldDescriptions":{"title":"Geben Sie eine Bezeichnung für das Audit an (z. B. 'Internes Audit Zugangsmanagement Q4 2025').","auditArea":"Wählen Sie den zu prüfenden Bereich (z. B. Zugangsmanagement, Netzwerksicherheit, Incident Response).","scope":"Beschreiben Sie den Prüfungsumfang: Welche Prozesse, Systeme und Standorte werden geprüft?","status":"Wählen Sie den aktuellen Status des Audits: Geplant, In Bearbeitung, Abgeschlossen oder Abgesagt.","scheduledDate":"Geplantes Datum für die Durchführung des Audits.","completedAt":"Datum, an dem das Audit tatsächlich abgeschlossen wurde.","auditorName":"Name des internen Auditors oder der externen Prüfungsperson, die das Audit durchführt."}},"landing":{"title":"Halbiert Europas NIS2-Rechnung.","subtitle":"31 Milliarden Euro jedes Jahr. Wir halbieren das.","productLine":"Kostenlose NIS2-Compliance für regulierte Unternehmen und ihre Lieferanten.","badge":"NIS2 / BSIG - Frist: März 2026","badgeTooltip":"Das novellierte BSI-Gesetz (BSIG) zur Umsetzung der EU-Richtlinie NIS2 verpflichtet betroffene Einrichtungen, alle Cybersicherheitsmaßnahmen bis März 2026 umzusetzen. Bei Nichteinhaltung drohen Bußgelder bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes sowie persönliche Haftung der Geschäftsführung.","nis2Badge":"NIS2-Richtlinie (EU) 2022/2555","nis2BadgeTooltip":"Basiert auf der vollständigen NIS2-Richtlinie für alle 27 EU-Mitgliedstaaten. Alle 10 Maßnahmen nach Artikel 21 abgebildet und umgesetzt. Gültig in jedem EU-Land, nicht nur in Deutschland.","cirBadge":"CIR 2024/2690","cirBadgeTooltip":"Die Durchführungsverordnung (EU) 2024/2690 definiert die strengsten technischen Anforderungen für NIS2-Compliance. Sie legt den gemeinsamen Mindeststandard für alle EU-Mitgliedstaaten fest - für DNS-Anbieter, TLD-Registrare, Cloud-Anbieter, Rechenzentren, CDNs, Managed Services, Managed Security Services, Online-Marktplätze, Suchmaschinen, soziale Netzwerke und Vertrauensdiensteanbieter.","bsigBadge":"BSIG §30 | IT-Grundschutz-Standards","bsigBadgeTooltip":"Aufgebaut auf dem deutschen BSIG §30 -- der strengsten NIS2-Umsetzung in der EU -- mit IT-Grundschutz-Methodik als Standard. Einmal konform, gueltig in 27 EU-Mitgliedstaaten. §44(2) BSIG erkennt Grundschutz-Umsetzung als NIS2-Compliance an.","checkApplicability":"NIS2-Betroffenheit prüfen","scheduleDemo":"Demo vereinbaren","startTraining":"Kostenlose NIS2 CEO-Schulung","signIn":"Anmelden und loslegen","stats":{"urgency":"160.000+ EU-Einrichtungen betroffen · Bußgelder bis 10 Mio. € oder 2% des weltweiten Jahresumsatzes (Art. 34 NIS2) · Geschäftsführung persönlich haftbar (Art. 20 NIS2)"},"nav":{"pricing":"Preise","about":"Über uns","cta":"Jetzt loslegen"}},"kpis":{"title":"KPI-Messungen","description":"Sicherheitskennzahlen im Zeitverlauf. Belegt die Wirksamkeit gemäß NIS2 Art. 21.","helpText":"Erfassen Sie regelmäßig Sicherheits-KPI-Messungen (z.B. Patch-Compliance-Rate, Schulungsabschlussquote, mittlere Erkennungszeit). KPIs belegen gegenüber Auditoren, dass Ihre Sicherheitsmaßnahmen wirksam sind und sich verbessern.","add":"Messung hinzufügen","empty":"Noch keine KPI-Messungen vorhanden. Erfassen Sie Ihre erste Messung.","status":{"green":"Im Ziel","amber":"Gefährdet","red":"Unter Ziel"},"fields":{"kpiName":"KPI-Name","measuredAt":"Gemessen am","value":"Wert","target":"Zielwert","unit":"Einheit","status":"Status","notes":"Anmerkungen"},"fieldDescriptions":{"kpiName":"Geben Sie den Namen der Sicherheitskennzahl an (z. B. Patch-Compliance-Rate, MTTD, Schulungsabschlussquote).","measuredAt":"Datum, an dem diese KPI-Messung durchgeführt wurde.","value":"Geben Sie den gemessenen Wert der Kennzahl zum Messzeitpunkt ein.","target":"Geben Sie den definierten Zielwert an, den diese Kennzahl erreichen soll.","unit":"Einheit der Messung (z. B. Prozent, Stunden, Anzahl).","status":"Wählen Sie den Status: Im Ziel (grün), Gefährdet (gelb) oder Unter Ziel (rot).","notes":"Optionale Anmerkungen zur Messung, z. B. Begründung für Abweichungen oder geplante Gegenmaßnahmen."}},"managementReviews":{"title":"Management-Reviews","description":"Management-Überprüfungen und strategische Entscheidungen. Erforderlich nach NIS2 Art. 20(1).","helpText":"Dokumentieren Sie Management-Review-Sitzungen, in denen die Geschäftsleitung die Cybersicherheitslage bewertet. NIS2 Art. 20 macht das Management persönlich verantwortlich für die Genehmigung und Überwachung von Cybersicherheitsmaßnahmen. Erfassen Sie Teilnehmer, besprochene Themen und getroffene Entscheidungen.","add":"Review hinzufügen","edit":"Review bearbeiten","empty":"Noch keine Management-Reviews erfasst. Planen Sie Ihr erstes Review.","deleteConfirm":"Sind Sie sicher, dass Sie dieses Review löschen möchten?","actions":"Aktionen","fields":{"title":"Titel","reviewDate":"Reviewdatum","decisions":"Entscheidungen","actionItems":"Maßnahmen","nextReviewDate":"Nächstes Reviewdatum"},"fieldDescriptions":{"title":"Geben Sie eine Bezeichnung für das Review an (z. B. 'Quartals-Management-Review Q3 2025').","reviewDate":"Datum, an dem das Management-Review stattgefunden hat.","decisions":"Dokumentieren Sie alle strategischen Entscheidungen, die von der Geschäftsleitung getroffen wurden.","actionItems":"Listen Sie die beschlossenen Maßnahmen mit Verantwortlichen und Fristen auf.","nextReviewDate":"Datum, an dem das nächste Management-Review planmäßig stattfinden soll."}},"methodology":{"title":"Risikobewertungsmethodik","loading":"Methodik wird geladen...","saved":"Methodik gespeichert","saveFailed":"Speichern der Methodik fehlgeschlagen","edit":"Bearbeiten","save":"Speichern","cancel":"Abbrechen","methodologyName":"Name der Methodik","likelihoodScale":"Eintrittswahrscheinlichkeit","impactScale":"Schadenshöhe","label":"Bezeichnung","description":"Beschreibung","addLevel":"Stufe hinzufügen","removeLevel":"Letzte entfernen","riskMatrix":"Risikomatrix","acceptanceThreshold":"Akzeptanzschwelle","thresholdHelp":"Risiken mit Score ≤ {threshold} können ohne Behandlung akzeptiert werden","includesOt":"Methodik deckt OT/ICS-Systeme ab (§30(2) BSIG)","clickToSelect":"Klicken Sie auf eine Zelle, um Wahrscheinlichkeit × Auswirkung zu wählen","selectedScore":"Ausgewählter Score"},"notifications":{"title":"Benachrichtigungen","description":"Ihre Benachrichtigungen anzeigen und verwalten","empty":"Keine Benachrichtigungen","acknowledge":"Bestätigen","acknowledged":"Bestätigt","unread":"{count} ungelesen","actions":"Aktionen","markRead":"Als gelesen markieren","markAllRead":"Alle als gelesen markieren","fields":{"subject":"Betreff","entityType":"Typ","scheduledFor":"Geplant für","status":"Status"}},"onboarding":{"title":"Willkommen bei NIS2 Compliance","subtitle":"Richten Sie Ihre Organisation ein, um loszulegen.","step":"Schritt {current} von {total}","steps":{"company":"Organisationsdaten","team":"Schlüsselpersonal","ai":"KI-Assistent"},"nav":{"back":"Zurück","next":"Weiter","skip":"Vorerst überspringen","submit":"Organisation erstellen"},"creating":"Organisation wird eingerichtet...","createError":"Organisation konnte nicht erstellt werden. Bitte versuchen Sie es erneut.","mode":{"title":"Alles bereit!","subtitle":"Wie möchten Sie fortfahren?","guided":"Geführte Einrichtung","guidedDescription":"Gehen Sie Schritt für Schritt durch jede Compliance-Kategorie. Voreinstellungen sind bereits gesetzt - prüfen und anpassen.","manual":"Manuelle Einrichtung","manualDescription":"Direkt zum Dashboard und in Ihrem eigenen Tempo arbeiten."}},"organization":{"title":"Organisation einrichten","description":"Registrieren Sie Ihre Organisation, um die Konformitätsbewertung zu starten.","editTitle":"Organisationseinstellungen","editDescription":"Aktualisieren Sie Ihre Organisationsdaten.","formTitle":"Organisationsdaten","name":"Organisationsname","namePlaceholder":"Acme GmbH","sector":"NIS2-Sektor","sectorPlaceholder":"Sektor wählen...","entityType":"Einrichtungstyp","entityTypeHelp":"Gem. BSIG 2025 §28","entityTypes":{"essential":"Wesentliche Einrichtung","important":"Wichtige Einrichtung","kritis":"KRITIS-Betreiber"},"legalForm":"Rechtsform","legalFormPlaceholder":"z.B. GmbH, AG, KG","employees":"Mitarbeiterzahl","contactEmail":"Compliance-Kontakt E-Mail","cisoName":"CISO / IT-Sicherheitsbeauftragter","cisoNamePlaceholder":"Max Mustermann","cisoReportsTo":"CISO berichtet an","cisoReportsToPlaceholder":"z.B. Geschäftsführer, Vorstand","bsiContactName":"BSI Kontaktperson","bsiContactNamePlaceholder":"Max Mustermann","bsiContactEmail":"BSI Kontakt E-Mail","bsiContactPhone":"BSI Kontakttelefon","bsiRegistrationId":"BSI Registrierungs-ID","annualSecurityBudget":"Jährliches Sicherheitsbudget (EUR)","primaryLocations":"Hauptstandorte","primaryLocationsPlaceholder":"z.B. Berlin, München","profileSection":"Sicherheitsprofil","profileSectionDescription":"Diese Felder werden in mehreren NIS2-Anforderungen referenziert und in Freigabe-Snapshots erfasst.","submit":"Bewertung starten","creating":"Organisation wird eingerichtet...","createError":"Organisation konnte nicht erstellt werden. Bitte versuchen Sie es erneut.","save":"Änderungen speichern","saving":"Wird gespeichert...","saved":"Änderungen erfolgreich gespeichert.","saveError":"Änderungen konnten nicht gespeichert werden. Bitte versuchen Sie es erneut.","sectors":{"energy":"Energie","transport":"Transport & Verkehr","banking":"Bankwesen","financial_market":"Finanzmarktinfrastruktur","health":"Gesundheit","drinking_water":"Trinkwasser","waste_water":"Abwasser","digital_infrastructure":"Digitale Infrastruktur","ict_service_management":"IKT-Dienstleistungsmanagement (B2B)","public_administration":"Öffentliche Verwaltung","space":"Weltraum","postal_courier":"Post- und Kurierdienste","waste_management":"Abfallwirtschaft","chemicals":"Chemikalien","food":"Lebensmittelproduktion & -vertrieb","manufacturing":"Verarbeitendes Gewerbe","digital_providers":"Digitale Anbieter","research":"Forschung"},"teamRoles":{"title":"Schlüsselpersonal","description":"Sie können jetzt Teammitglieder einladen oder dies später in den Einstellungen tun. Jede hinzugefügte Person wird eingeladen und kann als Verantwortlicher für Compliance-Kategorien zugewiesen werden.","name":"Name","email":"E-Mail","role":"Rolle","rolePlaceholder":"Rolle wählen...","addMember":"Teammitglied hinzufügen","removeMember":"Entfernen","back":"Zurück","skip":"Vorerst überspringen","submit":"Weiter","roles":{"ceo":{"label":"CEO / Geschäftsführer","namePlaceholder":"Max Mustermann","emailPlaceholder":"ceo@firma.de"},"ciso":{"label":"CISO / IT-Sicherheitsbeauftragter","namePlaceholder":"Hans Schmidt","emailPlaceholder":"ciso@firma.de"},"cto":{"label":"CTO / Leiter Technik","namePlaceholder":"Alex Müller","emailPlaceholder":"cto@firma.de"},"coo":{"label":"COO / Betriebsleiter","namePlaceholder":"Sam Weber","emailPlaceholder":"coo@firma.de"},"cpo":{"label":"CPO / Einkaufsleiter","namePlaceholder":"Pat Fischer","emailPlaceholder":"cpo@firma.de"},"hr_director":{"label":"Personalleiter","namePlaceholder":"Chris Wagner","emailPlaceholder":"hr@firma.de"},"legal":{"label":"Rechtsabteilung / Compliance-Beauftragter","namePlaceholder":"Morgan Becker","emailPlaceholder":"recht@firma.de"},"dpo":{"label":"Datenschutzbeauftragter","namePlaceholder":"Robin Schäfer","emailPlaceholder":"dsb@firma.de"}}}},"patches":{"title":"Patch-Management","description":"Patch- und Schwachstellenverfolgung pro Asset. Erforderlich nach NIS2 Art. 21(2)(e).","helpText":"Verfolgen Sie Patches und bekannte Schwachstellen für Ihre registrierten Assets. Erfassen Sie Patch-Status (ausstehend, angewendet, zurückgestellt), CVE-Referenzen und Fristen. NIS2 erfordert zeitnahes Schwachstellenmanagement und Patch-Management.","add":"Patch-Eintrag hinzufügen","edit":"Patch-Eintrag bearbeiten","empty":"Noch keine Patch-Einträge. Fügen Sie Ihren ersten Eintrag hinzu.","deleteConfirm":"Sind Sie sicher, dass Sie diesen Patch-Eintrag löschen möchten?","actions":"Aktionen","severity":{"critical":"Kritisch","high":"Hoch","medium":"Mittel","low":"Niedrig"},"status":{"pending":"Ausstehend","applied":"Angewendet","exception":"Ausnahme","not_applicable":"Nicht zutreffend"},"fields":{"patchIdentifier":"Patch-ID","severity":"Schweregrad","title":"Titel","assetId":"Asset","status":"Status","releaseDate":"Veröffentlichungsdatum","appliedAt":"Angewandt am","exceptionReason":"Ausnahmegrund"},"fieldDescriptions":{"patchIdentifier":"Geben Sie die eindeutige Kennung des Patches an (z. B. CVE-Nummer, KB-Nummer oder Herstellerreferenz).","severity":"Wählen Sie den Schweregrad der Schwachstelle: Kritisch, Hoch, Mittel oder Niedrig.","title":"Geben Sie eine kurze Beschreibung des Patches oder der behobenen Schwachstelle an.","assetId":"Wählen Sie das betroffene Asset aus dem Asset-Register, auf das dieser Patch angewendet werden soll.","status":"Wählen Sie den aktuellen Patch-Status: Ausstehend, Angewendet, Ausnahme oder Nicht zutreffend.","releaseDate":"Datum, an dem der Patch vom Hersteller veröffentlicht wurde.","appliedAt":"Datum, an dem der Patch tatsächlich auf dem betroffenen Asset eingespielt wurde.","exceptionReason":"Falls der Patch zurückgestellt wird, dokumentieren Sie hier die Begründung und die geplanten Kompensationsmaßnahmen."}},"policies":{"title":"Richtlinien","description":"Sicherheitsrichtlinien, Verfahren und Leitfäden mit Genehmigungsverfolgung. Grundlage von NIS2 Art. 21(1).","helpText":"Erstellen und verwalten Sie Ihre Informationssicherheitsrichtlinien. Jede Richtlinie durchläuft einen Lebenszyklus: Entwurf, Prüfung, Genehmigung, Archivierung. Verfolgen Sie die Versionshistorie und stellen Sie sicher, dass alle relevanten Mitarbeiter aktuelle Richtlinien zur Kenntnis nehmen.","add":"Richtlinie hinzufügen","edit":"Richtlinie bearbeiten","empty":"Noch keine Richtlinien vorhanden. Erstellen Sie Ihr erstes Richtliniendokument.","deleteConfirm":"Sind Sie sicher, dass Sie diese Richtlinie löschen möchten?","actions":"Aktionen","status":{"draft":"Entwurf","approved":"Genehmigt","archived":"Archiviert"},"fields":{"title":"Titel","type":"Typ","version":"Version","content":"Inhalt","status":"Status","effectiveFrom":"Gültig ab","reviewDue":"Überprüfung fällig"},"fieldDescriptions":{"title":"Geben Sie den vollständigen Titel der Richtlinie an (z. B. 'Informationssicherheitsrichtlinie').","type":"Wählen Sie den Dokumententyp: Richtlinie, Verfahrensanweisung oder Leitfaden.","version":"Geben Sie die aktuelle Versionsnummer an (z. B. 1.0, 2.1). Erhöhen Sie die Version bei jeder Überarbeitung.","content":"Geben Sie den vollständigen Inhalt der Richtlinie ein oder fügen Sie ihn ein.","status":"Wählen Sie den aktuellen Freigabestatus: Entwurf, Genehmigt oder Archiviert.","effectiveFrom":"Datum, ab dem diese Richtlinie in Kraft tritt und für alle Mitarbeiter verbindlich ist.","reviewDue":"Datum, bis zu dem diese Richtlinie spätestens überprüft und bei Bedarf aktualisiert werden muss."}},"policyConfig":{"loading":"Richtlinienkonfiguration wird geladen...","saved":"Richtlinienkonfiguration gespeichert","saveFailed":"Speichern der Richtlinienkonfiguration fehlgeschlagen","edit":"Bearbeiten","save":"Speichern","cancel":"Abbrechen","resetDefaults":"Auf Standardwerte zurücksetzen","crypto":{"title":"Kryptographie-Richtlinie (BSI TR-02102)","algorithms":"Zugelassene und verbotene Algorithmen","algorithm":"Algorithmus","keyLength":"Schlüssellänge","category":"Kategorie","status":"Status","approved":"Zugelassen","deprecated":"Veraltet","prohibited":"Verboten","symmetric":"Symmetrisch","hash":"Hash","asymmetric":"Asymmetrisch","keyExchange":"Schlüsselaustausch","tls":"TLS-Cipher-Suite","addAlgorithm":"Algorithmus hinzufügen","removeAlgorithm":"Entfernen","minTlsVersion":"Minimale TLS-Version","keyRotation":"Schlüsselrotation (Jahre)","triggerOnCompromise":"Sofortige Rotation bei Kompromittierung","reviewCycle":"Überprüfungszyklus (Jahre)","postQuantum":"Post-Quantum-Bereitschaft berücksichtigt"},"accessControl":{"title":"Zugriffskontrollrichtlinie (CIR 11.1, ORP.4)","model":"Zugriffskontrollmodell","rbac":"Rollenbasiert (RBAC)","abac":"Attributbasiert (ABAC)","hybrid":"Hybrid (RBAC + ABAC)","reviewFrequency":"Überprüfungshäufigkeit","standardReview":"Standardkonten","privilegedReview":"Privilegierte Konten","deprovisioningSla":"De-Provisionierungs-SLA (Stunden)","sharedAccountPolicy":"Richtlinie für gemeinsame / generische Konten","sharedProhibited":"Verboten - nur eindeutige Kennungen (ORP.4.A3)","sharedDocumentedExceptions":"Dokumentierte Ausnahmen erlaubt (CIR 11.5.3)","authReviewCycle":"Authentifizierungs-Überprüfungszyklus (Jahre)"},"procurement":{"title":"Sichere Beschaffung (CIR Art. 5)","threshold":"Schwelle für Sicherheitsprüfung (EUR)","requiredClauses":"Erforderliche Vertragsklauseln (CIR 5.1.4)","cybersecurityRequirements":"Cybersicherheitsanforderungen (a)","trainingCertification":"Schulung und Zertifizierung (b)","backgroundChecks":"Hintergrundüberprüfungen (c)","incidentNotification":"Vorfallmeldepflichten (d)","auditRights":"Auditrechte (e)","vulnerabilityDisclosure":"Schwachstellenoffenlegung (f)","subcontractorFlowdown":"Unterauftragnehmer-Weitergabe (g)","secureDecommissioning":"Sichere Außerbetriebnahme (h)","customClauses":"Individuelle Vertragsklauseln","clauseLabel":"Klausel","addClause":"Klausel hinzufügen","evaluationCriteria":"Sicherheitsbewertungskriterien","criterion":"Kriterium","weight":"Gewicht (%)","addCriterion":"Kriterium hinzufügen","removeCriterion":"Entfernen","reviewFrequency":"Überprüfungshäufigkeit"},"secureDev":{"title":"Sichere Entwicklung & Härtung (CIR Art. 6(2)-(3), CON.8)","sdlcFramework":"SDLC-Framework","owaspSamm":"OWASP SAMM","bsimm":"BSIMM","msSdl":"Microsoft SDL","custom":"Individuell","hardeningBaseline":"Härtungsstandard","cis":"CIS Benchmarks","bsi":"BSI IT-Grundschutz","disaStig":"DISA STIG","testingRequirements":"Sicherheitstestanforderungen","sast":"Statische Anwendungssicherheitstests (SAST)","dast":"Dynamische Anwendungssicherheitstests (DAST)","sca":"Software-Zusammensetzungsanalyse (SCA)","pentest":"Penetrationstest","codeReview":"Code-Review","environmentSegregation":"Umgebungstrennung (Entwicklung/Test/Produktion) - CIR 6(2)","reviewCycle":"Überprüfungszyklus (Jahre)"},"patchMgmt":{"title":"Patch-Management (CIR Art. 6(6), OPS.1.1.3)","patchSla":"Patch-SLA nach Schweregrad","severity":"Schweregrad","slaHours":"SLA (Stunden)","critical":"Kritisch","high":"Hoch","medium":"Mittel","low":"Niedrig","reviewCycle":"Überprüfungszyklus (Jahre)"},"items":{"progress":"{count} von {total} konfiguriert","noItems":"Noch keine Einträge.","goToRegister":"Zum Register","viewAll":"Alle im Register anzeigen","encryptionAtRest":"Verschlüsselung im Ruhezustand","encryptionInTransit":"Verschlüsselung bei Übertragung","cryptoImplementation":"Implementierung","notConfigured":"Nicht konfiguriert","selectAlgorithm":"Algorithmus auswählen","accessAssignment":"Zugriffssteuerung je Asset","policyModel":"Richtlinienmodell","accessModel":"Zugriffsmodell","accessModel_rbac":"Rollenbasiert (RBAC)","accessModel_abac":"Attributbasiert (ABAC)","accessModel_hybrid":"Hybrid (RBAC + ABAC)","owner":"Verantwortlicher","accessMethod":"Zugriffsmethode","privAccounts":"Priv. Konten","mfaMethod":"MFA-Methode","noneMfa":"Keine","totp":"TOTP","hardwareKey":"Hardware-Schlüssel","ssoSaml":"SSO / SAML","pushNotification":"Push-Benachrichtigung","asset":"Asset","supplier":"Lieferant","sla":"SLA","clausesTitle":"Klauseln","clausesMet":"{count} von {total} Klauseln","riskLevel":"Risiko","contractDates":"Vertrag","patchesOnTime":"Rechtzeitig","patchesOverdue":"Überfällig","noPatchSla":"Kein Patch-SLA definiert","hoursLabel":"{count} Std.","daysLabel":"{count} T.","slaTarget":"SLA: {sla}","maxRiskScore":"Max. Risiko: {score}"}},"pricing":{"meta":{"title":"Preise - NIS2-Compliance-Plattform","description":"Halbiert Europas NIS2-Rechnung. Die Plattform ist kostenlos, für immer. 31 Milliarden Euro jedes Jahr - wir halbieren das."},"title":"Die Plattform ist kostenlos. Für immer.","subtitle":"So halbieren wir Europas 31-Milliarden-Euro-NIS2-Rechnung. Wenn Sie professionelle Hilfe brauchen, vermitteln wir Ihnen einen Berater.","free":{"name":"Plattform","description":"Alles um NIS2-compliant zu werden und zu bleiben","price":"0 €","priceSub":"für immer","cta":"Kostenlos starten","features":{"f1":"Alle 49 BSIG-Anforderungen Schritt für Schritt","f2":"Nachweisupload und Dokumentation","f3":"PDF-Export für Prüfer und Geschäftsführung","f4":"Vollständiger Audit-Trail","f5":"Fristenüberwachung und Erinnerungen","f6":"BSI-Registrierungshilfe","f7":"Unbegrenzte Teammitglieder","f8":"Risiko-, Asset- und Lieferantenregister","f9":"KI-gestützte Formularausfüllung","f10":"Kein Vertrag, keine Kündigung nötig"}},"consultant":{"name":"Berater finden","description":"Professionelle Hilfe bei der Umsetzung","price":"Individuell","cta":"Berater anfragen","note":"Wir vermitteln geprüfte NIS2-Berater, die Sie durch die Umsetzung führen. Für Sie entstehen keine Vermittlungskosten.","features":{"c1":"Geprüfte NIS2-Compliance-Berater","c2":"Passend zu Ihrem Sektor und Ihrer Unternehmensgröße","c3":"Gap-Analyse, Umsetzung oder Audit-Vorbereitung","c4":"Direkte Vermittlung, keine Kosten für Sie"}}},"portal":{"overview":"Übersicht","nis2":"NIS2","dsgvo":"DSGVO","aiact":"EU AI Act","cra":"Cyber Resilience Act","auditTrail":"Aktivitätsprotokoll","team":"Team","notifications":"Benachrichtigungen","organization":"Organisation","defaultUser":"Benutzer","signOut":"Abmelden","language":"Sprache","english":"English","german":"Deutsch","dutch":"Nederlands","review":"Review","export":"Export","progressLabel":"{completed} von {total} Anforderungen","trainingPortal":"Schulungsportal","registers":"Register","riskRegister":"Risikoregister","assets":"Assets","incidents":"Vorfälle","suppliers":"Lieferanten","policies":"Richtlinien","training":"Schulungen","exercises":"Notfallübungen","managementReviews":"Mgmt-Reviews","kpis":"Sicherheitskennzahlen","changes":"Änderungen","patches":"Sicherheitsupdates","vulnerabilities":"Schwachstellen","internalAudits":"Selbstbewertungen","improvements":"Maßnahmen","dashboard":"Dashboard","gapAssessment":"Gap-Analyse","compliance":"Compliance","portal":"Portal","auditReadiness":"Audit-Bereitschaft","settings":"Einstellungen","system":"System","phaseRegistration":"Registrierung","phaseFoundation":"Grundlagen","phaseControls":"Schutzmaßnahmen","phaseOperations":"Betrieb","phaseVerification":"Nachweis","phaseAdmin":"Verwaltung","blockedBy":"Zuerst abschliessen: {codes}"},"requirements":{"1_1":{"title":"Cybersicherheitsschulung der Geschäftsleitung","description":"Die Geschäftsleitung muss mindestens alle 3 Jahre an einer Cybersicherheitsschulung teilnehmen."},"1_2":{"title":"Rollen und Verantwortlichkeiten","description":"Rollen und Verantwortlichkeiten für die Cybersicherheit definieren. Die Teamseite zeigt die aktuelle Zuordnung."},"1_3":{"title":"Budgetzuweisung für Cybersicherheit","description":"Ausreichendes Budget für Cybersicherheitsmaßnahmen bereitstellen und von der Geschäftsleitung genehmigen lassen."},"1_4":{"title":"Persönliche Haftungsanerkennung","description":"Alle Mitglieder der Geschäftsleitung müssen die persönliche Haftung gem. §38(2) BSIG zur Kenntnis nehmen und individuell bestätigen."},"2_1":{"title":"Risikobewertungsmethodik","description":"Methodik zur Risikoanalyse festlegen: Skalen, Schwellenwerte, Akzeptanzkriterien. Standard: BSI 200-3 mit 4×4-Matrix."},"2_2":{"title":"Asset-Inventar, Geltungsbereich & Klassifizierung","description":"Geltungsbereich definieren, vollständiges Asset-Inventar erstellen und Schutzbedarf je Asset festlegen (BSI 200-2 Strukturanalyse + Schutzbedarfsfeststellung)."},"2_3":{"title":"Risikoregister & Behandlung","description":"Risikoregister führen: Bedrohungen identifizieren (BSI 200-3 Elementargefahren), Risiken bewerten, Behandlung festlegen (vermeiden/reduzieren/übertragen/akzeptieren)."},"2_4":{"title":"Risikoakzeptanz & IS-Leitlinie","description":"Die Geschäftsleitung akzeptiert die Restrisiken und unterzeichnet die Informationssicherheitsleitlinie. Voraussetzung: Managementschulung (1.1) abgeschlossen."},"3_1":{"title":"Vorfallbehandlungsplan & Team","description":"Vorfallbehandlungsplan mit IRT-Rollen, Eskalationswegen, Playbooks und BSI-Meldefristen erstellen."},"3_2":{"title":"Erkennung, Klassifizierung & Protokollierung","description":"Klassifizierungsschema, Erkennungsprozesse und lückenloses Vorfallprotokoll einrichten."},"3_3":{"title":"BSI-Meldung (24h/72h/1m)","description":"Vollständigen BSI-Meldeprozess aufbauen: 24h-Frühwarnung, 72h-Meldung und Abschlussbericht innerhalb eines Monats."},"3_4":{"title":"Vorfallübung","description":"Regelmäßig den Vorfallbehandlungsplan durch realistische Übungen testen."},"3_5":{"title":"Nachbereitung & Kommunikation","description":"Nachbereitung mit Lessons Learned, Kommunikationsvorlagen und Verbesserungsmaßnahmen."},"4_1":{"title":"Business-Impact-Analyse & Wiederherstellungsziele","description":"BIA durchführen, kritische Funktionen identifizieren und RTO/RPO-Ziele je System festlegen."},"4_2":{"title":"BCP & Krisenmanagementplan","description":"BCP mit Krisenmanagement-Team, Kommunikationsvorlagen und Aktualisierungsprozess erstellen."},"4_3":{"title":"Disaster-Recovery-Plan","description":"Technische Verfahren zur Wiederherstellung von IT/OT-Systemen nach einer Störung dokumentieren."},"4_4":{"title":"Backup & Wiederherstellung","description":"Backup-Richtlinie, regelmäßige Wiederherstellungstests und Offline-/Immutable-Backups sicherstellen."},"4_5":{"title":"BCP/DR-Tests","description":"Tabletop-Übungen und Full-Scale-Tests der BCP/DR-Fähigkeiten mindestens jährlich durchführen."},"5_1":{"title":"Lieferantenregister & Klassifizierung","description":"Lieferanteninventar mit Kritikalitätsbewertung und Sicherheitsrichtlinie erstellen."},"5_2":{"title":"Lieferantensicherheit in Verträgen","description":"Sicherheitsklauseln, Auditrechte und Subunternehmer-Anforderungen in Lieferantenverträge aufnehmen."},"5_3":{"title":"Lieferantenbewertung & Monitoring","description":"Lieferanten regelmäßig bewerten, überwachen und bei Nichterfüllung eskalieren."},"5_4":{"title":"Lieferanten-Vorfallmeldung","description":"Vertragliche Vorfallmeldepflichten der Lieferanten überwachen und nachverfolgen."},"6_1":{"title":"Sichere Beschaffung","description":"Sicherheitsanforderungen und Bewertungscheckliste in den IT/OT-Beschaffungsprozess integrieren."},"6_2":{"title":"Sichere Entwicklung & Konfiguration","description":"Sichere Entwicklungsrichtlinien (SDLC), Konfigurationsbaselines und Disclosure-Prozess etablieren."},"6_3":{"title":"Schwachstellenmanagement","description":"Schwachstellenmanagement mit Scanning, Pentests und risikobasierter Priorisierung implementieren."},"6_4":{"title":"Patch-Management","description":"Patch-Management-Richtlinie mit CVSS-basierter Priorisierung und technischem Tracking umsetzen."},"6_5":{"title":"Änderungsmanagement","description":"Formalen Änderungsmanagementprozess mit Sicherheitsbewertung und lückenlosem Protokoll einführen."},"7_1":{"title":"Sicherheits-KPIs & Metriken","description":"Messbare Sicherheits-KPIs definieren und monatlich im Dashboard mit Trends und Schwellenwerten berichten."},"7_2":{"title":"Internes Audit","description":"Internen Auditplan erstellen und Audits mit formalen Berichten und Korrekturmaßnahmen durchführen."},"7_3":{"title":"Managementbewertung","description":"Jährliche Managementbewertung mit Gap-Analyse, externem Audit (KRITIS) und Geschäftsleitungsbeteiligung."},"7_4":{"title":"Korrekturmaßnahmen & kontinuierliche Verbesserung","description":"Verbesserungsregister führen, Pentest-Ergebnisse nachverfolgen und kontinuierliche Verbesserung nachweisen."},"8_1":{"title":"IT-Sicherheitsrichtlinie & Nutzungsregeln","description":"IT-Sicherheitsrichtlinie und Nutzungsregeln (AUP, Clean Desk) für alle Mitarbeiter definieren und durchsetzen."},"8_2":{"title":"Security-Awareness-Programm","description":"Umfassendes Awareness-Programm mit Onboarding, jährlicher Schulung und Phishing-Training etablieren."},"8_3":{"title":"Rollenspezifische & Management-Schulung","description":"Spezialisierte Schulungen für IT/Security-Rollen und Geschäftsleitungs-Pflichtschulung gem. §38(3) BSIG."},"8_4":{"title":"Phishing-Simulationen & Schulungswirksamkeit","description":"Simulierte Phishing-Kampagnen durchführen und Schulungswirksamkeit durch Verhaltensmetriken messen."},"9_1":{"title":"Verschlüsselungsrichtlinie & Standards","description":"Verschlüsselungsrichtlinie mit zugelassenen Algorithmen gem. BSI TR-02102 und periodischer Überprüfung erstellen."},"9_2":{"title":"Datenverschlüsselung","description":"Verschlüsselung aller sensiblen Daten at-rest und in-transit inkl. Backups und Kryptoinventar."},"9_3":{"title":"Schlüssel- & Zertifikatsmanagement","description":"Schlüssel- und Zertifikatsmanagement über den gesamten Lifecycle mit HSM/Key-Vault implementieren."},"10_1":{"title":"Zugriffskontrollrichtlinie & Modell","description":"Zugriffskontrollrichtlinie mit RBAC-Modell, Least-Privilege und Need-to-Know-Prinzip erstellen."},"10_2":{"title":"Zugriffssteuerung je Asset","description":"Für jedes Asset den Verantwortlichen, Zugriffsmethode und privilegierte Konten dokumentieren."},"10_3":{"title":"Benutzer-Lifecycle & PAM","description":"JML-Prozess, PAM-Tooling und Hintergrundprüfungen für Mitarbeitende dokumentieren."},"10_4":{"title":"Zugriffsüberprüfungen","description":"Periodische Zugriffsüberprüfungen durchführen und dokumentieren."},"11_1":{"title":"Multi-Faktor-Authentifizierung","description":"MFA risikobasiert auf alle Systeme ausrollen: Admin-Konten sofort, Internet-Dienste in 3 Monaten, alle übrigen in 12 Monaten. Ausnahmen dokumentieren."},"11_2":{"title":"Sichere & Notfallkommunikation","description":"Sichere Kommunikationsrichtlinie, verschlüsselte Tools und Notfallkanäle (Out-of-Band) einrichten."},"11_3":{"title":"Authentifizierungsstandards","description":"Authentifizierungsverfahren und Passwortrichtlinie gegen BSI TR-03107 und NIST SP 800-63B überprüfen."},"12_1":{"title":"NIS2-Klassifizierung & Geltungsbereich","description":"NIS2-Betroffenheitsprüfung und Klassifizierung als wesentliche/wichtige Einrichtung oder KRITIS durchführen."},"12_2":{"title":"BSI-Registrierung","description":"MUK-Konto einrichten, BSI-Portal-Registrierung abschließen und alle Pflichtdaten übermitteln."},"12_3":{"title":"Registrierungspflege","description":"Registrierungsdaten jährlich prüfen, Änderungen innerhalb von 2 Wochen melden und Kontaktperson erreichbar halten."},"12_4":{"title":"Compliance-Nachweise & KRITIS","description":"Evidenz-Katalog für BSI-Anfragen pflegen; für KRITIS: §39-Audit, SzA und Zusatzdaten."},"G-DPA_1":{"title":"Auftragsverarbeitungsverträge","description":"Verzeichnis aller Auftragsverarbeiter mit unterzeichnetem AVV, der die acht Pflichtklauseln nach Art. 28 Abs. 3 DSGVO abdeckt."},"G-DPA_2":{"title":"Genehmigung von Unterauftragsverarbeitern","description":"Unterauftragsverarbeiter pro Auftragsverarbeiter erfassen und vorherige Genehmigung gemäß Art. 28 Abs. 2/4 DSGVO bestätigen."},"G-ROP_1":{"title":"Verzeichnis der Verarbeitungstätigkeiten","description":"Jede Verarbeitungstätigkeit für Systeme mit personenbezogenen Daten dokumentieren — Zweck, Rechtsgrundlage, Empfänger, Speicherdauer, Löschung (Art. 30)."},"G-TOM_1":{"title":"Technische und organisatorische Maßnahmen","description":"Dokumentation der Sicherheitsmaßnahmen zum Schutz personenbezogener Daten — Verschlüsselung, Zugriffskontrolle, Backups, Schulung (Art. 32)."},"G-BRC_1":{"title":"Meldeprozess für Datenschutzverletzungen","description":"Schriftliches Verfahren zur Bewertung und Meldung von Datenschutzverletzungen an die Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33)."},"G-BRC_2":{"title":"Dokumentation von Datenschutzverletzungen","description":"Jede Datenschutzverletzung intern dokumentieren (meldepflichtig oder nicht) zur Überprüfung durch die Aufsichtsbehörde (Art. 33 Abs. 5)."},"G-DSR_1":{"title":"Verfahren für Betroffenenrechte","description":"Verfahren zur Bearbeitung von Auskunfts-, Löschungs-, Berichtigungs-, Übertragbarkeits-, Einschränkungs- und Widerspruchsanfragen innerhalb eines Monats (Art. 12-22)."}},"review":{"title":"Review-Dashboard","pending":"Ausstehend","approved":"Genehmigt","rejected":"Abgelehnt","company":"Unternehmen","framework":"Regelwerk","requirement":"Anforderung","category":"Kategorie","submittedAt":"Eingereicht","evidenceCount":"Nachweise","viewSubmission":"Prüfen","approveButton":"Genehmigen","rejectButton":"Ablehnen","feedbackLabel":"Feedback","feedbackPlaceholder":"Erklären Sie, was geändert werden muss...","feedbackRequired":"Feedback ist bei Ablehnung erforderlich","approveConfirm":"Einreichung genehmigt","rejectConfirm":"Einreichung mit Feedback abgelehnt","noSubmissions":"Keine ausstehenden Einreichungen","formData":"Eingereichte Formulardaten","evidenceFiles":"Nachweisdokumente","companyInfo":"Unternehmensinformationen","requirementInfo":"Anforderungsdetails","reviewHistory":"Review-Verlauf","reviewedBy":"Geprüft von","signOut":"Abmelden","feedbackFromReviewer":"Reviewer-Feedback","downloadEvidence":"Herunterladen","noFormData":"Keine Formulardaten eingereicht","noEvidence":"Keine Nachweisdokumente hochgeladen","stats":"{pending} ausstehend, {approved} genehmigt, {rejected} abgelehnt","confirmRejection":"Ablehnung bestätigen","cancel":"Abbrechen","notReviewable":"Status: {status} - nicht überprüfbar.","signOffDetails":"Freigabe-Details","signedOffAs":"Freigegeben als","signedOffDate":"Freigegeben am","templateVersion":"Vorlagenversion","operationalData":"Betriebsdaten"},"risks":{"title":"Risikoregister","description":"Dokumentierte Risiken mit Eintrittswahrscheinlichkeit, Auswirkung und Behandlungsentscheidung. Kernanforderung von NIS2 Art. 21(2)(a).","helpText":"Identifizieren Sie Bedrohungen für Ihre Informationssysteme, bewerten Sie deren Wahrscheinlichkeit und Auswirkung (Skala 1-5) und dokumentieren Sie die Behandlung jedes Risikos (mindern, akzeptieren, übertragen oder vermeiden). Der Risikowert wird automatisch berechnet. Risiken mit hohem Score (15+) erfordern dokumentierte Behandlungspläne.","add":"Risiko hinzufügen","addRisk":"Risiko hinzufügen","edit":"Risiko bearbeiten","empty":"Noch keine Risiken erfasst. Fügen Sie Ihr erstes Risiko hinzu.","deleteConfirm":"Sind Sie sicher, dass Sie dieses Risiko löschen möchten?","actions":"Aktionen","score":"Risikobewertung","cancel":"Abbrechen","save":"Speichern","treatment":{"mitigate":"Mindern","accept":"Akzeptieren","transfer":"Übertragen","avoid":"Vermeiden"},"fields":{"title":"Titel","description":"Beschreibung","category":"Kategorie","likelihood":"Eintrittswahrscheinlichkeit","impact":"Auswirkung","riskScore":"Risikobewertung","treatment":"Behandlung","treatmentDescription":"Behandlungsbeschreibung","residualLikelihood":"Restrisiko-Wahrscheinlichkeit","residualImpact":"Restrisiko-Auswirkung","riskOwner":"Risikoverantwortlicher","nextReviewDate":"Nächstes Überprüfungsdatum"},"fieldDescriptions":{"title":"Geben Sie eine prägnante Bezeichnung für dieses Risiko an (z. B. 'Ransomware-Angriff auf ERP-System').","description":"Beschreiben Sie das Risikoszenario, die betroffenen Assets und mögliche Auswirkungen auf Ihre wesentlichen Dienste.","category":"Wählen Sie die Risikokategorie (z. B. Cyberangriff, Naturkatastrophe, menschliches Versagen, Lieferkette).","likelihood":"Bewerten Sie die Eintrittswahrscheinlichkeit anhand Ihrer konfigurierten Methodik-Skala.","impact":"Bewerten Sie die potenzielle Auswirkung anhand Ihrer konfigurierten Methodik-Skala.","riskScore":"Wird automatisch berechnet (Wahrscheinlichkeit × Auswirkung). Werte ab 15 erfordern einen dokumentierten Behandlungsplan.","treatment":"Wählen Sie die Risikobehandlungsstrategie: Mindern, Akzeptieren, Übertragen oder Vermeiden.","treatmentDescription":"Beschreiben Sie die geplanten Maßnahmen zur Behandlung dieses Risikos im Detail.","residualLikelihood":"Geschätzte Eintrittswahrscheinlichkeit nach Umsetzung der Behandlungsmaßnahmen (1-5).","residualImpact":"Geschätzte Auswirkung nach Umsetzung der Behandlungsmaßnahmen (1-5).","riskOwner":"Geben Sie die Person an, die für die Überwachung und Behandlung dieses Risikos verantwortlich ist.","nextReviewDate":"Datum, an dem dieses Risiko turnusmäßig erneut bewertet werden soll."},"linkedAssets":{"title":"Verknüpfte Assets","link":"Asset verknüpfen","empty":"Keine Assets mit diesem Risiko verknüpft.","unlink":"Verknüpfung aufheben","selectAsset":"Asset zum Verknüpfen auswählen","alreadyLinked":"Bereits verknüpft"},"addRiskToAsset":"Risiko zu diesem Asset hinzufügen","selectThreat":"BSI-Gefährdung auswählen...","searchThreats":"Gefährdungen suchen...","noThreatsFound":"Keine Gefährdungen gefunden.","customThreat":"Eigene Gefährdung","noRisksYet":"Noch keine Risiken erfasst.","noAssetsYet":"Keine Assets vorhanden. Erfassen Sie Assets in Schritt 2.2.","assetsNoRisks":"Assets ohne Risiken","unlinkedRisks":"Risiken ohne Asset-Zuordnung","riskAssessment":"Risikobewertung","treatmentMeasures":"Behandlungsmaßnahmen","addMeasure":"Maßnahme hinzufügen","measureAction":"Maßnahme","measureActionPlaceholder":"Beschreiben Sie die Behandlungsmaßnahme...","acceptRisk":"Risiko akzeptieren","riskAccepted":"Risiko akzeptiert am {date}","acceptedRisks":"Akzeptiert / Unter Schwellenwert","risksAboveThreshold":"{count} Risiken über Akzeptanzschwelle (>{threshold})","initialScore":"Initial","residualScore":"Restrisiko","belowThreshold":"Unter Schwellenwert","setResidual":"Restrisiko bewerten","updateResidual":"Restrisiko aktualisieren","treatmentStatus":{"not_started":"Nicht begonnen","in_progress":"In Bearbeitung","completed":"Abgeschlossen"},"critical":"Kritisch","ot":"OT","riskCount":"{count, plural, one {# Risiko} other {# Risiken}}"},"settings":{"title":"Einstellungen","description":"Verwalten Sie die Plattform-Einstellungen Ihrer Organisation.","aiDataSharing":{"title":"KI-Datenfreigabe","description":"Steuern Sie, welche Organisationsdaten beim Erstellen von Compliance-Hinweisen an den KI-Assistenten gesendet werden. Personenbezogene Daten (E-Mails, Telefonnummern, Personennamen) werden nie gesendet.","none":{"label":"Keine Unternehmensdaten","description":"Es werden nur Feldnamen, Typen und der Anforderungstitel gesendet. Hinweise sind allgemein.","preview":"Gesendet: Felddefinitionen, Anforderungstitel, Rechtsgrundlage"},"basic":{"label":"Nur nicht-sensible Daten","description":"Fügt Sektor, Einrichtungstyp und Rechtsform für relevantere Hinweise hinzu.","preview":"Gesendet: oben + Sektor, Teilsektor, Einrichtungstyp, Rechtsform"},"full":{"label":"Vollständiger Kontext","description":"Enthält Firmenname und Größenkennzahlen für die individuellsten Hinweise.","preview":"Gesendet: oben + Firmenname, Mitarbeiterzahl, Jahresumsatz"}},"saved":"Einstellungen gespeichert","saveError":"Einstellungen konnten nicht gespeichert werden","saving":"Speichern...","adminOnly":"Nur Admins können Einstellungen ändern."},"suppliers":{"title":"Lieferantenregister","description":"Drittanbieter und deren Cybersicherheits-Risikoprofile. Erforderlich nach NIS2 Art. 21(2)(d).","helpText":"Registrieren Sie alle IKT-Lieferanten, Cloud-Anbieter und Dienstleister. Bewerten Sie das Cybersicherheitsrisiko jedes Lieferanten und verfolgen Sie vertragliche Sicherheitsklauseln. NIS2 verlangt das Management von Lieferkettenrisiken und die Überwachung der Sicherheitslage von Lieferanten.","add":"Lieferant hinzufügen","edit":"Lieferant bearbeiten","empty":"Keine Lieferanten erfasst. Fügen Sie Ihren ersten Lieferanten hinzu.","deleteConfirm":"Sind Sie sicher, dass Sie diesen Lieferanten löschen möchten?","actions":"Aktionen","critical":"Kritisch","nonCritical":"Nicht-kritisch","riskLevel":{"critical":"Kritisch","high":"Hoch","medium":"Mittel","low":"Niedrig"},"fields":{"name":"Lieferantenname","description":"Beschreibung","contactEmail":"Kontakt-E-Mail","contactName":"Kontaktname","riskLevel":"Risikostufe","serviceType":"Dienstleistungsart","hasAccessToSystems":"Systemzugriff","hasAccessToData":"Datenzugriff","isCritical":"Kritischer Lieferant","contractStartDate":"Vertragsbeginn","contractEndDate":"Vertragsende","hasSecurityClauses":"Sicherheitsklauseln","hasIncidentNotificationClause":"Vorfallmeldeklausel","hasAuditRights":"Auditrechte","hasSubcontractorFlowDown":"Subunternehmer-Weitergabe","nis2RegistrationId":"NIS2-Registrierungsnummer","hasSecurityCertification":"Sicherheitszertifizierung","securityCertificationType":"Zertifizierungsart","contractSecurityClauses":"Vertragliche Sicherheitsklauseln","auditFrequency":"Audithäufigkeit","monitoringMethod":"Überwachungsmethode","lastReviewDate":"Letzte Überprüfung","dueDiligenceProcess":"Sorgfaltspflichtprüfung","relationshipType":"DSGVO-Beziehungstyp","processesPersonalData":"Verarbeitet personenbezogene Daten","processesOnlyOnInstructions":"Verarbeitung nur nach dokumentierter Weisung","assistsWithDataSubjectRights":"Unterstützung bei Betroffenenrechten","internationalTransfer":"Datenübermittlung außerhalb EWR","transferMechanism":"Übermittlungsmechanismus"},"auditFrequency":{"annual":"Jährlich","biennial":"Zweijährlich","on_change":"Bei Änderung"},"relationshipType":{"processor":"Auftragsverarbeiter (Art. 28)","joint_controller":"Gemeinsam Verantwortlich (Art. 26)","separate_controller":"Eigenständiger Verantwortlicher","internal":"Intern / Konzernintern"},"transferMechanism":{"adequacy":"Angemessenheitsbeschluss (Art. 45)","sccs":"Standardvertragsklauseln (Art. 46)","bcr":"Verbindliche interne Datenschutzvorschriften (Art. 47)","derogation":"Ausnahmetatbestand (Art. 49)","none":"Keine Übermittlung"},"fieldDescriptions":{"name":"Geben Sie den vollständigen Firmennamen des Lieferanten oder Dienstleisters an.","description":"Beschreiben Sie die erbrachte Dienstleistung und deren Relevanz für Ihre wesentlichen Dienste.","contactEmail":"E-Mail-Adresse des primären Ansprechpartners beim Lieferanten für Sicherheitsfragen.","contactName":"Name des primären Ansprechpartners beim Lieferanten.","riskLevel":"Wählen Sie die Risikostufe basierend auf der Kritikalität der Dienstleistung und dem Zugriffsniveau des Lieferanten.","serviceType":"Art der erbrachten Dienstleistung (z. B. Cloud-Hosting, Softwareentwicklung, Managed Security).","hasAccessToSystems":"Geben Sie an, ob der Lieferant direkten Zugriff auf Ihre IT- oder OT-Systeme hat.","hasAccessToData":"Geben Sie an, ob der Lieferant Zugriff auf personenbezogene oder geschäftskritische Daten hat.","isCritical":"Aktivieren Sie diese Option, wenn ein Ausfall dieses Lieferanten Ihre wesentlichen Dienste direkt beeinträchtigen würde.","contractStartDate":"Datum des Vertragsbeginns mit diesem Lieferanten.","contractEndDate":"Datum des Vertragsendes. Planen Sie rechtzeitig die Überprüfung der Sicherheitsklauseln vor Verlängerung.","hasSecurityClauses":"Geben Sie an, ob der Vertrag spezifische Cybersicherheitsanforderungen gemäß NIS2 enthält.","hasIncidentNotificationClause":"Geben Sie an, ob der Lieferant vertraglich zur unverzüglichen Meldung von Sicherheitsvorfällen verpflichtet ist.","hasAuditRights":"Geben Sie an, ob Sie vertraglich berechtigt sind, Sicherheitsaudits beim Lieferanten durchzuführen.","hasSubcontractorFlowDown":"Geben Sie an, ob Sicherheitsanforderungen vertraglich an Subunternehmer des Lieferanten weitergegeben werden.","nis2RegistrationId":"Falls der Lieferant NIS2-reguliert ist, geben Sie seine BSI-Registrierungsnummer an.","hasSecurityCertification":"Aktivieren, wenn der Lieferant eine anerkannte Sicherheitszertifizierung besitzt (ISO 27001, SOC 2, BSI C5 etc.).","securityCertificationType":"Art der Zertifizierung (z. B. ISO 27001, SOC 2 Type II, BSI C5, TISAX).","contractSecurityClauses":"Spezifische Sicherheitsklauseln im Vertrag mit diesem Lieferanten (SLAs, Auditrechte, Vorfallmeldung, Datenverarbeitung, Kündigungspflichten).","auditFrequency":"Wie häufig dieser Lieferant auf Sicherheitskonformität geprüft wird.","monitoringMethod":"Wie die Sicherheitslage dieses Lieferanten überwacht wird (z. B. Fragebogen, SecurityScorecard, SOC-2-Prüfung).","lastReviewDate":"Datum der letzten Sicherheitsüberprüfung dieses Lieferanten.","dueDiligenceProcess":"Durchgeführte Sorgfaltsprüfung beim Onboarding dieses Lieferanten (z. B. Fragebogen, Zertifikatsprüfung, Referenzgespräch).","relationshipType":"DSGVO-Einordnung: Auftragsverarbeiter (Art. 28), gemeinsam Verantwortlicher (Art. 26), eigenständiger Verantwortlicher oder konzernintern. Bestimmt die anwendbaren Vertragspflichten.","processesPersonalData":"Aktivieren, wenn personenbezogene Daten an diesen Lieferanten fließen oder von ihm verarbeitet werden (löst DSGVO-spezifische Vertragspflichten aus).","processesOnlyOnInstructions":"Art. 28 Abs. 3 lit. a — der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen.","assistsWithDataSubjectRights":"Art. 28 Abs. 3 lit. e — der Auftragsverarbeiter unterstützt bei Anfragen betroffener Personen (Auskunft, Löschung, Datenübertragbarkeit).","internationalTransfer":"Aktivieren, wenn personenbezogene Daten in Drittländer außerhalb des EWR übermittelt werden.","transferMechanism":"Rechtsgrundlage der Drittlandsübermittlung: Angemessenheitsbeschluss, Standardvertragsklauseln, BCR oder Ausnahmetatbestand."},"addRiskToSupplier":"Risiko zu diesem Lieferanten hinzufügen","suppliersNoRisks":"Lieferanten ohne Risiken","unlinkedRisks":"Risiken ohne Lieferanten-Zuordnung","noSuppliersYet":"Keine Lieferanten erfasst. Erfassen Sie Lieferanten in Schritt 5.1.","supplierRiskAssessment":"Lieferanten-Risikobewertung"},"supplierPortal":{"marketing":{"eyebrow":"NIS2-Lieferantenportal","headline1":"Den einheitlichen NIS2-Lieferanten-Fragebogen einmal ausfüllen.","headline2":"Mit jedem Kunden teilen.","intro":"Strukturiert nach ENISA NIS2 Technical Implementation Guidance v1.0 (Juni 2025). Jede Frage verweist auf einen konkreten Absatz von CIR 2024/2690, BSIG §30 oder BSI IT-Grundschutz. Ein Fragebogen. Ein Standard. Ihre Daten bleiben portabel — kein Lock-in, jederzeit als JSON exportierbar.","ctaCreate":"Lieferantenprofil erstellen","ctaEntity":"Sind Sie eine NIS2-Einrichtung?","anchorBadge":"Strukturiert nach ENISA NIS2 Technical Implementation Guidance v1.0 (Juni 2025) §5","bsiQuote":"Wir begrüßen aktuelle Vorstöße der Wirtschaft, einen einheitlichen Fragenkatalog für Lieferanten zu erarbeiten.","bsiAttribution":"— BSI NIS-2 FAQ (Lieferketten und Sicherheit). Das Lieferantenportal IST dieser Vorstoß der Wirtschaft — ein privatwirtschaftlich gebauter, einheitlicher Fragenkatalog, strukturiert nach der kanonischen EU-Taxonomie (ENISA TIG §5), damit jede NIS2-regulierte Einrichtung CIR §5.1.4 aus einer einzigen Quelle erfüllen kann.","benefit1Title":"Ein Fragebogen, alle Kunden","benefit1Body":"Beantworten Sie die BSI- / CIR-Fragen einmal. Jeder von Ihnen eingeladene Kunde sieht dieselben geprüften Antworten — keine maßgeschneiderten Sicherheitsfragebögen pro Geschäftsbeziehung mehr.","benefit2Title":"Verankert in ENISA TIG v1.0","benefit2Body":"Jeder Abschnitt und jedes Feld zitiert einen konkreten Absatz der ENISA NIS2 Technical Implementation Guidance (Juni 2025) plus den zugrunde liegenden CIR-2024/2690-Artikel. Auditoren erkennen die Taxonomie, Kunden vertrauen der Struktur. Keine erfundenen Kategorien.","benefit3Title":"Asset-bezogene Vorfälle an Kunden melden","benefit3Body":"Wenn ein von Ihnen verwaltetes Asset einen Sicherheitsvorfall hat, benachrichtigen Sie den betroffenen Kunden mit einem Klick. Jeder Kunde sieht nur seine eigenen Assets und seine eigenen Meldungen. Diese erfüllen ihre NIS2-§30-Lieferanten-Überwachungspflicht durch Ihre Aktualisierung.","benefit4Title":"Bilateral und privat. Kein öffentliches Profil.","benefit4Body":"In Deutschland gebaut, in der EU gehostet, an BSI-Grundschutz-Vorgaben ausgerichtet. Ihre Daten werden nur mit Kunden geteilt, die Sie ausdrücklich einladen — keine öffentliche URL, keine Suchmaschinen-Indexierung. Kunden greifen über einen privaten Magic-Link zu, ohne Plattform-Konto.","footerHeadline":"Starten Sie in zwei Minuten.","footerBody":"Mit Google anmelden. Firmenname und primäre Domain eintragen. Den Fragebogen in Ihrem eigenen Tempo beantworten. Wenn Sie bereit sind, laden Sie Ihre Kunden ein.","footerCta":"Lieferantenprofil erstellen"},"questionnaire":{"title":"BSI / CIR Lieferanten-Fragebogen","intro":"Jede Frage verweist auf einen konkreten Absatz der CIR 2024/2690 — der bindenden EU-Verordnung unter NIS2 — oder auf den BSI IT-Grundschutz. Einmal ausfüllen; jeder abonnierte Kunde sieht die gleichen Antworten.","save":"Entwurf speichern","submit":"Freigeben und veröffentlichen","submitting":"Speichern…","saved":"Gespeichert","saveError":"Speichern fehlgeschlagen — bitte erneut versuchen.","submitError":"Freigabe fehlgeschlagen — bitte zuerst die Validierungsfehler beheben.","savedAt":"Zuletzt gespeichert {time}","sectionIdentity":"Identität (CIR §5.2 / ENISA TIG §5.2 Lieferantenregister)","sectionIncidentContact":"Vorfall-Kontakt (kundenseitig)","sectionType":"Leistungsart","sectionContract":"Verpflichtende Vertragsklauseln (CIR / ENISA TIG §5.1.4)","sectionBaseline":"Cybersicherheitsmaßnahmen (NIS2 Art. 21(2) / ENISA TIG §5.1.2)","sectionContractTips":"Zusätzliche Vertragsklauseln (ENISA TIG §5.1.4 TIPS)","sectionSaas":"SaaS-Technik","sectionOnPrem":"On-Prem-Software-Technik","sectionProServices":"Dienstleistungen — Details","sectionManaged":"Managed Services — Details"},"fields":{"legalName":"Firmierung (Rechtsname)","registeredAddress":"Geschäftsanschrift","country":"Land","securityContactName":"Name des Sicherheitskontakts","primaryDomain":"Primäre Domain","tagline":"Slogan (eine Zeile, kundenseitig sichtbar)","description":"Öffentliche Beschreibung (länger)","incidentContactEmail":"E-Mail für Vorfälle","incidentContactPhone":"Telefonnummer für Vorfälle (24/7)","incidentSlaHours":"Meldefrist für Vorfälle (Stunden)","serviceDescription":"Beschreibung der erbrachten Leistungen","dataProcessingLocations":"Länder / Regionen, in denen Kundendaten verarbeitet werden","bsiRegistrationId":"BSI-Registrierungs-ID (nur falls Ihr Unternehmen selbst NIS2-reguliert ist)","isSaas":"Wir bieten SaaS / gehostete Dienste","isOnPrem":"Wir liefern On-Prem-Software","isProfessionalServices":"Wir bieten Dienstleistungen / Beratung","isManagedService":"Wir bieten Managed Services / MSP","hasIsms":"Dokumentiertes Informationssicherheits-Managementsystem (ISMS)","hasIso27001OrEquivalent":"ISO 27001, BSI Grundschutz oder gleichwertige Zertifizierung","staffSecurityTraining":"Jährliche Security-Awareness-Schulung für alle Mitarbeitenden","backgroundChecks":"Zuverlässigkeitsprüfung für Mitarbeitende mit Kundendaten-Zugriff","vulnerabilityHandling":"Dokumentierter Schwachstellen- und Patch-Management-Prozess","acceptRightToAudit":"Akzeptanz des Auditrechts (oder Bereitstellung von Auditberichten)","hasSubprocessors":"Einsatz von Sub-Unternehmern / Sub-Lieferanten","subprocessorList":"Liste der Sub-Unternehmer","dataReturnOnTermination":"Verpflichtung zur Rückgabe / Vernichtung von Kundendaten bei Vertragsende","dpaAvailable":"Standard-Auftragsverarbeitungsvertrag (AVV) verfügbar","securityPolicyReviewedAnnually":"Sicherheitsrichtlinien werden mindestens jährlich überprüft","hasIncidentResponsePlan":"Dokumentierter Notfall-/Incident-Response-Plan","hasBusinessContinuityPlan":"Dokumentierter Business-Continuity- / Disaster-Recovery-Plan","hasCryptographyPolicy":"Dokumentierte Kryptografie-Richtlinie","hasPrivilegedAccessMgmt":"Privileged Access Management (PAM) für interne Mitarbeitende","mfaEnforcedInternal":"MFA für alle internen Admin- / privilegierten Konten erzwungen","hasAssetInventory":"Asset-Inventar wird gepflegt","hasPenetrationTestingProgram":"Jährliches oder zweijährliches Penetrationstest-Programm","pastBreachesDisclosed":"Wir legen frühere meldepflichtige Sicherheitsvorfälle auf Anfrage offen","incidentAssistanceCommitment":"Wir unterstützen Kunden im Vorfall ohne / zu vorab definierten Kosten","cooperateWithAuthorities":"Vollständige Kooperation mit zuständigen Behörden (BSI, ENISA, nationale CSIRTs)","notifyMaterialChanges":"Wir benachrichtigen Kunden über jede wesentliche Änderung der Leistungserbringung","notifyOnLocationChange":"Wir benachrichtigen Kunden im Voraus, wenn sich Verarbeitungsstandorte ändern","hasExitPlan":"Dokumentierte Exit-Strategie mit verpflichtender Übergangszeit","saasHostingRegion":"Hosting-Region","saasEncryptionAtRest":"Verschlüsselung im Ruhezustand","saasEncryptionInTransit":"Verschlüsselung bei Übertragung (TLS ≥ 1.2)","saasMfaEnforced":"MFA für alle Admin-Konten erzwungen","saasRtoHours":"Recovery Time Objective (RTO) in Stunden","onPremSbomProvided":"Bereitstellung einer Software Bill of Materials (SBOM)","onPremSignedReleases":"Releases sind kryptografisch signiert","onPremVulnerabilityDisclosurePolicy":"Veröffentlichte Vulnerability-Disclosure-Policy","onPremPatchSlaCriticalHours":"Patch-SLA für kritische CVEs (Stunden)","proServicesBackgroundCheckScope":"Umfang der Zuverlässigkeitsprüfung","proServicesNdaInPlace":"NDA mit allen Beratern abgeschlossen","proServicesCustomerPremisesPolicy":"Dokumentierte Verhaltensrichtlinie auf Kundenstandort","managedPrivilegedAccessMgmt":"Privileged Access Management (PAM) im Einsatz","managedSessionRecording":"Admin-Sitzungen werden aufgezeichnet","managedOnCall24x7":"24/7-Bereitschaft"},"fieldDescriptions":{"legalName":"Erforderlich nach CIR 2024/2690 §5.2(a) — Lieferantenregister-Eintrag.","registeredAddress":"Erforderlich nach CIR 2024/2690 §5.2(a) — Lieferantenregister-Eintrag.","country":"ISO 3166-1 Alpha-2-Code, z. B. DE, FR, IT.","securityContactName":"Erforderlich nach CIR 2024/2690 §5.1.4(d) — Meldekette für Sicherheitsvorfälle.","serviceDescription":"Erforderlich nach ENISA TIG §5.2(b) + §5.1.4 TIPS — klare und vollständige Beschreibung der angebotenen IKT-Produkte und -Dienstleistungen. Ein Absatz.","dataProcessingLocations":"Erforderlich nach ENISA TIG §5.1.4 TIPS — alle Länder / Regionen auflisten, in denen Kundendaten erstellt, verarbeitet oder gespeichert werden. Komma-getrennt.","bsiRegistrationId":"Optional. ENISA TIG §5.1.2 — falls Ihr Unternehmen selbst NIS2-reguliert mit BSI-Registrierung ist, können Ihre Kunden diese Tatsache zur Erfüllung ihrer §5.1.2 Lieferantenauswahlkriterien nutzen.","isSaas":"Bestimmt, welche technischen Fragen als Nächstes erscheinen. Mehrfachauswahl möglich.","isOnPrem":"Software, die Ihre Kunden auf eigener Hardware betreiben.","isProfessionalServices":"Beratung, Implementierung, Schulung, Audit-Tätigkeiten.","isManagedService":"Betrieb der Kunden-IT im Auftrag (MSP, MSSP).","hasIsms":"Erforderlich nach CIR 2024/2690 §5.1.2(a) — Cybersecurity-Praktiken der Lieferanten.","hasIso27001OrEquivalent":"Erforderlich nach CIR 2024/2690 §5.1.2(b). Zertifikat über den Reiter „Zertifizierungen“ hochladen.","staffSecurityTraining":"Erforderlich nach CIR 2024/2690 §5.1.4(b) — Sensibilisierung, Fähigkeiten und Schulung.","backgroundChecks":"Erforderlich nach CIR 2024/2690 §5.1.4(c) — Zuverlässigkeitsprüfung des Personals.","vulnerabilityHandling":"Erforderlich nach CIR 2024/2690 §5.1.4(f) — Behandlung von Schwachstellen mit Risiko.","acceptRightToAudit":"Erforderlich nach CIR 2024/2690 §5.1.4(e) — Auditrecht oder Bereitstellung von Auditberichten.","hasSubprocessors":"Erforderlich nach CIR 2024/2690 §5.1.4(g) — Anforderungen an Unterauftragsvergabe.","subprocessorList":"Listen Sie die Sub-Unternehmer und ihre Aufgaben auf. CIR 2024/2690 §5.1.4(g).","dataReturnOnTermination":"Erforderlich nach CIR 2024/2690 §5.1.4(h) — Rückgabe und Vernichtung von Informationen bei Vertragsende.","dpaAvailable":"DSGVO Art. 28 — schriftlicher Auftragsverarbeitungsvertrag.","securityPolicyReviewedAnnually":"Erforderlich nach CIR 2024/2690 §5.1.1(c) — Sicherheitsrichtlinien müssen regelmäßig überprüft und aktualisiert werden.","hasIncidentResponsePlan":"Erforderlich nach CIR 2024/2690 §5.1.3 / NIS2 Art. 21(2)(b) — dokumentierte Verfahren zur Behandlung von Sicherheitsvorfällen.","hasBusinessContinuityPlan":"Erforderlich nach CIR 2024/2690 §5.1.5 / NIS2 Art. 21(2)(c) — Aufrechterhaltung des Betriebs und Krisenmanagement.","hasCryptographyPolicy":"Erforderlich nach CIR 2024/2690 §5.1.6 / NIS2 Art. 21(2)(h) — Konzepte und Verfahren zur Verwendung von Kryptografie.","hasPrivilegedAccessMgmt":"Erforderlich nach CIR 2024/2690 §5.1.7 / NIS2 Art. 21(2)(i) — Zugriffskontrollkonzepte für privilegierte Konten.","mfaEnforcedInternal":"Erforderlich nach NIS2 Art. 21(2)(j) — Mehr-Faktor-Authentisierung für Konten mit erhöhten Rechten.","hasAssetInventory":"Erforderlich nach CIR 2024/2690 §5.1.8 / NIS2 Art. 21(2)(i) — Asset-Management.","hasPenetrationTestingProgram":"Erforderlich nach CIR 2024/2690 §5.1.12 — Wirksamkeitsprüfung der Cybersicherheits-Risikomanagementmaßnahmen.","pastBreachesDisclosed":"ENISA TIG §5.1.2 — Auswahlkriterien verlangen, dass Einrichtungen 'die Historie des Lieferanten in Bezug auf Cybersicherheitsereignisse und Sicherheitsverletzungen' berücksichtigen.","incidentAssistanceCommitment":"ENISA TIG §5.1.4 TIPS — Verpflichtung des Lieferanten zur Unterstützung des Kunden ohne / zu vorab definierten Kosten bei einem Cyber-Vorfall durch das IKT-Produkt oder -Dienstleistung.","cooperateWithAuthorities":"ENISA TIG §5.1.4 TIPS — Verpflichtung des Lieferanten zur vollständigen Kooperation mit zuständigen Behörden bei Inspektionen, Audits und Vorfallbearbeitung.","notifyMaterialChanges":"ENISA TIG §5.1.4 TIPS — Benachrichtigung über jede Entwicklung, die wesentliche Auswirkungen auf die Fähigkeit des Lieferanten zur effektiven Bereitstellung der IKT-Produkte oder -Dienstleistungen haben könnte.","notifyOnLocationChange":"ENISA TIG §5.1.4 TIPS — Benachrichtigung des Kunden im Voraus, wenn sich Verarbeitungsstandorte ändern sollen.","hasExitPlan":"ENISA TIG §5.1.4 TIPS — Exit-Strategie mit verpflichtender angemessener Übergangszeit, IP-Bestimmungen und Verantwortlichkeiten des Lieferanten während der Exit-Phase.","saasHostingRegion":"BSI IT-Grundschutz OPS.2.2 Cloud-Nutzung — wo Kundendaten gespeichert werden.","saasEncryptionAtRest":"BSI IT-Grundschutz OPS.2.2.A11. AES-256 oder gleichwertig.","saasEncryptionInTransit":"BSI IT-Grundschutz OPS.2.2.A11. Mindestens TLS 1.2, vorzugsweise TLS 1.3.","saasMfaEnforced":"BSI IT-Grundschutz ORP.4.A23 — Zwei-Faktor-Authentisierung für privilegierte Konten.","saasRtoHours":"BSI IT-Grundschutz DER.4 — maximal tolerierbare Ausfallzeit für den Kundenservice.","onPremSbomProvided":"CRA / NIS2 Lieferketten-Transparenz. Format: CycloneDX oder SPDX.","onPremSignedReleases":"BSI IT-Grundschutz CON.8 Software-Entwicklung — signierte Releases verhindern Lieferketten-Manipulation.","onPremVulnerabilityDisclosurePolicy":"BSI IT-Grundschutz CON.10. Öffentliche security.txt oder Kontakt für Schwachstellenmeldungen.","onPremPatchSlaCriticalHours":"Zeit von CVE-Veröffentlichung bis zur Patch-Verfügbarkeit für kritische Schwachstellen.","proServicesBackgroundCheckScope":"BSI IT-Grundschutz ORP.2.A14 — Personalprüfung für sensible Rollen.","proServicesNdaInPlace":"BSI IT-Grundschutz ORP.2.A2 — Vertraulichkeitsvereinbarungen mit allen Beratern.","proServicesCustomerPremisesPolicy":"BSI IT-Grundschutz ORP.3.A4 — Sicherheitssensibilisierung auf Kundenstandort.","managedPrivilegedAccessMgmt":"BSI IT-Grundschutz ORP.4.A26 — PAM für administrativen Fernzugriff.","managedSessionRecording":"BSI IT-Grundschutz OPS.1.2.5.A11 — aufgezeichnete Fernwartungssitzungen.","managedOnCall24x7":"BSI IT-Grundschutz DER.2.1 — Erkennungs- und Reaktionsabdeckung für Vorfälle."}},"team":{"pageTitle":"Team","pageDescription":"Teammitglieder und Einladungen verwalten","members":{"title":"Mitglieder","description":"{count, plural, one {# Mitglied} other {# Mitglieder}} in Ihrem Unternehmen","name":"Name","email":"E-Mail","role":"Rolle","you":"Sie","assignedCategories":"Zugewiesene Kategorien","complianceRole":"Rolle zuweisen"},"invites":{"title":"Ausstehende Einladungen","description":"{count, plural, one {# ausstehende Einladung} other {# ausstehende Einladungen}}","email":"E-Mail","expires":"Läuft ab","linkCopied":"Link kopiert"},"invite":{"title":"Mitglied einladen","description":"Geben Sie eine E-Mail-Adresse ein, um einen Einladungslink zu erstellen","email":"E-Mail","emailPlaceholder":"kollege@firma.de","complianceRole":"Compliance-Rolle","complianceRolePlaceholder":"Rolle wählen (optional)","submit":"Einladen","submitting":"Wird eingeladen..."},"assignRole":{"label":"Rolle zuweisen","placeholder":"Rolle wählen...","success":"Rolle erfolgreich zugewiesen","noCategories":"Keine Kategorien für diese Rolle"},"remove":{"success":"Mitglied entfernt"},"revoke":{"success":"Einladung widerrufen"},"inline":{"sent":"Einladung gesendet an {email}","linkCopied":"Link kopiert"},"invalidTitle":"Ungültige Einladung","invalidDescription":"Dieser Einladungslink ist ungültig oder wurde bereits verwendet.","usedTitle":"Einladung bereits verwendet","usedDescription":"Diese Einladung wurde bereits angenommen oder widerrufen.","expiredTitle":"Einladung abgelaufen","expiredDescription":"Dieser Einladungslink ist abgelaufen. Bitten Sie Ihren Administrator um einen neuen.","accept":{"joinTitle":"{company} beitreten","joinDescription":"Sie wurden eingeladen als {role} beizutreten.","signInDescription":"Sie wurden eingeladen als {role} beizutreten. Melden Sie sich mit Google an, um fortzufahren.","signInGoogle":"Mit Google anmelden","alreadyMemberTitle":"Bereits Mitglied","alreadyMemberDescription":"Sie sind bereits Mitglied eines Unternehmens. Sie können keinem weiteren beitreten.","goToDashboard":"Zum Dashboard","wrongAccountTitle":"Falsches Konto","wrongAccountDescription":"Diese Einladung wurde an {inviteEmail} gesendet. Sie sind als {userEmail} angemeldet.","signOutRetry":"Abmelden und erneut versuchen","joining":"Beitritt...","acceptInvite":"Einladung annehmen","joined":"{company} beigetreten"},"roles":{"ceo":"CEO / Geschäftsführer","ciso":"CISO / IT-Sicherheitsbeauftragter","cto":"CTO / Leiter Technik","coo":"COO / Betriebsleiter","cpo":"CPO / Einkaufsleiter","hr_director":"Personalleiter","legal":"Rechtsabteilung / Compliance-Beauftragter","dpo":"Datenschutzbeauftragter"}},"training":{"title":"Schulungsnachweise","description":"Schulungsnachweise für Mitarbeiter und Management. Erforderlich nach NIS2 Art. 21(2)(g) und BSIG §38(3).","helpText":"Erfassen Sie alle absolvierten Cybersicherheitsschulungen. NIS2 schreibt regelmäßige Awareness-Schulungen für alle Mitarbeiter und spezifische Schulungen für die Geschäftsleitung vor (BSIG §38(3) - persönliche Haftung). Dokumentieren Sie wer welche Schulung wann absolviert hat.","add":"Schulung hinzufügen","edit":"Schulung bearbeiten","empty":"Noch keine Schulungsnachweise vorhanden. Fügen Sie Ihren ersten Nachweis hinzu.","deleteConfirm":"Sind Sie sicher, dass Sie diesen Schulungsnachweis löschen möchten?","actions":"Aktionen","yes":"Ja","no":"Nein","participants":"Teilnehmer","selectParticipants":"Teilnehmer auswählen","noParticipants":"Mindestens einen Teilnehmer auswählen","inviteNew":"Neues Mitglied einladen","certificate":"Schulungszertifikat","certificateHint":"Zertifikat oder Teilnahmebestätigung hochladen (PDF, Bild)","uploadingCert":"Wird hochgeladen...","certUploaded":"Zertifikat hochgeladen","certUploadFailed":"Upload fehlgeschlagen","removeCert":"Entfernen","managementTraining":"Geschäftsführerschulung (§38 BSIG)","managementHint":"Automatisch anhand der Rolle erkannt. Bei Bedarf ändern.","batchCreated":"{count} Schulungsnachweise erstellt","saveTraining":"Schulung speichern","fields":{"title":"Titel","trainingType":"Schulungsart","description":"Beschreibung","participantName":"Teilnehmer","participantRole":"Rolle","isManagement":"Geschäftsführerschulung","providerName":"Anbieter","trainerName":"Trainer","startedAt":"Begonnen am","completedAt":"Abgeschlossen am","durationMinutes":"Dauer (Min.)","nextTrainingDue":"Nächste Schulung fällig"},"fieldDescriptions":{"title":"Geben Sie den Titel der Schulung an (z. B. 'NIS2-Awareness-Schulung Q1 2025').","trainingType":"Wählen Sie die Art der Schulung (z. B. Awareness, technisch, Management, Incident Response).","description":"Beschreiben Sie die Schulungsinhalte und Lernziele.","participantName":"Geben Sie den vollständigen Namen des Teilnehmers an.","participantRole":"Geben Sie die Rolle oder Position des Teilnehmers in der Organisation an.","isManagement":"Aktivieren Sie diese Option, wenn es sich um eine Pflichtschulung für die Geschäftsleitung gemäß BSIG §38(3) handelt.","providerName":"Name des externen Schulungsanbieters oder der internen Abteilung, die die Schulung durchgeführt hat.","trainerName":"Name des Trainers oder Referenten, der die Schulung geleitet hat.","startedAt":"Datum und Uhrzeit, zu der die Schulung begonnen hat.","completedAt":"Datum und Uhrzeit, zu der die Schulung erfolgreich abgeschlossen wurde.","durationMinutes":"Gesamtdauer der Schulung in Minuten.","nextTrainingDue":"Datum, bis zu dem die nächste Auffrischungsschulung absolviert werden muss."}},"trainingPortal":{"title":"Schulungsportal","courses":"Kurse","courseOverview":"Kursübersicht","lesson":"Lektion","lessons":"Lektionen","module":"Modul","progress":"Fortschritt","completed":"Abgeschlossen","inProgress":"In Bearbeitung","notStarted":"Nicht begonnen","comingSoon":"Bald verfügbar","startCourse":"Kurs starten","continueCourse":"Fortfahren","viewCourse":"Kurs ansehen","nextLesson":"Nächste Lektion","previousLesson":"Vorherige Lektion","completeLesson":"Als abgeschlossen markieren","lessonCompleted":"Lektion abgeschlossen","textView":"Text","videoView":"Video","dictionary":"Begriffe","definedTerms":"Schlüsselbegriffe","vocabularyWords":"Vokabular","quiz":{"title":"Quiz","question":"Frage","of":"von","submit":"Antworten absenden","retry":"Erneut versuchen","score":"Ihr Ergebnis","nextLesson":"Nächste Lektion","passed":"Bestanden!","failed":"Nicht bestanden","passMessage":"Sie haben {score}% erreicht. Sie können zur nächsten Lektion übergehen.","failMessage":"Sie haben {score}% erreicht. Sie benötigen {required}% zum Bestehen. Wiederholen Sie die Lektion und versuchen Sie es erneut.","explanation":"Erklärung","correct":"Richtig","incorrect":"Falsch"},"progressLabel":"{completed} von {total} Lektionen abgeschlossen","estimatedTime":"{minutes} Min. Lesezeit"},"vulnerabilities":{"title":"Schwachstellenmanagement","description":"Erfasste Schwachstellen über ihren Lebenszyklus verfolgen. Erforderlich nach CIR 2024/2690 Art. 6.10.","helpText":"Schwachstellen aus Scans, Pentests oder Herstellerhinweisen erfassen. Triage, Behandlungsentscheidungen und Behebung nachverfolgen. Die CIR erfordert die Schwachstellenbehandlung als separaten dokumentierten Prozess vom Patch-Management.","add":"Schwachstelle hinzufügen","edit":"Schwachstelle bearbeiten","empty":"Noch keine Schwachstellen erfasst. Fügen Sie Ihre erste Schwachstelle hinzu.","deleteConfirm":"Sind Sie sicher, dass Sie diese Schwachstelle löschen möchten?","actions":"Aktionen","severity":{"critical":"Kritisch","high":"Hoch","medium":"Mittel","low":"Niedrig"},"status":{"discovered":"Entdeckt","assessed":"Bewertet","treating":"In Behandlung","resolved":"Behoben","accepted":"Akzeptiert","mitigated":"Kompensiert"},"source":{"vulnerability_scan":"Schwachstellenscan","pentest":"Penetrationstest","bug_bounty":"Bug Bounty","vendor_advisory":"Herstellerhinweis","internal_review":"Interne Überprüfung"},"fields":{"cveId":"CVE-ID","title":"Titel","description":"Beschreibung","severity":"Schweregrad","cvssScore":"CVSS-Score","source":"Quelle","assetId":"Asset","status":"Status","discoveredAt":"Entdeckt am","treatmentNote":"Behandlung","acceptanceReason":"Akzeptanzgrund","resolvedAt":"Behoben am"},"fieldDescriptions":{"cveId":"CVE-Kennung, falls vorhanden (z. B. CVE-2024-1234). Bei intern entdeckten Schwachstellen ohne CVE leer lassen.","title":"Kurzbeschreibung der Schwachstelle (z. B. 'SQL-Injection im Login-Formular', 'Veraltetes TLS 1.0 auf Webserver').","description":"Detaillierte Beschreibung: betroffene Komponenten, Versionen, potenzielle Auswirkungen und Ausnutzungsbedingungen.","severity":"CVSS-basierte Schweregradeinschätzung: kritisch, hoch, mittel oder niedrig.","cvssScore":"Optionaler numerischer CVSS-Score (0,0-10,0) für präzise Priorisierung.","source":"Wie wurde diese Schwachstelle entdeckt: Scan, Pentest, Bug Bounty, Herstellerhinweis oder interne Überprüfung.","assetId":"Betroffenes Asset, falls zutreffend. Aus dem Asset-Register auswählen.","status":"Aktueller Status: entdeckt, bewertet, in Behandlung, behoben, akzeptiert (Risiko) oder kompensiert (Ausgleichsmaßnahme).","discoveredAt":"Datum, an dem die Schwachstelle erstmals identifiziert wurde.","treatmentNote":"Was wird unternommen, um diese Schwachstelle zu beheben (Patch, Konfigurationsänderung, Ausgleichsmaßnahme usw.).","acceptanceReason":"Bei Risikoakzeptanz die Begründung gem. CIR 6.6.2 dokumentieren. Erforderlich bei Status 'Akzeptiert'.","resolvedAt":"Datum, an dem die Schwachstelle behoben, akzeptiert oder kompensiert wurde."}}},"now":"$undefined","timeZone":"UTC","children":"$L35"}]