NIS2 / DACH Security
abonnement.wuv.de: NIS2-Betroffenheit aus öffentlicher Website-Evidenz nicht abschließend bestimmbar; 4 Sektor-Indiz(en), 5 Readiness-Kontrolle(n) unter 60 Punkten.
NIS2-Betroffenheit kann nicht allein aus einer Website bestimmt werden. SaferPage liefert eine technische Vorprüfung und Betreiberfragen; verbindlich sind Sektor, Einrichtungsart, Größenwerte, Sonderfälle und die nationale Umsetzung.
Betroffenheit
Ist der Betreiber selbst Anbieter von DNS, TLD, Cloud, Rechenzentrum, Content Delivery Network oder Trust Services?
Hosting-, DNS-, CDN- oder Infrastruktur-Signale sichtbar.Fällt der Betreiber in Energieerzeugung, -verteilung, Handel, Netzbetrieb oder verbundene kritische Anlagen?
Energiebegriffe in sichtbaren Website-Signalen.Ist der Betreiber in industrieller Lebensmittelproduktion, Großhandel oder relevanter Herstellung tätig?
Lebensmittel-, Produktions- oder Lieferkettenbegriffe sichtbar.Ist die Organisation Forschungseinrichtung im Sinne der NIS2-Umsetzung?
Forschungs-/Institutsbegriffe sichtbar.Betreiberfragen
Welcher NIS2-Sektor bzw. welche Einrichtungsart trifft auf das Unternehmen tatsächlich zu?
Website-Signale reichen für die rechtliche Einordnung nicht aus.Wie viele Mitarbeitende, Jahresumsatz und Bilanzsumme hat die rechtliche Einheit?
Viele NIS2-Einordnungen hängen an Größenklassen; einzelne Sonderfälle gelten größenunabhängig.Betreibt das Unternehmen kritische Anlagen, öffentliche elektronische Kommunikationsdienste, DNS/TLD, Trust Services oder andere Sonderfälle?
Einige Einrichtungsarten können unabhängig von normalen Größenfragen relevant sein.Beliefert der Betreiber NIS2-regulierte Kunden mit kritischen IT-, Hosting-, Software-, Produktions- oder Supportleistungen?
Auch ohne direkte Regulierung entstehen oft vertragliche Sicherheits- und Nachweispflichten.Readiness
Risikoinventar, Schutzbedarf, Maßnahmenplan und Wirksamkeitsnachweise als Betreiberakte pflegen.
Risikoscore aus öffentlicher Website-Evidenz.24h-/72h-Meldepfad, Rollen, Kontaktketten, BSI-Portal-Registrierung und Datenschutzvorfall-Abgrenzung testen.
Öffentlicher Scan kann Meldeprozesse nicht beweisen.Security-Header, TLS, CSP, Referrer-Policy, Cookie-Attribute und externe Skripte härten.
2 von 9 wichtigen Security-Headern vorhanden, 2 korrekt bewertet. Keine Content-Security-Policy gefunden.Kritische IT-/Cloud-/Marketing-/Hosting-Anbieter mit Sicherheitsanforderungen, AVV/DPA, TOMs und Meldewegen erfassen.
Vendor-Due-Diligence mit 8 Anbieter(n), 0 hohem Risiko, 8 AVV-/DPA-Prüfung(en) und 1 Transfer-/Jurisdiktionsfrage(n).Release-Gate für Website- und Tag-Änderungen verbindlich machen; Re-Scan als Abnahmekriterium nutzen.
SaferPage Release-Gate bündelt Consent, Security, Vendor, Notice, Evidence und Integrationen.Quellen