# NIS2-Selbstcheck für anrufer.info

anrufer.info: NIS2-Betroffenheit aus öffentlicher Website-Evidenz nicht abschließend bestimmbar; 2 Sektor-Indiz(en), 5 Readiness-Kontrolle(n) unter 60 Punkten.

> NIS2-Betroffenheit kann nicht allein aus einer Website bestimmt werden. SaferPage liefert eine technische Vorprüfung und Betreiberfragen; verbindlich sind Sektor, Einrichtungsart, Größenwerte, Sonderfälle und die nationale Umsetzung.

## Sektor-Indizien
- Digitale Infrastruktur / Hosting / DNS / CDN: Hosting-, DNS-, CDN- oder Infrastruktur-Signale sichtbar. Frage: Ist der Betreiber selbst Anbieter von DNS, TLD, Cloud, Rechenzentrum, Content Delivery Network oder Trust Services?
- Forschung: Forschungs-/Institutsbegriffe sichtbar. Frage: Ist die Organisation Forschungseinrichtung im Sinne der NIS2-Umsetzung?

## Betreiberfragen
- [ ] Sektor bestätigen: Welcher NIS2-Sektor bzw. welche Einrichtungsart trifft auf das Unternehmen tatsächlich zu? Owner: Geschäftsleitung/Legal
- [ ] Größe prüfen: Wie viele Mitarbeitende, Jahresumsatz und Bilanzsumme hat die rechtliche Einheit? Owner: Geschäftsleitung/Finance
- [ ] KRITIS/Sonderfall prüfen: Betreibt das Unternehmen kritische Anlagen, öffentliche elektronische Kommunikationsdienste, DNS/TLD, Trust Services oder andere Sonderfälle? Owner: IT/Legal
- [ ] Indirekte Betroffenheit prüfen: Beliefert der Betreiber NIS2-regulierte Kunden mit kritischen IT-, Hosting-, Software-, Produktions- oder Supportleistungen? Owner: Sales/Legal/Security

## Readiness-Kontrollen
- [ ] Informationssicherheits-Risikomanagement (0/100): Risikoinventar, Schutzbedarf, Maßnahmenplan und Wirksamkeitsnachweise als Betreiberakte pflegen. Owner: Geschäftsleitung/ISMS
- [ ] Vorfallmeldung und Incident Response (48/100): 24h-/72h-Meldepfad, Rollen, Kontaktketten, BSI-Portal-Registrierung und Datenschutzvorfall-Abgrenzung testen. Owner: IT/Security/Legal
- [ ] TLS, Header und technische Baseline (46/100): Security-Header, TLS, CSP, Referrer-Policy, Cookie-Attribute und externe Skripte härten. Owner: IT/Webbetrieb
- [ ] Lieferkette und Dienstleister (52/100): Kritische IT-/Cloud-/Marketing-/Hosting-Anbieter mit Sicherheitsanforderungen, AVV/DPA, TOMs und Meldewegen erfassen. Owner: Vendor Owner/Legal
- [ ] Änderungen vor Go-live prüfen (0/100): Release-Gate für Website- und Tag-Änderungen verbindlich machen; Re-Scan als Abnahmekriterium nutzen. Owner: Website-Betrieb/Compliance