{
    "schema": "https://saferpage.de/schemas/nis2-self-check.v1",
    "generated_at": "2026-06-09T22:24:54+00:00",
    "domain": "auth.wuv.de",
    "available": true,
    "scan": {
        "id": "eedd0afc-e1a8-4971-87ed-9039a9b50e9d",
        "checked_at": "2026-06-09 19:02:44.179723+02"
    },
    "summary": "auth.wuv.de: NIS2-Betroffenheit aus öffentlicher Website-Evidenz nicht abschließend bestimmbar; 2 Sektor-Indiz(en), 5 Readiness-Kontrolle(n) unter 60 Punkten.",
    "classification": "Betroffenheit prüfen",
    "candidate_score": 56,
    "readiness_score": 30.4,
    "size_thresholds_known": false,
    "candidate_sectors": [
        {
            "id": "digital_infrastructure",
            "label": "Digitale Infrastruktur / Hosting / DNS / CDN",
            "nis2_sector_type": "Anhang I möglich",
            "signal_strength": "hoch",
            "website_evidence": "Hosting-, DNS-, CDN- oder Infrastruktur-Signale sichtbar.",
            "operator_question": "Ist der Betreiber selbst Anbieter von DNS, TLD, Cloud, Rechenzentrum, Content Delivery Network oder Trust Services?",
            "status": "Betreiber muss bestätigen"
        },
        {
            "id": "research",
            "label": "Forschung",
            "nis2_sector_type": "Anhang II möglich",
            "signal_strength": "mittel",
            "website_evidence": "Forschungs-/Institutsbegriffe sichtbar.",
            "operator_question": "Ist die Organisation Forschungseinrichtung im Sinne der NIS2-Umsetzung?",
            "status": "Betreiber muss bestätigen"
        }
    ],
    "operator_questions": [
        {
            "id": "sector_confirmation",
            "label": "Sektor bestätigen",
            "question": "Welcher NIS2-Sektor bzw. welche Einrichtungsart trifft auf das Unternehmen tatsächlich zu?",
            "why": "Website-Signale reichen für die rechtliche Einordnung nicht aus.",
            "owner": "Geschäftsleitung/Legal"
        },
        {
            "id": "size_thresholds",
            "label": "Größe prüfen",
            "question": "Wie viele Mitarbeitende, Jahresumsatz und Bilanzsumme hat die rechtliche Einheit?",
            "why": "Viele NIS2-Einordnungen hängen an Größenklassen; einzelne Sonderfälle gelten größenunabhängig.",
            "owner": "Geschäftsleitung/Finance"
        },
        {
            "id": "critical_facility",
            "label": "KRITIS/Sonderfall prüfen",
            "question": "Betreibt das Unternehmen kritische Anlagen, öffentliche elektronische Kommunikationsdienste, DNS/TLD, Trust Services oder andere Sonderfälle?",
            "why": "Einige Einrichtungsarten können unabhängig von normalen Größenfragen relevant sein.",
            "owner": "IT/Legal"
        },
        {
            "id": "supply_chain_scope",
            "label": "Indirekte Betroffenheit prüfen",
            "question": "Beliefert der Betreiber NIS2-regulierte Kunden mit kritischen IT-, Hosting-, Software-, Produktions- oder Supportleistungen?",
            "why": "Auch ohne direkte Regulierung entstehen oft vertragliche Sicherheits- und Nachweispflichten.",
            "owner": "Sales/Legal/Security"
        }
    ],
    "readiness_controls": [
        {
            "id": "risk_management",
            "label": "Informationssicherheits-Risikomanagement",
            "score": 0,
            "status": "priorisieren",
            "evidence": "Risikoscore aus öffentlicher Website-Evidenz.",
            "operator_action": "Risikoinventar, Schutzbedarf, Maßnahmenplan und Wirksamkeitsnachweise als Betreiberakte pflegen.",
            "owner": "Geschäftsleitung/ISMS",
            "url": "https://saferpage.de/risiko/auth.wuv.de"
        },
        {
            "id": "incident_reporting",
            "label": "Vorfallmeldung und Incident Response",
            "score": 48,
            "status": "priorisieren",
            "evidence": "Öffentlicher Scan kann Meldeprozesse nicht beweisen.",
            "operator_action": "24h-/72h-Meldepfad, Rollen, Kontaktketten, BSI-Portal-Registrierung und Datenschutzvorfall-Abgrenzung testen.",
            "owner": "IT/Security/Legal",
            "url": "https://saferpage.de/vorfall/auth.wuv.de"
        },
        {
            "id": "technical_baseline",
            "label": "TLS, Header und technische Baseline",
            "score": 52,
            "status": "priorisieren",
            "evidence": "5 von 9 wichtigen Security-Headern vorhanden, 5 korrekt bewertet. CSP wirksam mit 6 Direktive(n), 2 Warnung(en), 3 Hinweis(e).",
            "operator_action": "Security-Header, TLS, CSP, Referrer-Policy, Cookie-Attribute und externe Skripte härten.",
            "owner": "IT/Webbetrieb",
            "url": "https://saferpage.de/sicherheit/auth.wuv.de"
        },
        {
            "id": "supply_chain",
            "label": "Lieferkette und Dienstleister",
            "score": 52,
            "status": "priorisieren",
            "evidence": "Vendor-Due-Diligence mit 7 Anbieter(n), 0 hohem Risiko, 7 AVV-/DPA-Prüfung(en) und 0 Transfer-/Jurisdiktionsfrage(n).",
            "operator_action": "Kritische IT-/Cloud-/Marketing-/Hosting-Anbieter mit Sicherheitsanforderungen, AVV/DPA, TOMs und Meldewegen erfassen.",
            "owner": "Vendor Owner/Legal",
            "url": "https://saferpage.de/anbieter/auth.wuv.de"
        },
        {
            "id": "release_gate",
            "label": "Änderungen vor Go-live prüfen",
            "score": 0,
            "status": "priorisieren",
            "evidence": "SaferPage Release-Gate bündelt Consent, Security, Vendor, Notice, Evidence und Integrationen.",
            "operator_action": "Release-Gate für Website- und Tag-Änderungen verbindlich machen; Re-Scan als Abnahmekriterium nutzen.",
            "owner": "Website-Betrieb/Compliance",
            "url": "https://saferpage.de/release-gate/auth.wuv.de"
        }
    ],
    "metrics": {
        "candidate_sector_count": 2,
        "readiness_control_count": 5,
        "weak_readiness_count": 5,
        "third_party_domain_count": 7,
        "external_script_count": 2,
        "shop_signal_count": 0
    },
    "official_sources": [
        {
            "label": "BSI: NIS-2-Betroffenheitsprüfung Entscheidungsbaum",
            "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/NIS-2/nis-2-betroffenheit-entscheidungsbaum.pdf?__blob=publicationFile&v=11"
        },
        {
            "label": "BSI-Portal: NIS2-Registrierung und Meldungen",
            "url": "https://mip2.bsi.bund.de/de/info-nis2-registrierung/"
        },
        {
            "label": "BSI: NIS-2 Beteiligungsworkshop",
            "url": "https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Webinare/NIS-2-Beteiligungsworkshop/NIS-2-Beteiligungsworkshop_node.html"
        }
    ],
    "links": {
        "html": "https://saferpage.de/nis2/auth.wuv.de",
        "json": "https://saferpage.de/nis2/auth.wuv.de/export",
        "csv": "https://saferpage.de/nis2/auth.wuv.de/export-csv",
        "markdown": "https://saferpage.de/nis2/auth.wuv.de/plan-md",
        "security": "https://saferpage.de/sicherheit/auth.wuv.de",
        "risk": "https://saferpage.de/risiko/auth.wuv.de",
        "incident": "https://saferpage.de/vorfall/auth.wuv.de",
        "vendors": "https://saferpage.de/anbieter/auth.wuv.de",
        "release_gate": "https://saferpage.de/release-gate/auth.wuv.de",
        "regulatory_watch": "https://saferpage.de/regulatory-watch/auth.wuv.de"
    },
    "disclaimer": "NIS2-Betroffenheit kann nicht allein aus einer Website bestimmt werden. SaferPage liefert eine technische Vorprüfung und Betreiberfragen; verbindlich sind Sektor, Einrichtungsart, Größenwerte, Sonderfälle und die nationale Umsetzung."
}