NIS2 / DACH Security

executive-briefing.wuv.de: Betroffenheit und Readiness vorprüfen

executive-briefing.wuv.de: NIS2-Betroffenheit aus öffentlicher Website-Evidenz nicht abschließend bestimmbar; 2 Sektor-Indiz(en), 5 Readiness-Kontrolle(n) unter 60 Punkten.

NIS2-Betroffenheit kann nicht allein aus einer Website bestimmt werden. SaferPage liefert eine technische Vorprüfung und Betreiberfragen; verbindlich sind Sektor, Einrichtungsart, Größenwerte, Sonderfälle und die nationale Umsetzung.

30 Betroffenheit prüfen

Security Risiko Vorfall Release-Gate JSON CSV Markdown

2Sektor-Indizien 30Readiness 5unter 60 10Drittanbieter

Betroffenheit

Was die Website andeutet und was Betreiber bestätigen müssen

Digitale Infrastruktur / Hosting / DNS / CDN Anhang I möglich · Betreiber muss bestätigen

Ist der Betreiber selbst Anbieter von DNS, TLD, Cloud, Rechenzentrum, Content Delivery Network oder Trust Services?

Hosting-, DNS-, CDN- oder Infrastruktur-Signale sichtbar.

Forschung Anhang II möglich · Betreiber muss bestätigen

Ist die Organisation Forschungseinrichtung im Sinne der NIS2-Umsetzung?

Forschungs-/Institutsbegriffe sichtbar.

Betreiberfragen

Diese Angaben entscheiden die NIS2-Einordnung

Plan exportieren

Sektor bestätigen Geschäftsleitung/Legal

Welcher NIS2-Sektor bzw. welche Einrichtungsart trifft auf das Unternehmen tatsächlich zu?

Website-Signale reichen für die rechtliche Einordnung nicht aus.

Größe prüfen Geschäftsleitung/Finance

Wie viele Mitarbeitende, Jahresumsatz und Bilanzsumme hat die rechtliche Einheit?

Viele NIS2-Einordnungen hängen an Größenklassen; einzelne Sonderfälle gelten größenunabhängig.

KRITIS/Sonderfall prüfen IT/Legal

Betreibt das Unternehmen kritische Anlagen, öffentliche elektronische Kommunikationsdienste, DNS/TLD, Trust Services oder andere Sonderfälle?

Einige Einrichtungsarten können unabhängig von normalen Größenfragen relevant sein.

Indirekte Betroffenheit prüfen Sales/Legal/Security

Beliefert der Betreiber NIS2-regulierte Kunden mit kritischen IT-, Hosting-, Software-, Produktions- oder Supportleistungen?

Auch ohne direkte Regulierung entstehen oft vertragliche Sicherheits- und Nachweispflichten.

Readiness

Welche Sicherheitsnachweise vorbereitet sein sollten

Informationssicherheits-Risikomanagement 0/100 · priorisieren · Geschäftsleitung/ISMS

Risikoinventar, Schutzbedarf, Maßnahmenplan und Wirksamkeitsnachweise als Betreiberakte pflegen.

Risikoscore aus öffentlicher Website-Evidenz.

Nachweis: öffnen

Vorfallmeldung und Incident Response 48/100 · priorisieren · IT/Security/Legal

24h-/72h-Meldepfad, Rollen, Kontaktketten, BSI-Portal-Registrierung und Datenschutzvorfall-Abgrenzung testen.

Öffentlicher Scan kann Meldeprozesse nicht beweisen.

Nachweis: öffnen

TLS, Header und technische Baseline 52/100 · priorisieren · IT/Webbetrieb

Security-Header, TLS, CSP, Referrer-Policy, Cookie-Attribute und externe Skripte härten.

1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden.

Nachweis: öffnen

Lieferkette und Dienstleister 52/100 · priorisieren · Vendor Owner/Legal

Kritische IT-/Cloud-/Marketing-/Hosting-Anbieter mit Sicherheitsanforderungen, AVV/DPA, TOMs und Meldewegen erfassen.

Vendor-Due-Diligence mit 10 Anbieter(n), 0 hohem Risiko, 10 AVV-/DPA-Prüfung(en) und 3 Transfer-/Jurisdiktionsfrage(n).

Nachweis: öffnen

Änderungen vor Go-live prüfen 0/100 · priorisieren · Website-Betrieb/Compliance

Release-Gate für Website- und Tag-Änderungen verbindlich machen; Re-Scan als Abnahmekriterium nutzen.

SaferPage Release-Gate bündelt Consent, Security, Vendor, Notice, Evidence und Integrationen.

Nachweis: öffnen

Quellen

Offizielle Orientierung

BSI: NIS-2-Betroffenheitsprüfung Entscheidungsbaum

öffnen

BSI-Portal: NIS2-Registrierung und Meldungen

öffnen

BSI: NIS-2 Beteiligungsworkshop

öffnen