NIS2-ready: Ihre Lieferkette ist sicher und nachweislich konform

Wir setzen die obligatorischen NIS2-Maßnahmen um - von der Rechenschaftspflicht der Unternehmensleitung bis hin zur Kontrolle der Lieferkette -, damit Sie unbesorgt Verbindungen herstellen können.
Das Feld beherrschen

NIS2-ready: Ihre Lieferkette ist sicher und nachweislich konform

2025.07.22 - NIS2-Was-Bedarf

Was wird in der NIS2-Leitlinie gefordert?

  • Verantwortung des Managements: Das Management bleibt letztlich für die Cyberrisiken verantwortlich.
  • Risikobasierte Maßnahmen (Artikel 21): u. a. Zugangsverwaltung, Patches für Sicherheitslücken, Protokollierung
  • Risikobewertung in der Lieferkette (Artikel 22): obligatorischer Einblick in die Lieferkette
  • Meldung von Vorfällen innerhalb von 24 Stunden (Artikel 23): an CSIRT und Kunden
  • Normung und Zertifizierung (Artikel 25): zur Gewährleistung einheitlicher Anforderungen

Erläuterung: "wesentliche" gegenüber "bedeutenden" Einrichtungen gemäß der NIS-2-Richtlinie

Wesentliche Einheit
Bedeutendes Unternehmen
Wann sind Sie einer? Große Organisationen in den 12 kritischen Sektoren (u. a. Energie, Verkehr, Gesundheitswesen) und einige wenige Spezialdienstleister wie z. B. Treuhanddienstleister Unternehmen aus denselben Sektoren, die nicht unter den Schwellenwert "wesentlich" fallen, aber dennoch für die Wirtschaft oder Sicherheit relevant sind
Beaufsichtigung durch die Behörde Proaktiv und reaktiv: geplante Inspektionen, Audits, Sicherheitsscans und Ad-hoc-Untersuchungen Leichter, vor allem rückwirkend: nur untersuchen, wenn es Anzeichen für Verstöße oder Vorfälle gibt
Maximale Geldstrafe bei Verstoß ≥ 10 Mio. € oder 2% des Weltumsatzes (je nachdem, welcher Wert höher ist) ≥ 7 Mio. € oder 1,4% des weltweiten Umsatzes (je nachdem, welcher Wert höher ist)
Warum dieser Unterschied? Sie erbringen Dienstleistungen, die für die Gesellschaft und die Wirtschaft "kritisch" sind; daher strengere Regelungen Immer noch wichtig, aber geringere Auswirkungen auf das System; Abwägung von Risiko und Verwaltungsaufwand
Wesentliche Einheit Bedeutendes Unternehmen
Wann sind Sie einer? Große Organisationen in den 12 kritischen Sektoren (u. a. Energie, Verkehr, Gesundheitswesen) und einige wenige Spezialdienstleister wie z. B. Treuhanddienstleister Unternehmen aus denselben Sektoren, die nicht unter den Schwellenwert "wesentlich" fallen, aber dennoch für die Wirtschaft oder Sicherheit relevant sind
Beaufsichtigung durch die Behörde Proaktiv und reaktiv: geplante Inspektionen, Audits, Sicherheitsscans und Ad-hoc-Untersuchungen Leichter, vor allem rückwirkend: nur untersuchen, wenn es Anzeichen für Verstöße oder Vorfälle gibt
Maximale Geldstrafe bei Verstoß ≥ 10 Mio. € oder 2% des Weltumsatzes (je nachdem, welcher Wert höher ist) ≥ 7 Mio. € oder 1,4% des weltweiten Umsatzes (je nachdem, welcher Wert höher ist)
Warum dieser Unterschied? Sie erbringen Dienstleistungen, die für die Gesellschaft und die Wirtschaft "kritisch" sind; daher strengere Regelungen Immer noch wichtig, aber geringere Auswirkungen auf das System; Abwägung von Risiko und Verwaltungsaufwand
2025.07.22 - NIS2-Zusammenfassung_V2

Kurz und bündig

Wesentlich =am kritischsten intensive Überwachung & höhere Geldstrafen.
Wichtig = vom Umfang her, aber geringere Überwachung und niedrigere Bußgelder.

Incontrol (Maxdoro) hilft beiden Arten von Kunden, indem es einheitliche NIS2-Maßnahmen anbietet (Meldung von Vorfällen, Überprüfung der Lieferkette, Cyber-Hygiene).

Wie Incontrol dies erfüllt

Bereich
Konkreter Ansatz
Für wen ist das relevant?
Governance ISMS-Politik, Awareness/Sensibilisierungspolitik und regelmäßige Managementberichte. Das Management unterzeichnet die jährliche NIS2-Erklärung (Politik). C-Ebene, Compliance-Beauftragter
Technische und organisatorische Maßnahmen ISO 27001-Kontrollen in Verbindung mit Artikel 21, z. B.

- Multi-Faktor und sichere Passwörter
- Schutz vor Malware und Patch-Management
- Protokollierung und Überwachung 24/7
IT-Sicherheit, Betrieb
Sicherheit in der Lieferkette Lieferantenbewertung, Checkliste für Cloud-Dienste und Vertragsklauseln gemäß Artikel 22 Beschaffung, Vendor Manager
Reaktion auf Vorfälle Vereinbarungen mit den Verarbeitern, CSIRT-Eskalationsplan, 24-Stunden-Benachrichtigung und Beweissicherung Datenschutz-/Sicherheitsbeauftragter
Kontinuität Azure-Geo-Replik + Wiederherstellungsplan Prüfung und Risiko
Bereich Konkreter Ansatz Für wen ist das relevant?
Governance ISMS-Politik, Awareness/Sensibilisierungspolitik und regelmäßige Managementberichte. Das Management unterzeichnet die jährliche NIS2-Erklärung (Politik). C-Ebene, Compliance-Beauftragter
Technische und organisatorische Maßnahmen ISO 27001-Kontrollen in Verbindung mit Artikel 21, z. B.

- Multi-Faktor und sichere Passwörter
- Schutz vor Malware und Patch-Management
- Protokollierung und Überwachung 24/7
IT-Sicherheit, Betrieb
Sicherheit in der Lieferkette Lieferantenbewertung, Checkliste für Cloud-Dienste und Vertragsklauseln gemäß Artikel 22 Beschaffung, Vendor Manager
Reaktion auf Vorfälle Vereinbarungen mit den Verarbeitern, CSIRT-Eskalationsplan, 24-Stunden-Benachrichtigung und Beweissicherung Datenschutz-/Sicherheitsbeauftragter
Kontinuität Azure-Geo-Replik + Wiederherstellungsplan Prüfung und Risiko

Unsere Säulen der Cyberhygiene

Die wichtigsten Punkte aus unserer Cyberhygiene:

  1. Konfigurationsmanagement & Zero-Trust - nur genehmigte Builds, Change-Management-Prozess
  2. Backups & Geo-Replika - 7 Tage Point-in-Time + wöchentliche Backups 5 Wochen zurück
  3. Sichere Verschlüsselung (OWASP/SSDm) - obligatorisch in jedem Sprint (Null-Vertrauens-Prinzip)
  4. Awareness - wöchentliches Sicherheitsupdate in unserem MondayMorningMeeting

2025.07.22 - NIS2-Säule-2

Häufig gestellte Fragen

Wir stellen Ihnen Standardberichte über Vorfälle zur Verfügung (falls erforderlich), die Sie 1 zu 1 an Ihren Vorgesetzten weiterleiten können.

Nein, unsere Standardkonfiguration deckt die Basisanforderungen ab; zusätzliche Anforderungen können immer im gegenseitigen Einvernehmen besprochen werden.

Nein, die Daten bleiben in den Azure-Rechenzentren West- und Nordeuropa (Niederlande/Irland).

Laden Sie die Liste der Unterprozessoren hier herunter (siehe NL/EN-Versionen auf Incontrol.app)

Ja, Pen-Tests und BC-Tests können koordiniert und gemeinsam genutzt werden. Alle Kosten gehen zu Ihren Lasten als Kunde.