⚠️ BSI-Registrierung bis 6. März 2026

NIS2 & Compliance

NIS2 ist in Kraft.
Ist Ihre Software-Lieferkette audit-fähig?

Das NIS2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025 in Deutschland. Artikel 30 fordert explizit Sicherheit in der Lieferkette — einschließlich Software-Komponenten.

NIS2-Readiness prüfen

Zeitplan

Die Fristen im Überblick

⚠️

Dezember 2025 — NIS2 in Kraft

Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 geltendes Recht. Betroffene Unternehmen müssen die Anforderungen erfüllen.

📝

März 2026 — BSI-Registrierung

Bis zum 6. März 2026 müssen sich betroffene Einrichtungen beim BSI registrieren. Wer die Frist verpasst, riskiert Bußgelder.

📢

September 2026 — CRA Reporting

Der Cyber Resilience Act startet die Meldepflicht für aktiv ausgenutzte Schwachstellen in Produkten mit digitalen Elementen.

📋

Dezember 2027 — CRA SBOM-Pflicht

Ab Dezember 2027 müssen Hersteller für Produkte mit digitalen Elementen eine Software Bill of Materials (SBOM) bereitstellen. Wer die Infrastruktur jetzt aufbaut, hat einen Wettbewerbsvorteil — gegenüber Kunden und Regulierung.

Anforderungen

Was NIS2 für Ihre Software-Lieferkette bedeutet

NIS2 Artikel 30 und das BSI-Gesetz §30 fordern konkrete Maßnahmen zur Absicherung der Lieferkette.

Pflicht

Sicherheit in der Lieferkette

Unternehmen müssen die Sicherheit ihrer gesamten Lieferkette bewerten — einschließlich Software-Komponenten und deren Abhängigkeiten.

Unser Ansatz: DependencyTrack für zentrale Inventur, automatisiert in Ihrer CI/CD-Pipeline

Pflicht

Schwachstellen-Management

Bekanntwerden einer kritischen Schwachstelle erfordert sofortige Handlungsfähigkeit. Unternehmen müssen feststellen können, ob sie betroffen sind.

Unser Ansatz: Grype + DependencyTrack für kontinuierliches CVE-Monitoring gegen Ihre SBOM-Daten

Pflicht

Risikomanagement

Die Geschäftsleitung trägt persönliche Verantwortung für angemessene Cybersicherheitsmaßnahmen. Dokumentierte Sorgfaltspflicht schützt vor Haftung.

Unser Ansatz: Automatisierte Compliance-Reports aus DependencyTrack, auf Knopfdruck audit-fähig

Pflichtschulung

Management-Training

NIS2 fordert regelmäßige Cybersicherheitsschulungen für die Geschäftsleitung — mindestens alle 3 Jahre. Thema: Risiken der Software-Lieferkette.

Unser Ansatz: Management-Briefing mit konkreten Risikoszenarien und Handlungsoptionen aus Ihrer Lieferkette

Bin ich betroffen?

NIS2-Betroffenheitsprüfung

NIS2 betrifft „wesentliche“ und „wichtige“ Einrichtungen in 18 Sektoren. Die Schwellenwerte:

Wesentliche Einrichtungen

Großunternehmen in kritischen Sektoren:

  • ≥ 250 Mitarbeitende oder
  • > 50 Mio. EUR Umsatz

Sektoren: Energie, Transport, Banken, Gesundheit, Wasser, Digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt

Wichtige Einrichtungen

Mittlere Unternehmen in allen NIS2-Sektoren:

  • ≥ 50 Mitarbeitende oder
  • > 10 Mio. EUR Umsatz

Zusätzliche Sektoren: Produktion, Chemie, Lebensmittel, Abfall, Post, Forschung, Digitale Dienste

Tipp: Auch wenn Sie nicht direkt unter NIS2 fallen — Ihre Kunden könnten betroffen sein. NIS2 verpflichtet betroffene Unternehmen, die Sicherheit ihrer gesamten Lieferkette zu bewerten. Wer Software liefert, muss Nachweise erbringen können.

Unsere Leistung

So machen wir Sie NIS2-ready

📊

SBOM-Infrastruktur

Automatische Inventur aller Software-Komponenten bei jedem Build. CycloneDX-konforme SBOMs für Ihre gesamte Produktlandschaft.

CycloneDX CI/CD-Integration
🛡️

Vulnerability Management

Kontinuierliches Monitoring gegen bekannte Schwachstellen (CVE). Sofortige Alarmierung bei Betroffenheit. Priorisierung nach echtem Risiko.

CVE-Monitoring Risiko-Priorisierung
📋

Compliance-Dokumentation

Audit-fähige Nachweise, die NIS2 §30, CRA und BSI TR-03183 erfüllen. Auf Knopfdruck verfügbar, wenn der Auditor kommt.

NIS2-Mapping BSI TR-03183

Regulatorischer Kontext

NIS2, CRA und BSI TR-03183

Drei Regelwerke, ein gemeinsamer Nenner: Transparenz über die Software-Lieferkette.

In Kraft

NIS2

Gilt für Betreiber. Fordert Lieferketten-Sicherheit, Schwachstellen-Management und Meldepflichten. Persönliche Haftung der Geschäftsleitung.

Ab Sep 2026

Cyber Resilience Act

Gilt für Hersteller. Fordert SBOMs, Vulnerability-Handling und Produktsicherheit über den gesamten Lebenszyklus. SBOM-Pflicht ab Dez 2027.

Standard

BSI TR-03183

Die technische Richtlinie des BSI konkretisiert SBOM-Anforderungen: Formate (CycloneDX, SPDX), Inhalte, Aktualisierungshäufigkeit, Bereitstellungswege.

NIS2-Readiness prüfen

In 30 Minuten analysieren wir Ihre aktuelle Situation: Wo stehen Sie? Was fehlt? Welche Quick Wins gibt es?

Kostenloses Erstgespräch

Unverbindlich. Konkrete Empfehlungen. Keine Verkaufspräsentation.