⚠️ BSI-Registrierung bis 6. März 2026

NIS2 & Compliance

NIS2 ist in Kraft.
Ist Ihre Software-Lieferkette audit-fähig?

Das NIS2-Umsetzungsgesetz gilt seit dem 6. Dezember 2025 in Deutschland. Artikel 30 fordert explizit Sicherheit in der Lieferkette, einschließlich Software-Komponenten.

NIS2-Readiness prüfen

Zeitplan

Die Fristen im Überblick

⚠️

Dezember 2025: NIS2 in Kraft

Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 geltendes Recht. Betroffene Unternehmen müssen die Anforderungen erfüllen.

📝

März 2026: BSI-Registrierung

Bis zum 6. März 2026 müssen sich betroffene Einrichtungen beim BSI registrieren. Wer die Frist verpasst, riskiert Bußgelder.

📢

September 2026: CRA Reporting

Der Cyber Resilience Act startet die Meldepflicht für aktiv ausgenutzte Schwachstellen in Produkten mit digitalen Elementen.

📋

Dezember 2027: CRA SBOM-Pflicht

Ab Dezember 2027 müssen Hersteller für Produkte mit digitalen Elementen eine Software Bill of Materials (SBOM) bereitstellen. Wer die Infrastruktur jetzt aufbaut, hat einen Wettbewerbsvorteil bei Kunden und gegenüber der Regulierung.

Anforderungen

Was NIS2 für Ihre Software-Lieferkette bedeutet

NIS2 Artikel 30 und das BSI-Gesetz §30 fordern konkrete Maßnahmen zur Absicherung der Lieferkette.

Pflicht

Sicherheit in der Lieferkette

Unternehmen müssen die Sicherheit ihrer gesamten Lieferkette bewerten, einschließlich Software-Komponenten und deren Abhängigkeiten.

Unser Ansatz: DependencyTrack für zentrale Inventur, automatisiert in Ihrer CI/CD-Pipeline

Pflicht

Schwachstellen-Management

Bekanntwerden einer kritischen Schwachstelle erfordert sofortige Handlungsfähigkeit. Unternehmen müssen feststellen können, ob sie betroffen sind.

Unser Ansatz: Grype + DependencyTrack für kontinuierliches CVE-Monitoring gegen Ihre SBOM-Daten

Pflicht

Risikomanagement

Die Geschäftsleitung trägt persönliche Verantwortung für angemessene Cybersicherheitsmaßnahmen. Dokumentierte Sorgfaltspflicht schützt vor Haftung.

Unser Ansatz: Automatisierte Compliance-Reports aus DependencyTrack, auf Knopfdruck audit-fähig

Pflichtschulung

Management-Training

NIS2 fordert regelmäßige Cybersicherheitsschulungen für die Geschäftsleitung, mindestens alle 3 Jahre. Thema: Risiken der Software-Lieferkette.

Unser Ansatz: Management-Briefing mit konkreten Risikoszenarien und Handlungsoptionen aus Ihrer Lieferkette

Bin ich betroffen?

NIS2-Betroffenheitsprüfung

NIS2 betrifft „wesentliche“ und „wichtige“ Einrichtungen in 18 Sektoren. Die Schwellenwerte:

Wesentliche Einrichtungen

Großunternehmen in kritischen Sektoren:

  • ≥ 250 Mitarbeitende oder
  • > 50 Mio. EUR Umsatz

Sektoren: Energie, Transport, Banken, Gesundheit, Wasser, Digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt

Wichtige Einrichtungen

Mittlere Unternehmen in allen NIS2-Sektoren:

  • ≥ 50 Mitarbeitende oder
  • > 10 Mio. EUR Umsatz

Zusätzliche Sektoren: Produktion, Chemie, Lebensmittel, Abfall, Post, Forschung, Digitale Dienste

Tipp: Auch wenn Sie nicht direkt unter NIS2 fallen, könnten Ihre Kunden betroffen sein. NIS2 verpflichtet betroffene Unternehmen, die Sicherheit ihrer gesamten Lieferkette zu bewerten. Wer Software liefert, muss Nachweise erbringen können.

Unsere Leistung

So machen wir Sie NIS2-ready

📊

SBOM-Infrastruktur

Automatische Inventur aller Software-Komponenten bei jedem Build. CycloneDX-konforme SBOMs für Ihre gesamte Produktlandschaft.

CycloneDX CI/CD-Integration
🛡️

Vulnerability Management

Kontinuierliches Monitoring gegen bekannte Schwachstellen (CVE). Sofortige Alarmierung bei Betroffenheit. Priorisierung nach echtem Risiko.

CVE-Monitoring Risiko-Priorisierung
📋

Compliance-Dokumentation

Audit-fähige Nachweise, die NIS2 §30, CRA und BSI TR-03183 erfüllen. Auf Knopfdruck verfügbar, wenn der Auditor kommt.

NIS2-Mapping BSI TR-03183

Regulatorischer Kontext

NIS2, CRA und BSI TR-03183

Drei Regelwerke, ein gemeinsamer Nenner: Transparenz über die Software-Lieferkette.

In Kraft

NIS2

Gilt für Betreiber. Fordert Lieferketten-Sicherheit, Schwachstellen-Management und Meldepflichten. Persönliche Haftung der Geschäftsleitung.

Ab Sep 2026

Cyber Resilience Act

Gilt für Hersteller. Fordert SBOMs, Vulnerability-Handling und Produktsicherheit über den gesamten Lebenszyklus. SBOM-Pflicht ab Dez 2027.

Standard

BSI TR-03183

Die technische Richtlinie des BSI konkretisiert SBOM-Anforderungen: Formate (CycloneDX, SPDX), Inhalte, Aktualisierungshäufigkeit, Bereitstellungswege.

NIS2-Readiness prüfen

In 30 Minuten analysieren wir Ihre aktuelle Situation: Wo stehen Sie, was fehlt und welche nächsten Schritte jetzt zählen?

Kostenloses Erstgespräch

Kostenlos. Konkrete Empfehlungen. Keine Verkaufspräsentation.