Die NIS2-Richtlinie erklärt: Was SaaS- und eCommerce-Unternehmen wirklich tun müssen

Erinnerst du dich an meinen letzten Post über den [EU Cyber Resilience Act](eu-cyber-resilience-act-was-das-fuer-dein-business-bedeutet), wo ich erwähnt habe, dass reine SaaS-Produkte nicht unter den CRA fallen? Dass sie stattdessen unter eine andere Verordnung fallen? Nun, diese andere Verordnung ist die NIS2-Richtlinie. Und ehrlich gesagt, für viele SaaS- und eCommerce-Unternehmen ist NIS2 diejenige, die tatsächlich mehr ins Gewicht fällt. Die NIS2-Richtlinie (offiziell Richtlinie EU 2022/2555) ist Europas überarbeitetes Cybersicherheitsgesetz für kritische Infrastrukturen und digitale Dienste. Sie hat die ursprüngliche NIS-Richtlinie im Oktober 2024 ersetzt und den Geltungsbereich massiv erweitert. Wir sprechen von 18 Sektoren, geschätzten 160.000 und mehr Unternehmen in der EU und Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Wenn du eine cloudbasierte SaaS-Plattform betreibst, einen Online-Marktplatz führst, Managed IT Services anbietest oder auch nur digitale Infrastruktur betreibst, von der andere Unternehmen abhängen, gilt NIS2 sehr wahrscheinlich für dich. Selbst wenn du außerhalb der EU sitzt, aber EU-Kunden bedienst. Lass mich aufschlüsseln, was das in der Praxis bedeutet, wer sich Sorgen machen muss und was du jetzt sofort tun solltest.

Was ist die NIS2-Richtlinie und wie unterscheidet sie sich vom CRA?

Lass mich die Verwirrung gleich zu Beginn ausräumen, denn die Buchstabensuppe der EU-Regulierungen reicht, um jedem den Kopf zu verdrehen.

Der Cyber Resilience Act (CRA) gilt für Produkte mit digitalen Elementen, also Dinge, die du verkaufst, vertreibst oder an Nutzer auslieferst. Denk an Hardware, herunterladbare Software, Apps, Plugins. Wenn du ein Produkt herstellst und auf den EU-Markt bringst, ist der CRA deine Verordnung.

Die NIS2-Richtlinie gilt für Dienstleistungen, genauer gesagt für Einrichtungen, die wesentliche oder wichtige Dienste in der EU erbringen. Denk an Cloud-Plattformen, SaaS-Anbieter, Online-Marktplätze, Managed Service Provider und Betreiber digitaler Infrastrukturen. Wenn du einen Dienst betreibst, von dem andere Menschen oder Unternehmen abhängen, ist NIS2 deine Verordnung.

Und dann gibt es noch die DSGVO, die für die Verarbeitung personenbezogener Daten gilt. Du musst möglicherweise alle drei einhalten. Willkommen im Club.

Der Hauptunterschied zwischen NIS2 und dem CRA liegt im Geltungsbereich. Der CRA dreht sich darum, Produkte sicher zu machen, bevor sie auf den Markt kommen. NIS2 dreht sich darum, dass die Organisationen, die kritische Dienste betreiben, robuste Cybersicherheitspraktiken etabliert haben. Der CRA verlangt SBOMs und Konformitätsbewertungen. NIS2 verlangt Risikomanagement-Frameworks, Vorfallsmeldungen und Verantwortlichkeit auf Vorstandsebene.

Wenn du eine reine SaaS-Plattform ohne herunterladbare Komponenten betreibst, schaust du auf NIS2 (nicht den CRA). Wenn du neben deinem SaaS eine App auslieferst, brauchst du möglicherweise beides. Willkommen in der EU-Compliance.

Wen betrifft NIS2 tatsächlich?

Hier geraten die meisten Leute entweder unnötig in Panik oder nehmen gefährlich an, dass sie ausgenommen sind. Lass mich präzise sein.

NIS2 deckt Einrichtungen in 18 Sektoren ab, aufgeteilt in zwei Gruppen.

Sektoren mit hoher Kritikalität (Anhang I) umfassen Energie, Transport, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur (Cloud Computing, Rechenzentren, DNS-Anbieter, CDNs, Vertrauensdienste, Telekommunikation), IKT-Servicemanagement (Managed Service Provider, Managed Security Service Provider), öffentliche Verwaltung und Weltraum.

Andere kritische Sektoren (Anhang II) umfassen Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion und -vertrieb, Fertigung (einschließlich Medizinprodukte, Elektronik, Maschinen und Fahrzeuge), digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) und Forschung.

Die Größenschwelle ist entscheidend. NIS2 gilt generell für mittlere und große Unternehmen. Das bedeutet 50 oder mehr Beschäftigte oder ein Jahresumsatz von über 10 Millionen Euro. Aber manche Einrichtungen fallen unabhängig von der Größe in den Geltungsbereich, darunter DNS-Anbieter, Vertrauensdienste und Telekommunikationsbetreiber.

Es gibt zwei Kategorien mit unterschiedlichen Konsequenzen.

Wesentliche Einrichtungen sind große Unternehmen in Anhang-I-Sektoren. Sie unterliegen proaktiver Aufsicht (die Regulierer kommen zu dir) und Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Wichtige Einrichtungen sind mittlere Unternehmen in Anhang-I-Sektoren und alle qualifizierten Einrichtungen in Anhang-II-Sektoren. Sie unterliegen reaktiver Aufsicht (Regulierer handeln, wenn sie Hinweise auf Nichteinhaltung finden) und Bußgeldern von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.

Hier ein praktisches Beispiel. Du betreibst ein SaaS-Unternehmen in Wien mit 60 Beschäftigten und 12 Millionen Euro Jahresumsatz. Du bietest Cloud-Computing-Dienste für EU-Unternehmen an. Das stellt dich in den Sektor digitale Infrastruktur unter Anhang I, klassifiziert als wichtige Einrichtung (mittleres Unternehmen in einem hochkritischen Sektor). Du musst NIS2 einhalten.

Noch ein Beispiel. Du betreibst einen Online-Marktplatz auf Solidus und verkaufst Produkte in der DACH-Region. Du hast 55 Beschäftigte und 15 Millionen Euro Umsatz. Online-Marktplätze fallen unter Anhang II (digitale Anbieter). Du bist eine wichtige Einrichtung. NIS2 gilt.

Und hier kommt der Clou: Selbst wenn du außerhalb der EU ansässig bist, wenn du Dienste innerhalb der EU erbringst, fällst du unter die Zuständigkeit des Mitgliedstaats, in dem du diese Dienste anbietest.

Der Zeitplan: Wo stehen wir jetzt?

Anders als beim CRA, der klare zukünftige Fristen hat, ist NIS2 bereits da. Die Richtlinie trat am 17. Oktober 2024 in Kraft, als sie die ursprüngliche NIS-Richtlinie ersetzte. Aber die Umsetzung in den Mitgliedstaaten war uneinheitlich.

Die Mitgliedstaaten sollten NIS2 bis 17. Oktober 2024 in nationales Recht umsetzen. Viele haben diese Frist verpasst. Stand Anfang 2026 sieht die Lage so aus.

Bereits aktiv: Belgien (vollständig aktiv seit Oktober 2024), Italien, Dänemark, Ungarn, Kroatien, Griechenland, Finnland, Litauen, Lettland, Malta, Rumänien, Slowakei und Slowenien haben NIS2 in nationales Recht umgesetzt.

Kürzlich verabschiedet: Deutschland hat sein NIS2-Umsetzungsgesetz (NIS2UmsuCG) im November 2025 verabschiedet. Wesentliche und wichtige Einrichtungen müssen sich bis April 2026 beim BSI registrieren.

Noch in Arbeit: Österreich, Frankreich, die Niederlande, Irland, Polen, Spanien, Schweden und andere befinden sich noch in verschiedenen Phasen der Umsetzung. Die Europäische Kommission hat Vertragsverletzungsverfahren gegen Staaten eingeleitet, die die Frist versäumt haben.

Im Januar 2026 hat die Kommission gezielte Änderungen vorgeschlagen, um die NIS2-Compliance zu vereinfachen, was die Last für rund 28.700 Unternehmen erleichtern soll. Aber warte nicht auf Vereinfachungen. Die Kernpflichten sind bereits da.

Was verlangt NIS2 konkret von dir?

Die Anforderungen sind umfangreich, aber praktisch. Hier ist, worauf es in verständlicher Sprache ankommt.

Risikomanagement-Maßnahmen (Artikel 21). Du musst geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen umsetzen, um Cybersicherheitsrisiken zu managen. Das ist ein risikobasierter Ansatz, das heißt du bewertest deine spezifischen Bedrohungen und implementierst verhältnismäßige Kontrollen. Die Richtlinie schreibt mindestens 10 Mindestmaßnahmen vor.

Diese umfassen: Richtlinien zur Risikoanalyse und Informationssystemsicherheit, Verfahren zur Vorfallsbehandlung, Business Continuity und Krisenmanagement (einschließlich Backup-Management und Disaster Recovery), Lieferkettensicherheit (einschließlich Sicherheitsaspekte in den Beziehungen zu direkten Lieferanten und Dienstleistern), Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen (einschließlich Schwachstellenbehandlung und -offenlegung), Richtlinien und Verfahren zur Bewertung der Wirksamkeit deiner Cybersicherheitsmaßnahmen, grundlegende Cyberhygiene-Praktiken und Cybersicherheitsschulungen, Richtlinien zum Einsatz von Kryptografie und Verschlüsselung, Personalsicherheit und Zugangskontrollen sowie der Einsatz von Multi-Faktor-Authentifizierung und gesicherten Kommunikationssystemen.

Das ist eine ordentliche Liste. Aber im Grunde ist es das, was jedes gut geführte Tech-Unternehmen sowieso tun sollte.

Vorfallsmeldung (Artikel 23). Wenn ein signifikanter Vorfall passiert, hast du enge Fristen. Innerhalb von 24 Stunden nach Kenntnisnahme musst du eine Frühwarnung an dein nationales CSIRT (Computer Security Incident Response Team) oder die zuständige Behörde übermitteln. Innerhalb von 72 Stunden musst du eine Vorfallsmeldung mit einer ersten Bewertung einschließlich Schweregrad und Auswirkungen liefern. Innerhalb eines Monats musst du einen Abschlussbericht mit detaillierter Beschreibung, Ursachenanalyse und Abhilfemaßnahmen einreichen.

Ein "signifikanter" Vorfall ist einer, der eine schwere Betriebsstörung verursacht hat oder verursachen kann, oder der andere Personen durch erheblichen Schaden betroffen hat oder betreffen kann.

Verantwortlichkeit auf Geschäftsführungsebene (Artikel 20). Das ist der Teil, bei dem Geschäftsführer aufhorchen. Leitungsorgane sind ausdrücklich verpflichtet, die Umsetzung von Cybersicherheits-Risikomanagement-Maßnahmen zu genehmigen und zu überwachen. Sie müssen Cybersicherheitsschulungen absolvieren. Und hier wird es ernst: Bei Nichteinhaltung können Mitglieder der Geschäftsführung vorübergehend suspendiert oder von der Ausübung von Führungsfunktionen ausgeschlossen werden. Das ist kein IT-Problem mehr. Das ist ein Vorstandsthema.

Lieferkettensicherheit. Du musst Cybersicherheitsrisiken in deiner Lieferkette adressieren, einschließlich der Beziehungen zu deinen direkten Lieferanten und Dienstleistern. Wenn du Cloud-Dienste Dritter nutzt, Open-Source-Bibliotheken einsetzt oder Entwicklung ausgelagert hast, musst du die Risiken bewerten und managen, die diese Abhängigkeiten schaffen.

Registrierung. In den meisten Mitgliedstaaten müssen Einrichtungen, die unter NIS2 fallen, sich bei der zuständigen nationalen Behörde registrieren. In Deutschland ist das das BSI. In Belgien das CCB. Prüfe deine nationale Umsetzung für spezifische Registrierungsfristen und -verfahren.

Wie NIS2 mit anderen Regulierungen zusammenhängt

Lass mich aufzeigen, wie NIS2 neben die anderen Regulierungen passt, um die du dich möglicherweise kümmern musst.

NIS2 und CRA sind komplementär. Der CRA deckt die Produkte ab, die du verkaufst. NIS2 deckt die Dienste ab, die du betreibst. Wenn du herunterladbare Software verkaufst UND einen Cloud-Service betreibst, brauchst du möglicherweise beides.

NIS2 und DSGVO überschneiden sich beim Datenschutz, haben aber unterschiedliche Schwerpunkte. Die DSGVO dreht sich um personenbezogene Daten. NIS2 dreht sich um die Sicherheit der Systeme, die diese Daten verarbeiten. In der Praxis unterstützen viele NIS2-Maßnahmen (Verschlüsselung, Zugriffskontrollen, Incident Response) auch die DSGVO-Compliance. Aber es sind separate Pflichten.

NIS2 und DORA gelten beide für den Finanzsektor. Wo sie sich überschneiden, hat DORA als sektorspezifische Verordnung Vorrang. Wenn du ein SaaS-Anbieter bist, der Finanzinstitute bedient, musst du möglicherweise beides einhalten, wobei DORA als primäres Framework für deine Finanzsektor-Kunden dient.

Die Stolperfallen: Wo SaaS- und eCommerce-Unternehmen hängenbleiben

Annehmen, du bist zu klein. Die 50-Beschäftigten-Schwelle ist niedriger als viele denken. Und der Umsatz zählt auch. Ein 30-Personen-SaaS-Unternehmen mit 12 Millionen Euro Umsatz ist im Geltungsbereich. Manche Einrichtungen fallen unabhängig von der Größe in den Geltungsbereich.

Die Lieferkettenpflicht ignorieren. NIS2 verlangt ausdrücklich, dass du Lieferkettenrisiken managst. Das heißt dein Cloud-Hosting-Anbieter, deine Drittanbieter-APIs, deine Open-Source-Abhängigkeiten und dein ausgelagertes Entwicklungsteam müssen alle Teil deiner Risikobewertung sein. Wenn du auf Hetzner läufst, ist das unkompliziert. Wenn du auf AWS bist, musst du das Shared-Responsibility-Modell verstehen und dokumentieren.

Kein Incident Response Plan. Die 24-Stunden-Frist für die Frühwarnung ist brutal. Wenn du kein Monitoring, Alerting und keinen dokumentierten Response-Plan hast, wirst du sie nicht einhalten. Bis du herausgefunden hast, was passiert ist, ist dein Meldefenster geschlossen.

Management nicht geschult. NIS2 verlangt Cybersicherheitsschulungen auf Vorstandsebene. Nicht nur Awareness. Echte Schulung, die das Management befähigt, Cybersicherheitsmaßnahmen zu genehmigen und zu überwachen. Wenn dein CEO denkt, eine Firewall sei eine Brandschutzmaßnahme, hast du Arbeit vor dir.

NIS2 als Abhak-Übung behandeln. Nationale Aufsichtsbehörden haben echte Durchsetzungsmacht. Sie können Vor-Ort-Inspektionen durchführen, Compliance-Nachweise verlangen, verbindliche Anweisungen erteilen und Bußgelder verhängen. Für wesentliche Einrichtungen ist die Aufsicht proaktiv, das heißt sie kommen auch zu dir, wenn nichts passiert ist.

Die nationale Umsetzung nicht prüfen. NIS2 ist eine Richtlinie, keine Verordnung. Jeder Mitgliedstaat setzt sie anders um. Österreichs Version kann sich von der deutschen unterscheiden, die sich von der französischen unterscheiden kann. Du musst die spezifischen Anforderungen in jedem Land prüfen, in dem du Dienste anbietest.

Der Cybersecurity-Aspekt: Was das in der Praxis bedeutet

NIS2-Compliance bedeutet nicht, ein Compliance-Tool zu kaufen und Kästchen abzuhaken. Es erfordert echte, kontinuierliche Sicherheitspraktiken. So sieht eine praktische Umsetzung aus.

Risikobewertungs-Framework. Bau einen formalen Risikobewertungsprozess auf, der deine kritischen Assets identifiziert, Bedrohungen und Schwachstellen bewertet und verhältnismäßige Kontrollen bestimmt. Für ein Rails-basiertes SaaS sind deine kritischen Assets die Produktionsdatenbank, dein Authentifizierungssystem, deine API-Endpunkte und deine Kundendaten. Kartiere sie, bewerte die Risiken und dokumentiere deine Kontrollen.

Netzwerk- und Anwendungssicherheit. Implementiere Defence in Depth. Das bedeutet Firewalls, Netzwerksegmentierung, Intrusion Detection, Web Application Firewalls und regelmäßige Sicherheitstests. Für Rails-Anwendungen heißt das: Rails und alle Gems aktuell halten, Rack::Attack für Rate Limiting nutzen, Content Security Policy Header implementieren und regelmäßige Penetrationstests mit Tools wie Kali Linux und OWASP ZAP durchführen.

Identitäts- und Zugriffsmanagement. NIS2 verlangt ausdrücklich Multi-Faktor-Authentifizierung. Implementiere sie überall: Admin-Panels, Produktionsserver, CI/CD-Pipelines, Cloud-Provider-Konsolen. Nutze ordentliche rollenbasierte Zugriffskontrolle (RBAC) in deiner Anwendung. Für Solidus-Shops heißt das: das Admin-Backend absichern und Berechtigungen sauber segmentieren.

Verschlüsselung. Verschlüssle Daten im Ruhezustand und bei der Übertragung. TLS 1.3 für alle Verbindungen. Verschlüsselte Datenbankfelder für sensible Daten. Verschlüsselte Backups. Für Rails-Anwendungen nutze Active Record Encryption für sensible Attribute und stelle sicher, dass deine Datenbankverbindungen SSL verwenden.

Monitoring und Logging. Du musst wissen, wenn etwas schiefläuft, idealerweise bevor die 24-Stunden-Meldefrist zu ticken beginnt. Implementiere zentralisiertes Logging, Sicherheitsmonitoring und Anomalieerkennung. Tools wie Grafana und Prometheus für Infrastruktur-Monitoring, kombiniert mit Application-Level-Logging und Alerting, geben dir die Sichtbarkeit, die du brauchst.

Business Continuity und Disaster Recovery. NIS2 verlangt Backup-Management, Disaster-Recovery-Planung und Krisenmanagement-Verfahren. Teste deine Backups. Führe Disaster-Recovery-Übungen durch. Dokumentiere deine Recovery Time Objectives und Recovery Point Objectives. Wisse genau, wie lange es dauert, deinen Service von Grund auf wiederherzustellen.

Cybersicherheitsschulungen. Alle brauchen Schulung, von Entwicklern bis zum Management. Entwickler sollten sichere Coding-Praktiken, die OWASP Top 10 und deine Incident-Response-Verfahren verstehen. Das Management muss die Bedrohungslandschaft und seine rechtlichen Pflichten unter NIS2 kennen.

Wie ich helfen kann: SaaS, eCommerce und Wachstum ohne Abkürzungen

Hier kommt alles zusammen, was ich tue. Ich baue nicht einfach SaaS-Plattformen und eCommerce-Shops. Ich baue sie so, dass sie von Anfang an sicher, compliant und resilient sind.

NIS2-Readiness-Assessments. Ich helfe SaaS- und eCommerce-Unternehmen herauszufinden, ob NIS2 für sie gilt, in welche Kategorie sie fallen und welche Lücken zwischen ihrer aktuellen Sicherheitslage und den NIS2-Anforderungen bestehen. Das umfasst die Zuordnung deiner Dienste zu den Sektordefinitionen, die Bewertung deiner Größenschwelle und die Identifikation deiner nationalen Registrierungspflichten.

Sichere SaaS-Architektur auf Ruby on Rails. Ich entwerfe und baue Rails-basierte SaaS-Plattformen mit NIS2-Compliance, die in die Architektur eingebaut ist. Das bedeutet verschlüsselte Datenverarbeitung, Multi-Faktor-Authentifizierung, rollenbasierte Zugriffskontrollen, umfassendes Logging, automatisierte Sicherheitsscans und dokumentierte Incident-Response-Verfahren. Jede Architekturentscheidung berücksichtigt die Sicherheitsauswirkungen.

Solidus eCommerce mit NIS2 im Blick. Wenn dein Solidus-Shop als Online-Marktplatz qualifiziert (und wenn du 50 oder mehr Beschäftigte oder 10 Millionen Euro Umsatz hast, könnte das der Fall sein), gilt NIS2. Ich helfe Solidus-Händlern, die technischen und organisatorischen Maßnahmen umzusetzen, die NIS2 verlangt: sichere Zahlungsabwicklung, Kundendatenverschlüsselung, Zugriffskontrollen, Schwachstellenmanagement und Business-Continuity-Planung.

Lieferketten-Risikomanagement. Ich prüfe deine gesamte Technologie-Lieferkette, von Hosting-Anbietern bis zu Drittanbieter-Gems und npm-Paketen, und helfe dir, ein dokumentiertes Risikomanagement-Framework aufzubauen, das NIS2-Anforderungen an die Lieferkettensicherheit erfüllt. Das umfasst die Bewertung der Sicherheitszertifizierungen deines Cloud-Anbieters, die Einschätzung von Open-Source-Abhängigkeitsrisiken und die Festlegung von Sicherheitsanforderungen an Lieferanten.

Penetrationstests und Security Audits. Mit Kali Linux und branchenüblichen Tools (Nmap, Burp Suite, Metasploit, OWASP ZAP) führe ich gründliche Sicherheitsbewertungen durch, die direkt in deine NIS2-Risikomanagement-Dokumentation einfließen. Jeder Fund wird mit Schweregradbeurteilung, Geschäftsauswirkungs-Analyse und Behebungsempfehlung dokumentiert.

Incident Response Planning. Ich baue und teste Incident-Response-Pläne, die NIS2-Meldefristen einhalten. Das umfasst die Einrichtung von Monitoring und Alerting, die Definition von Eskalationsverfahren, die Erstellung von Kommunikationsvorlagen und die Durchführung von Tabletop-Übungen, damit jeder weiß, was zu tun ist, wenn etwas passiert.

Growth Hacking, das Sicherheit respektiert. Das ist mein Differenzierungsmerkmal. Die meisten Growth Hacker fügen Tracking-Scripts, Drittanbieter-Widgets und Marketing-Tools hinzu, ohne an die Sicherheits- oder Compliance-Auswirkungen zu denken. Ich baue Wachstumssysteme, die von Grund auf NIS2-konform sind: First-Party-Analytics, sichere Formularverarbeitung, datenschutzfreundliche Attribution und Marketing-Automatisierung, die keine neuen Angriffsvektoren in deine Plattform einführt.

Was du jetzt sofort tun solltest

Hier ist dein praktischer Aktionsplan.

Erstens, stelle fest, ob NIS2 gilt. Prüfe deinen Sektor, deine Größe (Beschäftigte und Umsatz) und die Länder, in denen du Dienste anbietest. Im Zweifelsfall, geh davon aus, dass es gilt.

Zweitens, identifiziere deine nationalen Pflichten. NIS2 wird in jedem Mitgliedstaat anders umgesetzt. Prüfe die spezifischen Anforderungen in jedem Land, in dem du tätig bist. In Deutschland prüfe beim BSI. In Österreich beobachte den nationalen Umsetzungsprozess.

Drittens, registriere dich wenn nötig. Viele nationale Umsetzungen verlangen eine Selbstregistrierung bei der zuständigen Behörde. Verpasse deine Frist nicht.

Viertens, führe eine Gap-Analyse durch. Gleiche NIS2s 10 Mindest-Risikomanagement-Maßnahmen mit deinen aktuellen Praktiken ab. Wo sind die Lücken? Priorisiere sie nach Risiko.

Fünftens, hole dein Management ins Boot. NIS2 macht die Geschäftsführung persönlich verantwortlich. Informiere dein Führungsteam über seine Pflichten. Organisiere Cybersicherheitsschulungen. Stelle sicher, dass Cybersicherheit ein fester Tagesordnungspunkt wird.

Sechstens, baue deine Incident-Response-Fähigkeit auf. Du musst in der Lage sein, Vorfälle innerhalb von 24 Stunden zu erkennen, zu bewerten und zu melden. Wenn du das heute nicht kannst, ist das deine Priorität Nummer eins.

Siebtens, dokumentiere alles. Aufsichtsbehörden werden Nachweise wollen. Dokumentiere deine Risikobewertungen, deine Sicherheitsmaßnahmen, deine Schulungsnachweise, deine Incident-Response-Pläne und deine Lieferkettenbewertungen.

NIS2 geht nicht mehr weg. Wenn überhaupt, wird es nur strenger. Aber die Unternehmen, die es als Chance behandeln, echte Sicherheit und Resilienz aufzubauen, statt als Compliance-Last, werden vorne liegen. Bessere Sicherheit bedeutet weniger Vorfälle, mehr Kundenvertrauen und ein echter Wettbewerbsvorteil.

Und wenn du Hilfe brauchst, besonders mit Ruby on Rails, Solidus oder Custom-SaaS-Plattformen, ist genau das mein Job. Lass uns reden.

Nicht sicher, ob NIS2 für dein SaaS- oder eCommerce-Business gilt? Brauchst du Hilfe bei der Umsetzung der Risikomanagement-Maßnahmen, Incident-Response-Pläne und Sicherheitspraktiken, die die Richtlinie verlangt? Ich bin spezialisiert auf den Aufbau sicherer, konformer Plattformen mit Ruby on Rails und Solidus. Lass uns deine Pflichten klären und einen Plan erstellen. Melde dich.

Hast du ein Projekt im Sinn? Kontakt aufnehmenNachricht auf WhatsApp
VernetzenFolge Keferboeck Ltd auf LinkedIn um auf dem Laufenden zu bleiben über eCommerce