EU-Regulierungen
Meldung von Sicherheitsvorfällen, Lieferkettensicherheit und operative Umsetzung.
NIS2 Artikel 21 und 23: Meldung von Sicherheitsvorfällen und Lieferkettensicherheit brauchen mehr als ein ISMS
NIS2 Artikel 21 und 23 erfordern operative Meldung von Sicherheitsvorfällen (24h und 72h) und Lieferkettensicherheit. Ein ISMS hilft bei der Governance, aber nicht bei der täglichen Ausführung.
2026-01-06 · Von Anna Bley
DSGVO Artikel 28, 32, 33 und 34: Warum ein ISMS nicht ausreicht
DSGVO Artikel 28, 32, 33, 34 fordern Auftragsverarbeitung, Datensicherheit und Meldepflichten bei Datenpannen. Ein ISMS hilft bei der Governance, aber nicht bei der operativen Umsetzung.
2026-01-28 · Von Anna Bley
DORA Artikel 19, 28 und 30: Warum ein ISMS für Finanzunternehmen nicht mehr ausreicht
DORA verlangt operative Kundenkommunikation bei Vorfällen, ein aktuelles IKT-Dienstleisterregister und fortlaufendes Monitoring. Ein ISMS allein reicht dafür nicht aus.
2026-01-27 · Von Anna Bley
Cyber Resilience Act Artikel 13 und 14: Warum ein ISMS nicht ausreicht
Der CRA fordert Security by Design, Meldepflichten bei Schwachstellen innerhalb von 24 Stunden, SBOMs und CE-Kennzeichnung. Ein ISMS hilft bei der Governance, aber nicht bei der produktbezogenen Compliance.
2026-01-28 · Von Anna Bley
ISO 27001 ist nicht gleich NIS2-Compliance: Was wirklich fehlt
ISO 27001 liefert das Governance-Fundament für NIS2 – aber keine operative Umsetzung. Was zwischen ISMS-Dokumentation und tatsächlicher NIS2-Compliance fehlt, und warum das seit dem 6. Dezember 2025 ein konkretes Problem ist.
2026-02-22 · Von Anna Bley
NIS2-Lieferkettensicherheit: Warum jährliche Lieferantenbewertungen nicht mehr reichen
NIS2 Artikel 21(2)(d) verlangt kontinuierliche Lieferkettensicherheit – nicht punktuelle Fragebögen. Was sich konkret ändert, warum das ISMS hier an seine Grenzen stößt und wie Unternehmen den Übergang operativ gestalten.
2026-02-22 · Von Anna Bley
NIS2-Meldepflicht: Die 24-Stunden-Frist operativ einhalten
NIS2 Artikel 23 verlangt eine Frühwarnung innerhalb von 24 Stunden, eine qualifizierte Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Die meisten Unternehmen haben einen Incident-Response-Plan. Die wenigsten können unter Druck tatsächlich melden.
2026-02-22 · Von Anna Bley
NIS2-Betroffenheit geklärt — und jetzt? Die operativen Lücken nach dem ISMS
Sie haben geprüft, ob Ihr Unternehmen unter NIS2 fällt. Die Antwort ist ja. Sie haben ein ISMS. Und jetzt stellen Sie fest: Zwischen dem, was Ihr ISMS abdeckt, und dem, was NIS2 operativ verlangt, klafft eine Lücke. Dieser Artikel zeigt, wo sie liegt – und wie Sie sie schließen.
2026-02-22 · Von Anna Bley
NIS2-Checkliste: Was Ihr ISMS abdeckt — und was nicht
Die komplette Übersicht: Alle zehn Risikomanagementmaßnahmen aus Artikel 21, geprüft gegen ein typisches ISO-27001-ISMS. Wo Sie stehen, wo die Lücken liegen und was Sie operativ ergänzen müssen.
2026-02-22 · Von Anna Bley
Incident-Response-Plan vs. Incident-Management-System: Was NIS2 wirklich verlangt
Jedes ISMS hat einen Incident-Response-Plan. NIS2 verlangt ein Incident-Management-System. Der Unterschied ist nicht semantisch – er ist operativ. Was ein IMS konkret leisten muss, welche Komponenten es braucht und wie Sie den Übergang vom Plan zum System gestalten.
2026-02-22 · Von Anna Bley
NIS2-Nachweispflicht: Von Dokumentation zu kontinuierlicher Evidenz
NIS2 gibt Aufsichtsbehörden das Recht, jederzeit Nachweise anzufordern. Nicht beim nächsten Audit. Nicht nach Vorankündigung. Jederzeit. Was das für Ihre Nachweisführung bedeutet – und warum die meisten Unternehmen darauf nicht vorbereitet sind.
2026-02-22 · Von Anna Bley