NIS2 – NBK Legal

Was dieser Leitfaden Ihnen gibt

Schnelltest: Bin ich von NIS2 betroffen?
Konkrete Sicherheitsanforderungen im Detail
Meldepflichten und Fristen
Branchenprofile mit priorisierten Maßnahmen

Betroffenheitslogik · Vertragsrealität · Branchenprofile · Typische Fehler

Vorbemerkung

Diese Leitfadenreihe ist aus einer spezifischen Perspektive heraus geschrieben: der einer General Counsel / Senior Vice President, die über viele Jahre in leitender Inhouse-Funktion in regulierten Unternehmen gearbeitet hat – in der Schweiz und in der EU. Die Autorin verfügt über eine juristische und betriebswirtschaftliche Ausbildung in der Schweiz und in Deutschland sowie über langjährige operative Erfahrung als interne Rechts- und Compliance-Verantwortliche in internationalen Konzernen und KMU-Umfeldern.

Diese Kombination – juristische Tiefe, operatives Management-Know-how und direkte Erfahrung mit den Realitäten von Lieferketten, Vertragsverhandlungen und Aufsichtsbehörden – ist der Grund, warum die Texte so geschrieben sind, wie sie sind: nicht als formale Gesetzeskommentare, sondern als Arbeitsinstrumente. Sie richten sich gleichzeitig an Führungskräfte, die schnell einordnen müssen, was eine Regulierung für ihr Unternehmen bedeutet, und an Fachabteilungen, die wissen müssen, was operativ zu tun ist.

Der interdisziplinäre Ansatz ist bewusst: Digitale Regulierung berührt gleichzeitig IT, Recht, Procurement, Geschäftsführung, HR und Lieferkette. Eine Perspektive, die nur eine dieser Dimensionen kennt, liefert unvollständige Antworten. Die Leitfäden versuchen, alle relevanten Dimensionen gleichzeitig zu adressieren – mit dem Bewusstsein, dass in der Praxis selten ein Team allein zuständig ist und die wirklichen Herausforderungen meistens an den Schnittstellen entstehen.

Die Perspektive «Schweizer KMU im EU-Kontext» ist nicht zufällig. Sie spiegelt langjährige Arbeit an der Schnittstelle zwischen Schweizer Geschäftspraxis und europäischem Regulierungsrahmen: die Erfahrung, was es konkret bedeutet, wenn ein EU-Kundenvertrag plötzlich DORA-Klauseln enthält, wenn ein Procurement-Fragebogen AI-Act-Anforderungen stellt oder wenn ein Lieferant keine NIS2-konformen Sicherheitsnachweise liefern kann. Diese Leitfäden sind aus genau diesen Situationen heraus entstanden – nicht aus dem Lesen von Gesetzestexten, sondern aus der Erfahrung ihrer Auswirkungen.

Hinweis

Diese Leitfäden ersetzen keine Rechtsberatung. Sie sind Orientierungsinstrumente aus der Praxis und können keine auf den Einzelfall bezogene juristische, steuerliche oder technische Beratung ersetzen. Bei konkreten Fragen zu Ihrer Situation wenden Sie sich an qualifizierte Fachleute – gerne auch an das Team von NBK Legal: www.nbklegal.online

Vorwort: Wie man diesen Leitfaden benutzt

NIS2 ist seit Oktober 2024 in nationales Recht der EU-Mitgliedstaaten umzusetzen. Für Schweizer KMU gilt sie nicht direkt. Trotzdem ist sie hochrelevant – denn sie verändert, was Ihre EU-Kunden von Ihnen verlangen.

Dieser Leitfaden arbeitet in umgekehrter Richtung: Er beginnt nicht damit, was NIS2 verlangt, sondern damit, ob Sie betroffen sind – und wenn ja, was das operativ bedeutet.

Wie dieser Leitfaden aufgebaut ist Abschnitt 1: Bin ich betroffen? (Entscheidungsbaum). Abschnitt 2: Was wird konkret von mir verlangt? Abschnitt 3: Was kann ich von EU-Kunden einfordern? Abschnitt 4: Typische Fehler. Abschnitt 5: Branchenprofile. Abschnitt 6: Verbindung zu AI Act und DORA.

1. Bin ich betroffen? – Entscheidungslogik

Der entscheidende Punkt: NIS2 gilt nicht für Sie direkt – außer Sie haben eine EU-Niederlassung oder erbringen Leistungen, die Sie formal unter das Regime stellen. Relevant wird NIS2 für Sie über Ihre EU-Kunden. Deren Pflichten werden vertraglich an Sie weitergegeben.

1.1 Der Schnelltest

❓ Haben Sie EU-Kunden, die kritische oder wichtige Dienstleistungen erbringen (Energie, Transport, Gesundheit, Finanzinfrastruktur, IT-Services, Managed Services)? JA → Weiter zu Frage 2. NEIN → NIS2 wirkt für Sie derzeit nicht relevant. Beobachten Sie, ob sich die Kundenbasis ändert.

❓ Liefern Sie IT-Leistungen, die für den Betrieb Ihrer EU-Kunden kritisch sind – also: bei Ausfall Ihrer Leistung wäre deren Betrieb erheblich gestört? JA → Sie sind wahrscheinlich in der NIS2-Lieferkette. Lesen Sie Abschnitt 2 vollständig. NEIN → Sie sind nachrangig betroffen. Grundlegende Sicherheitsnachweise werden trotzdem verlangt.

❓ Haben Sie Betriebsverantwortung oder privilegierte Zugriffsrechte bei EU-Kunden (Admin-Zugang, Monitoring, Wartung)? JA → Hohe NIS2-Exposition. Audit-Rechte, Incident-Eskalation und Subdienstleister-Kontrolle werden verlangt. NEIN → Geringere Exposition. Standardmässige Sicherheitsnachweise sind ausreichend.

Die Faustregel Je mehr Ihre Leistung für den EU-Kunden unverzichtbar ist und je mehr Zugang Sie zu seinen Systemen haben, desto umfangreicher werden die NIS2-nahen Anforderungen, die er an Sie stellt. Das ist kein Gesetz – das ist Marktmacht.

1.2 Wer ist bei Ihren EU-Kunden NIS2-pflichtig?

Um zu verstehen, was auf Sie zukommt, müssen Sie wissen, welche Ihrer EU-Kunden unter NIS2 fallen. Hier ist der Kurzcheck:

Sektor	Typische Unternehmen	NIS2-Kategorie
Energie	Strom, Gas, Öl, Fernwärme	Essential Entity
Transport	Schiene, Straßenverkehr, Luft, See	Essential Entity
Gesundheit	Spitäler, Pharma, medizinische Geräte	Essential Entity
Finanzinfrastruktur	Banken, Zahlungsinfrastrukturen (nicht alle Finanzunternehmen – DORA greift dort zuerst)	Essential Entity
IT-/Cloud-Services	Cloud-Provider, Rechenzentrumsbetreiber, CDNs, Managed Services	Essential / Important Entity
Digitale Dienste	Online-Marktplätze, Suchmaschinen, soziale Netzwerke	Important Entity
Lebensmittel	Große Hersteller und Distributoren	Important Entity
Post und Kurierdienste	Nationale Postbetreiber, große Paketdienste	Important Entity

Grössenregel NIS2 gilt grundsätzlich ab 50 Mitarbeitenden oder 10 Mio. EUR Umsatz. Für besonders kritische Sektoren (DNS, TLD, Trust Services) gibt es keine Grössenausnahme. Fragen Sie Ihren EU-Kunden direkt: 'Fallen Sie unter NIS2?' Das ist eine zumutbare Frage.

2. Was wird konkret von mir verlangt?

Dieser Abschnitt beschreibt, was NIS2-pflichtige EU-Kunden typischerweise von Schweizer Lieferanten verlangen. Diese Anforderungen kommen nicht aus dem Gesetzestext – sie kommen aus der Praxis.

2.1 Sicherheitsarchitektur – was wirklich geprüft wird

Der Begriff 'ISO 27001' taucht in fast jedem Lieferantenfragebogen auf. Aber was wird hinter diesem Label tatsächlich geprüft?

Anforderung	Was geprüft wird	Minimalnachweis, der akzeptiert wird
Risikomanagement	Gibt es eine dokumentierte Risikoanalyse? Wird sie aktualisiert?	Risikoregister mit Datum + letztem Review
Zugriffskontrollen	MFA für Admin-Zugänge? Rollenbasiertes Zugriffskonzept?	Screenshot MFA-Konfiguration + Zugriffsmatrix
Patch-Management	Wie schnell werden kritische Patches eingespielt?	Policy-Dokument mit definierten Fristen (z.B. kritisch: 72h)
Backup und Recovery	Gibt es getestete Backups? Wie lange dauert Wiederherstellung?	Backup-Policy + letztes Testprotokoll (Datum)
Netzwerksegmentierung	Sind kritische Systeme isoliert?	Architekturdiagramm auf Grobebene reicht für die meisten Kunden
Verschlüsselung	Daten in Transit und at Rest verschlüsselt?	Technische Bestätigung, welche Standards verwendet werden (TLS 1.2+, AES-256)

2.2 Incident Response – was EU-Kunden wirklich brauchen

Was die meisten KMU haben: Einen IT-Ansprechpartner, der bei Problemen erreichbar ist.

Was EU-Kunden brauchen: Einen dokumentierten Prozess, der unabhängig von einzelnen Personen funktioniert und spezifische Fristen einhält.

NIS2-Meldefristen (für EU-Kunden, nicht für Sie direkt) Early Warning: 24 Stunden nach Kenntnisnahme. Incident Notification: 72 Stunden. Final Report: 1 Monat. Diese Fristen gelten für Ihren EU-Kunden. Er muss sie einhalten – und braucht dafür Ihre Zulieferung innerhalb kürzerer Fristen.

Was Sie bereitstellen müssen, damit Ihr EU-Kunde seine Fristen einhalten kann:

Erstkommunikation: Innerhalb von 4–8 Stunden nach Kenntnisnahme. Inhalt: was ist passiert, seit wann, welche Systeme sind betroffen, welche Sofortmaßnahmen laufen.

Statusupdates: Im Takt, den der Kunde vorgibt (meist alle 12–24 Stunden).

Root Cause Analysis: Innerhalb von 2 Wochen. Ursache, Auswirkungen, Gegenmaßnahmen, Lessons Learned.

Kontaktpunkt: 24/7-Erreichbarkeit für kritische Vorfälle. Keine Ausnahme.

Was Sie jetzt tun sollten Erstellen Sie ein Incident-Response-Playbook. Zwei Seiten reichen: Eskalationskette, Kommunikationsvorlagen, Definition was ein 'schwerwiegender Vorfall' ist, und wer was wann tut. Dieses Dokument ist das Erste, was Kunden bei einem Vorfall verlangen.

2.3 Lieferkettensicherheit – Ihre Subdienstleister

NIS2-pflichtige EU-Kunden müssen die Risiken ihrer Lieferkette steuern. Das bedeutet: Sie müssen gegenüber dem Kunden nachweisen können, dass auch Ihre Subdienstleister angemessene Sicherheit bieten.

Lieferantenmatrix erstellen: Welche Subdienstleister sind an Ihrer Leistungserbringung beteiligt? Cloud, Tools, APIs, Unterauftragnehmer.

Sicherheitsnachweise einfordern: Von kritischen Subdienstleistern die gleichen Nachweise verlangen, die Ihre EU-Kunden von Ihnen verlangen.

Vertragliche Absicherung: Incident-Meldepflichten, Audit-Rechte und Subdienstleister-Offenlegungspflichten in Ihren Einkaufsverträgen verankern.

SBOM bei Software-Lieferungen: Software Bill of Materials wird zunehmend verlangt – eine Liste aller eingesetzten Komponenten inklusive Open-Source-Bibliotheken.

3. Was können Sie von EU-Kunden einfordern?

Dieser Abschnitt wird selten thematisiert. Compliance-Leitfäden behandeln Schweizer KMU als Objekte von Anforderungen. Sie sind es aber auch Subjekte – mit eigenen Rechten in der Vertragsbeziehung.

3.1 Informationen, die Sie brauchen

Was Sie brauchen	Warum Sie es verlangen dürfen	Was tun bei Verweigerung?
Bestätigung, ob der Kunde NIS2-pflichtig ist	Ohne diese Information können Sie Ihren eigenen Compliance-Aufwand nicht einschätzen	Schriftlich anfragen; Verweigerung dokumentieren
Scope der von Ihnen erwarteten Sicherheitsmaßnahmen	Pauschale 'NIS2-Konformität' ist nicht verhandelbar – konkreter Scope schon	Auf konkreten Anforderungskatalog bestehen
Definition 'schwerwiegender Vorfall' im Kontext Ihrer Leistung	Ohne gemeinsame Definition können Sie Ihre Incident-Response nicht kalibrieren	Eigene Definition vorschlagen und vertraglich festhalten
Fristen für Ihre Incident-Kommunikation	Ihre Fristen müssen zu seinen Meldefristen passen – aber kürzer sein als seine gesetzlichen Fristen	Standardvorschlag: 8h Erstkommunikation, 72h detaillierter Bericht
Umfang und Frequenz von Audit-Rechten	Unbegrenzte Audit-Rechte sind operativ nicht handhabbar	Gegenvorschlag: 1x/Jahr, 30 Tage Vorlauf, definierter Scope, Kosten beim Kunden

3.2 Vertragsklauseln: Verhandlungslinien

Sicherheitsstandards

Akzeptabel

«Der Lieferant implementiert angemessene technische und organisatorische Sicherheitsmaßnahmen entsprechend dem Stand der Technik und dem von den Parteien vereinbarten Schutzniveau gemäss Anhang X.» – Das Schlüsselwort ist 'vereinbart'. Ohne Anhang X ist die Klausel zu offen.

Problematisch

Überzogen «Der Lieferant garantiert vollständige NIS2-Konformität aller seiner Systeme und Subdienstleister.» – NIS2-Konformität ist kein definierbares Zustand für Nicht-EU-Unternehmen. Diese Klausel übernimmt unklar definierte Pflichten. Gegenvorschlag: spezifische Maßnahmen listen statt Konformität zusichern.

Audit-Klauseln

Akzeptabel

«Der Auftraggeber hat das Recht, einmal pro Jahr auf eigene Kosten mit 30 Tagen Vorlaufzeit eine Prüfung der sicherheitsrelevanten Dokumentation und Prozesse durchzuführen, beschränkt auf die in Anhang Y definierten Bereiche.»

Problematisch

«Der Auftraggeber und seine Beauftragten haben jederzeit Zugang zu allen Systemen und Daten des Lieferanten.» – 'Jederzeit' und 'alle Systeme' sind inakzeptabel. Beides schützt auch Sie – Geschäftsgeheimnisse und Datenschutz stehen dagegen.

Incident-Klauseln

Akzeptabel

«Der Lieferant informiert den Auftraggeber unverzüglich, spätestens innerhalb von 8 Stunden nach Kenntnisnahme, über Sicherheitsvorfälle, die die vereinbarten Leistungen beeinträchtigen könnten.»

Verhandelbar «Der Lieferant trägt alle Kosten, die dem Auftraggeber durch einen Vorfall entstehen, dessen Ursprung beim Lieferanten liegt.» – 'Ursprung' ist rechtlich unklar. Bestehen Sie auf: Kausalitätsnachweis erforderlich, Haftung auf direkten Schaden begrenzt, Haftungsobergrenze vereinbaren.

4. Die fünf häufigsten Fehler in der Praxis

Fehler 1: 'Wir sind zu klein für NIS2'

NIS2 gilt ab 50 Mitarbeitenden oder 10 Mio. EUR Umsatz – für den EU-Kunden. Ihre Grösse ist irrelevant. Wenn Ihr EU-Kunde NIS2-pflichtig ist und Sie ein kritischer Lieferant sind, spielt Ihre eigene Grösse keine Rolle für seine Anforderungen an Sie.

Was zu tun ist

Klären Sie für jeden EU-Kunden: Fällt er unter NIS2? Wenn ja: Bin ich ein kritischer Lieferant? Wenn beides ja: Bereiten Sie sich auf Sicherheitsfragebögen und Audit-Rechte vor.

Fehler 2: Sicherheitsnachweise ohne Datum

Viele KMU haben Sicherheitsdokumente, die seit drei Jahren nicht aktualisiert wurden. Für NIS2-pflichtige Kunden sind veraltete Nachweise schlechter als keine – sie signalisieren, dass das Thema nicht aktiv gemanagt wird.

Was zu tun ist

Alle Sicherheitsdokumente mit Datum und nächstem Review-Termin versehen. Jährliche Aktualisierung ist Minimum. Nach jedem signifikanten Vorfall oder Systemwechsel sofort aktualisieren.

Fehler 3: Incident-Response ohne Test

Ein Incident-Response-Plan existiert – aber niemand weiss, ob er funktioniert. Das merkt man erst im Ernstfall, wenn die Fristen bereits laufen. EU-Kunden fragen zunehmend nach Testprotokollen, nicht nur nach dem Plan selbst.

Was zu tun ist

Tabletop-Übung durchführen: Was tun Sie, wenn heute um 2 Uhr nachts Ihr System kompromittiert wird? Wer ruft wen an? Was kommunizieren Sie wann an den Kunden? Diese Übung deckt Lücken auf, die im Plan nicht sichtbar sind.

Fehler 4: Subdienstleister-Risiken ignorieren

Sie haben Ihre eigene Sicherheit im Griff – aber Ihr Cloud-Provider, Ihr Monitoring-Tool und Ihr Netzwerkdienstleister sind nicht berücksichtigt. Wenn ein Vorfall bei einem Ihrer Subdienstleister Ihren Kunden beeinträchtigt, sind Sie in der Erklärungspflicht.

Was zu tun ist

Lieferantenmatrix erstellen: Welche externen Dienste sind kritisch für Ihre Leistungserbringung? Für jeden kritischen Dienst: Was tun Sie, wenn dieser ausfällt oder kompromittiert wird?

Fehler 5: ISO 27001 als Ersatz für Compliance behandeln

ISO 27001 ist ein wertvoller Rahmen – aber keine NIS2-Compliance. Ein ISO-Zertifikat beantwortet nicht die Frage, wie Sie mit einem konkreten Vorfall umgehen, welche Fristen Sie einhalten und wie Ihre Lieferkette kontrolliert wird.

Was zu tun ist

ISO 27001 als Fundament nutzen, aber NIS2-spezifische Anforderungen – insbesondere Incident-Fristen und Lieferkettenkontrolle – explizit adressieren. Der Unterschied ist nicht gross, aber er ist wichtig für Kunden, die konkrete Nachweise verlangen.

5. Branchenprofile: Was bedeutet das konkret für Sie?

Profil A: Schweizer IT-Dienstleister, der deutsche Stadtwerke betreut

NIS2-Exposition	Hoch. Stadtwerke sind Essential Entities. Jeder IT-Dienstleister mit Zugriffsrechten steht unter starker Beobachtung.
Was verlangt wird	ISO 27001 oder gleichwertige Nachweise, dokumentierter Incident-Response-Prozess, Penetrationstest-Protokolle, Subdienstleister-Offenlegung
Ihre Verhandlungsposition	Gut, wenn Sie vorbereitet sind. Stadtwerke wechseln Dienstleister nicht gerne – ein strukturiertes Sicherheitskonzept macht Sie unersetzlich.
Priorität jetzt	Incident-Response-Playbook erstellen, Admin-Zugriffsmatrix dokumentieren, Backup-Testprotokoll aus den letzten 12 Monaten bereitstellen

Profil B: Schweizer Managed-Service-Provider mit EU-Kunden im Gesundheitswesen

NIS2-Exposition	Sehr hoch. Spitäler und Pharmaunternehmen sind Essential Entities. Datenschutz (DSGVO) kommt hinzu.
Was verlangt wird	24/7-Incident-Response, Business Continuity Plan mit getesteten Recovery-Zeiten, Verschlüsselungsnachweise, Zugriffsprotokollierung
Kritischer Punkt	Ausfall Ihrer Leistung kann Patientenversorgung beeinträchtigen. Das erhöht die Anforderungen und die Haftungsrisiken erheblich.
Priorität jetzt	BCP mit definierten RTO/RPO erstellen, 24/7-Eskalationspfad dokumentieren, Subdienstleister-Risikoanalyse durchführen

Profil C: Schweizer Softwareentwickler, der Logistik-Software für EU-Transportunternehmen liefert

NIS2-Exposition	Mittel bis hoch. Transportunternehmen sind Important Entities. Abhängig davon, wie tief Ihre Software in den Betrieb integriert ist.
Was verlangt wird	SBOM für Ihre Software, sichere Entwicklungspraktiken, Patch-Management-Policy, Schwachstellen-Meldeprozess
Unterschätztes Risiko	Open-Source-Komponenten in Ihrer Software können Schwachstellen einbringen. Kunden verlangen zunehmend, dass Sie diese tracken und kommunizieren.
Priorität jetzt	SBOM generieren (Tools: Syft, CycloneDX), Patch-Management-Policy erstellen, Vulnerability-Disclosure-Prozess definieren

Profil D: Schweizer Cloud-Anbieter mit EU-Kunden aus verschiedenen Sektoren

NIS2-Exposition	Hoch und breit. Cloud-Infrastruktur ist explizit als NIS2-relevante Kategorie eingestuft (Essential Entity ab bestimmter Grösse).
Was verlangt wird	Rechenzentrumsstandards, Verfügbarkeits-SLAs mit Pönalen, Audit-Rechte, Datenlokalisierung, Exit-Strategien
Chance	Schweizer Datenhaltung ist ein Differenzierungsmerkmal. Kunden aus regulierten Sektoren zahlen Prämien für Datensouveränität.
Priorität jetzt	ISO 27001 oder ISAE 3402 als Zertifizierungsbasis, Transparenzberichte für Sicherheitsvorfälle, Exit-Konzept für Kundendaten dokumentieren

6. Verbindung zu AI Act und DORA

Wenn Sie gleichzeitig unter AI Act- und/oder DORA-nahen Anforderungen stehen, lohnt es sich, die Gemeinsamkeiten zu nutzen.

Thema	NIS2	AI Act	DORA
Risikomanagement	Risikoanalyse Infrastruktur	Risikoklassifizierung KI	ICT-Risikomanagement
Incident Response	24h/72h/1 Monat Fristen	Meldung schwerwiegender Vorfälle	Mehrstufiges ICT-Incident-Reporting
Lieferkette	Subdienstleister-Sicherheit	KI-Lieferketten-Compliance	Drittanbieter-Management
Dokumentation	Sicherheitsarchitektur-Nachweis	AI System Card	Resilienz-Konzept
Überschneidung	Logging und Monitoring	Logging-Anforderungen	Alle drei verlangen strukturierte Incident-Response und Logging

Empfehlung für Mehrfach-Betroffene Ein gemeinsames Master-Security-Dokument (angelehnt an ISO 27001 Annex A) deckt den Großteil der Anforderungen aus allen drei Regimen ab. Ergänzen Sie es mit einem NIS2-Abschnitt (Incident-Fristen), einem AI-Act-Abschnitt (Risikoklassifizierung) und einem DORA-Abschnitt (BCM/DR), um auf alle drei Anfragen mit demselben Grunddokument antworten zu können.

7. Was Sie jetzt tun – priorisiert

Prio	Maßnahme	Warum jetzt
1	Für jeden EU-Kunden klären: Fällt er unter NIS2?	Ohne diese Grundlage können Sie Ihren eigenen Aufwand nicht einschätzen. Einfach fragen.
2	Incident-Response-Playbook erstellen (2 Seiten reichen)	Das ist das meistgefragte Dokument bei NIS2-Audits. Ohne es sind Sie nicht auskunftsfähig.
3	Sicherheitsdokumente mit Datum und Review-Termin versehen	Veraltete Dokumente sind schlechter als keine. Datum sichtbar machen.
4	Lieferantenmatrix für kritische Subdienstleister erstellen	EU-Kunden verlangen Subdienstleister-Transparenz. Ohne Matrix können Sie nicht antworten.
5	Tabletop-Übung für Incident-Response durchführen	Zeigt Lücken auf, die im Plan nicht sichtbar sind. Aufwand: 2 Stunden.
6	Proaktives Sicherheitskonzept an Top-EU-Kunden kommunizieren	Verhindert, dass Sie von Kunden-Fragebögen überrascht werden.

Hinweis

Dieser Leitfaden ersetzt keine Rechtsberatung. Er ist ein Orientierungsinstrument aus der Praxis. Bei konkreten Fragen wenden Sie sich an nbklegal.online.

Kontakt & weitere Informationen

NBK Legal Rechts- und Compliance-Beratung EU-Digitalregulierung · Datenschutz · Cybersicherheit Schweiz · EU	Website www.nbklegal.online Alle Leitfäden der Serie www.nbklegal.online/leitfäden

Weiter vertiefen

Self-Check Self-Check NIS2 Prüfen Sie Ihre NIS2-Readiness in 10 Minuten. Lesen → Fallstudie Fallstudie DORA NIS2 und DORA im Zusammenspiel – ein Praxisfall. Lesen → Deep Dive Deep Dive: NIS2-Umsetzung Technische Tiefe zu NIS2-Sicherheitsanforderungen. Lesen →