Aktuelles

Kuratierte Liste der wichtigen Änderungen an Plattform, Kurs und Compliance-Dokumenten. Keine vollständige Commit-Historie - nur was für Nutzer, Käufer und Auditoren relevant ist.

Juni 2026

·Produkt
Neue Partnerseite mit NVIDIA-Inception-Mitgliedschaft

Es gibt jetzt eine oeffentliche Partnerseite, die unsere Mitgliedschaft im NVIDIA-Inception-Programm zeigt.

Partner

·Produkt
Gefuehrter Pfad ist jetzt die Standardansicht der Umsetzung

Die Umsetzung laeuft jetzt ueber einen gefuehrten Pfad: Anforderungen in sinnvoller Reihenfolge, Swimlanes je Rolle, Freigabefortschritt (N von M Unterschriften) und der jaehrliche Pruefzyklus mit faelligen und ueberfaelligen Aufgaben. Diese Ansicht ist fuer alle Konten voreingestellt.

Umsetzung starten

·Regulierung
Wiki korrigiert: CIR 2024/2690 Anhang auf die offiziellen 13 Punkte

Die Darstellung der technischen Massnahmen nach CIR 2024/2690 im Wiki folgt jetzt der offiziellen Anhangsstruktur mit 13 Punkten. Mehrfaktorauthentisierung steht als Punkt 11.7 unter Zugangskontrolle, nicht als eigener Bereich.

·Kurs
CRA-Kurs: Rechtszitate korrigiert, alle zehn Sprachfassungen angeglichen

Im Kurs zum Cyber Resilience Act wurden die Rechtszitate korrigiert und alle zehn Sprachfassungen auf denselben inhaltlichen Stand gebracht.

·Regulierung
Zeitleiste: grundlegende Umsetzungsereignisse fuer 13 weitere Mitgliedstaaten

Die NIS-2-Zeitleiste enthaelt jetzt grundlegende Umsetzungsereignisse, etwa Gesetz in Kraft und Registrierungsfrist, fuer 13 weitere EU-Mitgliedstaaten mit Drilldown pro Land.

Zeitleiste

·Inhalt
Die gesamte Website jetzt in zehn Sprachen

Plattform, Wiki und Kursinhalte sind jetzt in zehn Sprachen verfuegbar: Deutsch, Englisch, Niederlaendisch, Franzoesisch, Italienisch, Spanisch, Polnisch, Tschechisch, Portugiesisch und Rumaenisch.

·Inhalt
NIS-2-FAQ im Wiki: 98 Fragen und Antworten

Eine neue FAQ-Sammlung im Wiki beantwortet 98 Fragen zu NIS 2, in der Struktur der offiziellen BSI-NIS-2-FAQ. Verfuegbar in Deutsch, Englisch und Niederlaendisch.

·Produkt
Startseite verschlankt, /start als gefuehrte Umsetzungsseite

Die Startseite wurde verschlankt und EU-zuerst formuliert, mit NIS 2 und CIR 2024/2690 vor den nationalen Umsetzungen. Die Seite /start ist jetzt ein ruhiger, gefuehrter Einstieg in die Umsetzung statt eines Buchungsformulars.

Zur Startseite

·Compliance
TOMs ergaenzt: personelle Massnahmen und Verfuegbarkeitsueberwachung

Das Dokument der technischen und organisatorischen Massnahmen wurde um personelle Massnahmen und die Ueberwachung der Verfuegbarkeit erweitert.

TOMs

·Regulierung
Zeitleiste: Kooperationsgruppe-Meldevorlagen, ENISA-Publikationen, Portugal-Portal

Sechs neue Eintraege in der NIS-2-Zeitleiste: die NIS-Kooperationsgruppe hat einheitliche Meldevorlagen nach Artikel 23 vereinbart, dazu drei ENISA-Veroeffentlichungen (EUCC-Kryptoverfahren v3, Kompetenzanforderungen fuer CRA-Pruefstellen, SBOM Adoption 2026), die Stellungnahme der AG KRITIS zur Kritisverordnung und Ungarns nationale Pruefungsfrist zum 30. Juni 2026 (keine EU-weite Frist). Bei den Registrierungsportalen ist Portugals MyCiber jetzt aktiv.

Zeitleiste

·Kurs
Kurszertifikat neu gestaltet: Deckblatt, Curriculum-Anhang, verifizierte E-Mail

Das Abschlusszertifikat des NIS-2-Geschaeftsfuehrerkurses wurde ueberarbeitet: ein Deckblatt mit nach Modulen gruppiertem Curriculum-Anhang. Als Identifikator erscheint jetzt die verifizierte E-Mail-Adresse statt eines Firmennamens.

NIS-2-Kurs

·Produkt
Strukturanalyse: eine Checkliste, Zustand in der URL, teilbarer Link

Das Strukturanalyse-Tool wurde zu einer einzigen grossen Checkliste umgebaut. Der gesamte Zustand liegt im URL-Hash, sodass sich eine Aufstellung per Link teilen laesst. Es werden keine Daten gespeichert.

Strukturanalyse

·Regulierung
Zeitleiste: Cyber Europe 2026, BSI-Magazin 2026/01, LU-Registrierungsfrist

Zwei neue Eintraege in der NIS-2-Zeitleiste: Cyber Europe 2026 (ENISA, 10.-11. Juni, erster EU-weiter Test des EU Cyber Blueprint mit Schiene und Seeverkehr als Szenario) und das BSI-Magazin 2026/01 vom 11. Juni mit Titelthema NIS-2 und BSIG. Bei den Registrierungsportalen ergaenzt: Luxemburg hat ueber das Gesetz vom 5. Mai 2026 eine zweimonatige Selbstregistrierungsfrist, die am 10. Juli 2026 endet.

Zeitleiste

·Produkt
Strukturanalyse Schritt 1: Sektorauswahl und Informationsverbund

Neues oeffentliches Werkzeug unter /strukturanalyse: drei universelle Schritte fuehren von Sektorauswahl zur ersten Beschreibung des Informationsverbunds nach BSI-200-2. Ergaenzt die Risikobewertung und liefert die Grundlage fuer spaetere Asset- und Schutzbedarfslagen.

Strukturanalyse

·Produkt
Schutzbedarfsfeststellung als Self-Service-Werkzeug

Neues Werkzeug unter /risikobewertung: Schutzbedarfsfeststellung nach BSI-200-2 mit Trennung von Schutzbedarf und Absicherungsvariante (Basis, Standard, Kern), Schadensszenarien pro Grundwert, Radar-Visualisierung und PDF-Export. Eingaben sind faktisch (Branche, Datenarten, Abhaengigkeiten); die Einstufung in eine Absicherungsvariante erfolgt serverseitig.

Risikobewertung

·Inhalt
Startseite gestrafft, /pitch und /mission in /about gebuendelt, eigene Vorschaubilder pro Landingpage

Aufraeumarbeiten an den oeffentlichen Marketing-Seiten: Hero-Bereich der Startseite gestrafft (Furcht-Zeile entfernt, NIS2 farblich akzentuiert), /pitch und /mission auf /about gebuendelt mit Weiterleitungen, gemeinsamer MarketingHero auf sechs Landingseiten und 41 eigene Open-Graph-Vorschaubilder fuer die wichtigsten Routen.

Ueber uns

·Produkt
sicherheitsfragebogen.de als eigene Landingpage fuer den Lieferanten-Fragebogen

Neue Landingpage unter /sicherheitsfragebogen mit eigener Domain (sicherheitsfragebogen.de). Spiegelt vier Sektionen und 59 Fragen aus dem Schema, zeigt drei Beispielfragen live aus dem Datenformat und fuehrt zur Anmeldung und zum eingeloggten Lieferantenportal auf nisd2.eu.

Sicherheitsfragebogen

·Inhalt
Wiki: §30 BSIG live, EU-Tracker veroeffentlicht, Lieferantenportal-Felder ergaenzt

Neue Wiki-Seite zu §30 BSIG (Risikomanagementmassnahmen) mit Bezug zur EU-Implementierungsverordnung 2024/2690. Der 27-Laender-EU-Umsetzungstracker ist jetzt sichtbar. Im Lieferantenportal wurden 34 fehlende Felder ergaenzt sowie eine separate Service-Type-Unterseite hinzugefuegt.

§30 BSIGEU-Tracker

·Produkt
Admin-gefuehrte Gap-Assessments mit passwortgeschuetzten Share-Links

Die Plattform-Administration kann jetzt Gap-Assessments fuer Kunden anlegen und ueber einen passwortgeschuetzten Share-Link teilen. Ergaenzt das Self-Service-Gap-Tool um einen begleiteten Pfad fuer Workshops und Erstgespraeche.

Gap-Assessment

·Compliance
open-isms unter AGPL-3.0 oeffentlich auf GitHub

Die komplette Plattform liegt jetzt als Open Source auf github.com/NISD2/open-isms (AGPL-3.0). Acht Pakete sind in eine Workspace-Struktur extrahiert (Schemata, UI, tRPC, Trainings- und Inhaltspakete) inklusive Referenz-App mit docker-compose. Die Lizenzwahl entkoppelt Compliance-Workloads von der Hostingseite und macht jede Aenderung am Standard nachpruefbar.

Open Source

·Compliance
Sicherheits- und Audit-Haertungspass am Repository

Begleitend zum OSS-Flip ein konzentrierter Haertungspass: Authentifizierung, Session-Revocation, Audit-Logging, Cron-Authentifizierung und Sekret-Scanning in der CI verbessert. Im Juni wurden zudem sieben Sicherheitsupdates fuer Abhaengigkeiten via Dependabot eingespielt.

·Inhalt
EU-Umsetzungstracker, 10 Laenderseiten, NIS 2 vs DSGVO im CEO-Kurs

Mehrere zusammenhaengende Aenderungen: zehn neue Vertiefungen pro Land (IT, ES, BE, SE, FI, DK, IE, PT, PL, CZ) und ein 27-Laender-EU-Umsetzungstracker unter /wiki/zeit-und-status. Fakten gegen Primaerquellen abgeglichen (retsinformation.dk, finlex.fi, ISAP Sejm, NÚKIB, samsik.dk) und Datenkorrekturen ueber Registrierungsportale und Anwendbarkeitspruefung ausgerollt. Zwei neue Grundlagenseiten (NIS 2 in fuenf Minuten fuer die Geschaeftsleitung, NIS 2 vs NIS 1) und ein neuer Abschnitt Datenschutz vs Datensicherheit im CEO-Kurs (Lektion 1.1) plus paralleler Meldetakt nach Artikel 33 DSGVO in Lektion 3.9. Wiki-Hub neu gestaltet, Wiki-Layout an die Navigationsbreite angeglichen, Suche zeigt keine geplanten Seiten mehr.

TrackerCEO-KursAnwendbarkeitspruefung

Mai 2026

·Regulierung
Zeitleiste: ENISA NIS360 2026 und neuer KRITIS-Verordnungsentwurf

Zwei neue Ereignisse in der NIS-2-Zeitleiste: ENISA hat am 28.05.2026 die dritte Ausgabe des NIS360-Berichts zur Reife- und Kritikalitaetsbewertung aller Annex-I-Sektoren veroeffentlicht. Acht Sektoren liegen in der Risikozone (u. a. Gesundheit, Schifffahrt, oeffentliche Verwaltung). Zusaetzlich legte das BMI am 26.05.2026 den Referentenentwurf der neuen Verordnung zur Bestimmung kritischer Anlagen vor (Konsultationsfrist 16.06.2026).

Zeitleiste

·Produkt
Lieferanten-Fragebogen als oeffentliche Seite mit PDF/DOCX-Download

Der NIS-2-Lieferantenfragebogen ist jetzt als oeffentliche Seite unter /nis2-lieferanten-fragebogen verfuegbar. Er laesst sich als PDF oder DOCX herunterladen und an Lieferanten weiterleiten, ohne dass eine Anmeldung noetig ist. Ergaenzt die Lieferketten-Inhaltsseite und das eingeloggte Lieferantenportal.

Fragebogen

·Produkt
Anmeldung: bekannte Wegwerf-E-Mail-Domains werden blockiert

Registrierungen mit bekannten Wegwerf-E-Mail-Domains werden bei der Anmeldung still abgelehnt. Die Domain-Liste wird aus einer oeffentlichen Quelle gepflegt; ergaenzend gibt es eine lokale Override-Datei fuer Faelle, die die externe Liste noch nicht erfasst. Massnahme zur Sauberkeit der Nutzerbasis, keine Auswirkung auf bestehende Konten.

Anmeldung

·Inhalt
Info-Seiten: Faktencheck und stilistische Bereinigung

Inhaltliche Korrekturen auf den oeffentlichen Info-Seiten nach einem Footer-Faktencheck und eine durchgehende Em-Dash-Bereinigung in den DE- und EN-Texten. Reine Lesbarkeits- und Genauigkeitsarbeit, keine neuen Aussagen.

·Regulierung
Zeitleiste und nationale Registrierungsportale aktualisiert

Aktualisierung der Eintraege fuer die niederlaendische Cyberbeveiligingswet (Eerste Kamer-Phase), das luxemburgische NIS-2-Gesetz vom 5. Mai 2026 und die Verweisung von 7 Mitgliedstaaten an den EuGH wegen fehlender CER-Umsetzung. Portalliste auf den jeweils verifizierten Stand gebracht.

Zeitleiste

·Produkt
Preisseite in der oeffentlichen Navigation

Die Preisseite ist jetzt direkt aus der oeffentlichen Navigationsleiste erreichbar, nachdem sie zuvor nur ueber Footer und interne Links verlinkt war.

Preise

·Produkt
Preise: Kostenlos + 10k einmalig (Sovereign)

Die Preisseite ist live. Zwei Optionen: die Plattform bleibt kostenlos und Open Source, und es gibt einen einmaligen Sovereign-Tarif zu 10.000 EUR für Organisationen, die eine lebenslange selbst-gehostete Lizenz mit Source-Übergabe brauchen. Vergleichstabellen und künstliche Stufen wurden bewusst weggelassen.

Preise

·Produkt
Portal-UI: Seitensheets, sticky Header, Politur

Im eingeloggten Portal sind Routinedialoge (Risiko-Skala, Asset-Verknüpfungen, Lieferantenanforderung) jetzt Seitensheets statt modaler Fenster. Header bleiben beim Scrollen sichtbar, Karten und Tabellen haben dezente Schatten und Bewegung, Formulare wurden geschliffen. Ein Bug, der in Breadcrumbs den literalen [categorySlug] zeigte, ist behoben.

·Compliance
CEO-Kurs als CTA auf Management-Schulungspflichten verlinkt

Auf Compliance-Anforderungen, die eine Geschäftsleitungs-Schulung verlangen (z. B. §38(3) BSIG, NIS 2 Art 20), erscheint jetzt ein direkter Verweis auf den kostenlosen CEO-Kurs als sofort verfügbare Lösung.

Zum Kurs

·Produkt
Neue Vertrauensseiten: /vertrauen, /sicherheit, /status, /subprozessoren

Vier neue öffentliche Seiten geben Auskunft über Sicherheitsposture, Systemstatus, eingesetzte Unterauftragsverarbeiter und das Vertrauensmodell der Plattform. Die Status-Seite verzichtet bewusst auf erfundene Uptime-Zahlen und beschreibt stattdessen die tatsächliche Betriebsrealität. Zusätzlich wurde eine security.txt unter /.well-known/security.txt hinterlegt.

VertrauenSicherheitStatusUnterauftragsverarbeiter

·Produkt
ISO 27001 im Open-Source-Datenmodell @nisd2/grc-data-model

Das öffentliche GRC-Datenmodell-Paket enthält jetzt die sechs verpflichtenden ISMS-Klauseln (4-10) und Annex A in Form strukturierter Anforderungen, dazu sieben Erfüllungs-Paare zu NIS 2 und GDPR. Damit kann das Modell als gemeinsame Grundlage für Mehr-Framework-Compliance dienen.

GitHub

·Regulierung
AI-Act-Art-6-Leitlinien (Entwurf) und BKA-Lagebild Cybercrime 2025 in der Timeline

Zwei neue Einträge in der Regulierungs-Timeline. Am 19. Mai 2026 hat die EU-Kommission den Entwurf der Leitlinien zur Hochrisiko-Einstufung nach Art 6 KI-Verordnung veröffentlicht; die Konsultation läuft bis 23. Juni 2026, und die Leitlinien klären u.a., dass die Hochrisiko-Einstufung für Kritische Infrastrukturen über eine CER-Benennung (Richtlinie 2022/2557) ausgelöst wird, nicht über den NIS-2-Status. Ebenfalls aufgenommen wurde das BMI/BKA-Bundeslagebild Cybercrime 2025 vom 12. Mai 2026 mit rund 335.000 Fällen und 202,4 Mrd. Euro Schaden als politische Kulisse für die einsetzende NIS-2-Prüfphase.

Timeline

·Regulierung
Drei Ergänzungen der Regulierungs-Timeline (Mai 2026)

Drei neue Einträge in der Regulierungs-Timeline. Am 13. Mai 2026 wurde die BSI-Mecklenburg-Vorpommern-Kooperationsvereinbarung aufgenommen. Damit kooperiert das BSI mit zwölf Bundesländern. Die BSI-Handreichung v1.0 zur Geschäftsleitungs-Schulung nach §38(3) BSIG (veröffentlicht 17. April 2026) wurde nachgepflegt; sie definiert die Erwartungen der Aufsicht an Schulungsorganisation, Inhalte und Selbst-Check. Am 19. Mai 2026 hat der niederländische Senat (Eerste Kamer) die schriftliche Inbreng-Phase zur Cyberbeveiligingswet eröffnet.

Timeline

·Kurs
Neuer kostenloser Kurs: NIS 2 Tabletop-Übung (DE + EN, 8 Lektionen)

Eine 8-lektionige Tabletop-Übung für Geschäftsleitungen, die im Krisenfall typische NIS-2-Entscheidungen durchspielt: Ransomware-Eintritt, Kundenbenachrichtigung nach §35 BSIG, 24-Stunden-Frühmeldung, Lieferketten-Auswirkungen und Wiederanlauf. Verfügbar in Deutsch und Englisch.

Zum Kurs

·Kurs
Neuer Kurs: Cyber Resilience Act und Software Bill of Materials

Ein neuer kostenloser Kurs zur Cyber Resilience Act (CRA) Verordnung 2024/2847 mit Fokus auf Software Bill of Materials (SBOM): Anforderungen, Formate (SPDX, CycloneDX) und Pflichten für Hersteller digitaler Produkte. Gleichzeitig wurde die Kurs-Übersicht um einen Kurs-Wechsler erweitert, sodass mehrere Kurse nebeneinander zugänglich sind.

Zum Kurs

·Inhalt
Öffentlicher GRC-Plattform-Vergleich unter /grc-vergleich

Eine neue öffentliche Seite vergleicht 145 GRC/ISMS-Plattformen für den europäischen Markt: Preis, Kategorie (KMU, Mid-Market, Enterprise), regionale Verfügbarkeit, Open-Source-Status und Datenexport-Portabilität. Die Datenbasis ist eine sechswöchige Marktrecherche; jeder Eintrag verlinkt zur Anbieter-Seite, sodass Angaben nachprüfbar bleiben.

GRC-Vergleich

·Produkt
CIR 2024/2690 Annex-Verweise pro NIS-2-Anforderung sichtbar

Jede NIS-2-Anforderung im Compliance-Portal trägt jetzt einen strukturierten Verweis auf die einschlägige Annex-Passage der EU-Durchführungsverordnung 2024/2690 (CIR). Auditor:innen und Compliance-Berater:innen können damit direkt zwischen Anforderung und EU-Rechtsquelle navigieren.

·Regulierung
Drei BSI-Publikationen aus den letzten 7 Tagen in der Timeline ergänzt

Drei neue Einträge in der Regulierungs-Timeline. Am 7. Mai 2026 veröffentlichten BSI und Bundesministerium für Verkehr den ersten gemeinsamen Bericht zur IT-Sicherheit öffentlicher Ladeinfrastruktur, an der Schnittstelle der NIS-2-Sektoren Verkehr und Energie. Am 11. Mai erschien der BSI-Cybersicherheitsmonitor 2026 mit Verbraucher-Umfragedaten. Am 12. Mai veröffentlichten BSI und Italiens ACN gemeinsam die G7-Mindestleitlinie "SBOM for AI", direkt einschlägig für die NIS-2-Lieferkettenpflicht nach Art. 21(2)(d) und für den AI-Act-Compliance-Pfad.

Timeline

·Produkt
Tägliche Erinnerungs-Mails für den CEO-Kurs mit Abmelde-Link in allen Mails

Lernende des kostenlosen CEO-Kurses erhalten jetzt eine tägliche, gebündelte Erinnerung an offene Lektionen mit jeweils einer kurzen Verständnisfrage. Die Erinnerungs-Serie lässt sich pro Kurs abbestellen; separate Opt-outs gelten für die täglichen Deadline-Mails und für den wöchentlichen Compliance-Digest. Jede transaktionale Mail enthält ab sofort einen sichtbaren Abmelde-Link.

CEO-Kurs

·Regulierung
Luxemburg setzt NIS 2 um; Kommission verklagt sieben Staaten wegen CER-Versäumnis

Zwei Ergänzungen der Regulierungs-Timeline. Luxemburg hat NIS 2 mit dem Gesetz vom 5. Mai 2026 umgesetzt, in Kraft seit 10. Mai 2026; das ILR-Registrierungsportal ist live. Am 29. April 2026 hat die Europäische Kommission Bulgarien, Frankreich, Luxemburg, die Niederlande, Polen, Spanien und Schweden beim EuGH wegen fehlender CER-Umsetzung verklagt und finanzielle Sanktionen beantragt. Erste größere EuGH-Durchsetzung im CER/NIS-2-Paket.

TimelineUmsetzung Europa

·Inhalt
Einrichtungstypen: konsistent auf EU-Richtlinien-Terminologie umgestellt

Die NIS-2-Inhaltsseiten verwenden jetzt durchgängig die EU-Richtlinien-Terminologie ("wesentliche Einrichtungen", "wichtige Einrichtungen") statt der BSIG-Variante ("besonders wichtige Einrichtungen"). Damit sind die deutschen, englischen ("essential entities") und niederländischen ("essentiële entiteiten") Fassungen konsistent. Der BSIG-Begriff bleibt als Vergleichsangabe im Glossar und in der EU-vs-BSIG-Terminologie-Tabelle erhalten.

Einrichtungstypen

·Produkt
Sign-Off-Propagierung: transitive Anrechnung über vier EU-Rahmenwerke

Wer eine Anforderung abzeichnet, erhält jetzt automatisch Gutschrift für jede verknüpfte Anforderung in NIS 2, DSGVO, EU AI Act und Cyber Resilience Act, deren Nachweis dasselbe zugrunde liegende Artefakt teilt (gleiche Vorfallakte, gleiches Lieferantenregister, gleiche Risikomethodik). 16 Pärchen sind als 'gleichwertig' markiert und ketten sich transitiv; 22 als 'überlappend' geben Gutschrift nur einen Schritt weiter.

·Produkt
EU AI Act und Cyber Resilience Act jetzt in der Plattform abgedeckt

Das Compliance-Portal deckt jetzt vier EU-Rahmenwerke ab: NIS 2, DSGVO, EU AI Act (10 Kategorien, 24 Anforderungen verankert in Verordnung 2024/1689) und EU Cyber Resilience Act (10 Kategorien, 21 Anforderungen verankert in Verordnung 2024/2847). 27 Cross-Framework-Satisfaction-Pairs verknüpfen verwandte Pflichten, sodass ein einzelner Sign-Off mehrere Regime gleichzeitig erfüllen kann.

·Regulierung
AI Act Digital Omnibus: Rat und Parlament erzielen politische Einigung

Am 7. Mai 2026 haben der Rat der EU und das Europäische Parlament eine vorläufige politische Einigung zum AI Act Digital Omnibus erzielt. Annex III-Hochrisiko-Pflichten werden auf den 2. Dezember 2027 verschoben, Annex I-eingebettete Hochrisiko-Pflichten auf den 2. August 2028, Wasserzeichen-Pflicht nach Art 50(2) auf den 2. Dezember 2026. Neues Verbot in Art 5 für KI zur Erzeugung nicht-einvernehmlicher intimer Aufnahmen und Material zum sexuellen Missbrauch von Kindern. Aufgenommen in unsere Regulierungs-Timeline.

Timeline

·Inhalt
NIS-2-Meldepflicht: vollständige Art 23-Meldekette in fünf Stufen

Die öffentliche /nis2-meldepflicht-Seite dokumentiert jetzt die vollständige Art 23-NIS-2-Meldekette in fünf Stufen: 24-Stunden-Frühwarnung, 72-Stunden-Vorfallsmeldung, Zwischenbericht auf Anforderung, Abschlussbericht innerhalb eines Monats und Fortschrittsbericht (falls Vorfall noch andauert). Jede Stufe verweist auf den entsprechenden Richtlinien-Artikel.

NIS 2 Meldepflicht

·Produkt
Lokalisierte URLs und hreflang für deutsche und englische Inhalte

Öffentliche Informationsseiten verwenden jetzt locale-spezifische Pfade über die pathnames-Funktion von next-intl. Sitemap und hreflang-Header werden automatisch ausgegeben, damit Suchmaschinen die korrekte URL pro Sprache indexieren. Keine Aktion seitens bestehender Nutzer erforderlich.

·Regulierung
BSI startet CyberGovSecure: NIS-2-Umsetzung in der Bundesverwaltung

Am 4. Mai 2026 haben das BSI, CISO Bund und das Bundesministerium für Digitales und Staatsmodernisierung CyberGovSecure gestartet: der ressortübergreifende Rahmen zur Umsetzung der NIS-2-Cybersicherheitsmaßnahmen in allen Bundesbehörden. Aufgenommen in unsere Regulierungs-Timeline.

Timeline

·Produkt·grc-data-model-0.4.0
@nisd2/grc-data-model 0.4.0: bilaterale Asset×Lieferant-Tabelle ins OSS-Paket

Die `asset_supplier_offering`-Tabelle und der `asset_service_type`-Enum (saas / on_prem / pro_services / managed) leben jetzt im OSS-Paket neben `asset` und `supplier`. Vorher lagen sie im App-Repo, obwohl sie auf zwei Paket-Tabellen referenzierten. Reine Code-Verlagerung, kein Datenmigrations-Diff.

GitHub: grc-data-model

·Inhalt
NIS 2 Dokumente: Pflicht-Liste nach Richtlinie + CIR 2024/2690

Neue Referenzseite unter /nis2-documents listet die Dokumente und Aufzeichnungen, die NIS 2 (Richtlinie 2022/2555) und die Durchführungsverordnung 2024/2690 verlangen, mit Artikel-Verweis, CIR-Annex-Abschnitt und dem konkreten Plattform-Modul, das das Dokument als Live-Daten pflegt. 42 Dokumente in 14 Themenbereichen.

NIS 2 Dokumente

·Produkt
@nisd2/grc-data-model: NIS 2 + GDPR Datenmodell als Open Source

Die GRC-Datenbasis (49 NIS 2-Anforderungen, 7 GDPR-Anforderungen, 11 Cross-Framework-Pairs, Drizzle-Schemas für Lieferanten / Assets / Risiken / Vorfälle) ist jetzt als eigenständiges, MIT-lizenziertes Paket auf GitHub und npm verfügbar. REFERENCE.md gibt jeden Eintrag, jede Verknüpfung und jedes Mapping in einem Dokument wieder. Die Plattform selbst nutzt dasselbe Paket.

Open SourceGitHub: grc-data-model

·Produkt
GDPR im Portal: einmal unterschreiben, beide Regime erfüllt

Die Plattform deckt jetzt GDPR neben NIS 2 ab. 11 GDPR↔NIS 2-Satisfaction-Pairs sind verknüpft: ein Sign-Off auf eine NIS 2-Anforderung schließt automatisch die überlappende GDPR-Anforderung ab (oder umgekehrt). GDPR-Sidebar-Gruppen, Art. 28-Felder bei Lieferant / Asset / Vorfall und seed-Daten zum Onboarding sind enthalten.

·Inhalt
Seitentitel ohne Marken-Suffix; llms.txt für LLM-Crawler

Fünf häufig gefundene Seiten (Bußgelder, Meldepflicht, Registrierung, Registrierung verpasst, NIS 2 in Deutschland) wurden mit präziseren Titeln versehen, ohne Marken-Suffix. Neu: /llms.txt mit Liste der zentralen Inhalte für LLM-Crawler, ergänzt durch Article-/Breadcrumb-/FAQ-JSON-LD auf Schlüsselseiten.

/llms.txt

·Produkt
Sprachumschalter im Schulungsportal repariert

Der Sprachumschalter im Schulungsportal hat unter bestimmten Routen die Locale nicht mehr persistiert. Behoben.

April 2026

·Kurs
Kursübersicht ohne Anmeldung einsehbar

Neue öffentliche Seite /training/nis2-ceo/outline zeigt alle 47 Lektionen mit Modulstruktur und Zeitschätzungen - ohne Account oder OAuth. Im Sitemap für beide Sprachen indexiert.

Kursübersicht

·Inhalt
NIS2 in 5 Schritten: Roadmap für Geschäftsführer

Neue Einseiter unter /5-schritte (DE) und /5-steps (EN): die fünf NIS2-Pflichten, die ein Geschäftsführer persönlich nicht delegieren kann, in einer Reihenfolge. Schritt 4 verlinkt direkt die Gap-Analyse.

5 Schritte

·Inhalt
Applicability-Check verweist jetzt auf nationale Behörden

Die Selbsteinschätzung wurde durch direkte Verweise auf die zuständigen nationalen Behörden für DE, AT, BE, FR, IT und NL ersetzt. Wir entscheiden nicht mehr, ob ein Unternehmen unter NIS2 fällt - das beantwortet nur die Behörde verbindlich.

Anwendbarkeit prüfen

·Produkt
Routine-Security-Review: Härtung über mehrere Endpunkte

Interner Security-Review durchlaufen. Härtungen an authentifizierten Endpunkten, am Account-Anlegen-Flow und an Inhalts-Loadern. Kein Handlungsbedarf für Kunden.

·Produkt
Öffentliche /status-Seite mit Vorfallshistorie

Neue Seite /status zeigt Plattform-Status und vergangene Vorfälle öffentlich an.

Status

·Produkt
security.txt veröffentlicht (RFC 9116)

Standard-Disclosure-Endpunkt unter /.well-known/security.txt für Sicherheitsforschende: Kontakt, bevorzugte Sprachen, kanonische URL, Ablaufdatum.

security.txt

·Produkt
Open-Source-Repositories veröffentlicht: Gap-Analyse + Lieferantenfragebogen

Zwei Repositories unter github.com/NISD2: nis2-gap-assessment-schema (116 Fragen, 15 Domänen, Zod-Schema mit Scoring-Logik) und nis2-supply-chain-questionnaire-schema (56 Felder, 6 Sektionen). Dual-lizenziert (MIT für Code, CC BY 4.0 für Inhalte). Jede Frage und jedes Feld ist an eine konkrete Rechtsquelle verankert.

Open-Source-Übersicht

·Inhalt
Öffentliches Changelog veröffentlicht

Neue Seite /changelog dokumentiert sichtbare Änderungen an Plattform, Kurs und Compliance-Dokumenten - kuratiert, nicht jeder Commit. Filterbar nach Kategorie (Produkt, Inhalt, Kurs, Compliance, Regulierung) mit monatlichen Überschriften.

Changelog

·Inhalt
Bußgeld-Hinweis: 2 % vom weltweiten Konzernumsatz als Alternative

Landingpage zeigt jetzt die vollständige NIS2-Bußgeldobergrenze: bis zu 10 Mio. € oder 2 % des weltweiten Konzernumsatzes - je nachdem, was höher ist. Vorher war nur die 10-Mio.-€-Zahl genannt.

·Compliance·compliance-docs-v1
AVV (Art. 28 DSGVO) und TOMs (Art. 32 DSGVO) veröffentlicht

Neue öffentliche Dokumente unter /avv und /toms. Audit-Log erfasst jetzt IP-Adresse und User-Agent bei jeder authentifizierten Mutation. AWS S3 setzt AES256-Server-Side-Encryption explizit bei jedem Upload. Dependabot ist aktiviert. Impressum erweitert um EUID, § 18 Abs. 2 MStV-Verantwortlichkeit und EU-Streitschlichtung.

AVV anzeigenTOMs anzeigen

·Inhalt
Team-Seite mit Fotos, Biografien und Verantwortlichkeiten

Eigene /about-Seite mit Geschäftsführer Simon Orzel und COO Cory Sales. Klare Verantwortlichkeiten und Hintergründe - sichtbar in der Top-Navigation.

Über uns

·Kurs
Niederländische Version des CEO-Kurses

Der NIS2-CEO-Kurs steht jetzt zusätzlich auf Niederländisch zur Verfügung - vollständige Übersetzung aller 47 Lektionen.

Schulungsportal

·Kurs
Deutsche Übersetzungen: 329 Begriffe + 47 Lektionstitel + 45 Quizze

Vollständige deutsche Lokalisierung des CEO-Kurses: 329 Wörterbuch-Begriffe, 47 Lektionstitel, 45 Quizze - mit korrekten Umlauten, BSIG-Terminologie und Artikelformat.

·Produkt
NIS2 Gap-Analyse: 116 Fragen, 15 Domänen, 5-Tage-Struktur

Öffentliche NIS2 Gap-Analyse mit 116 strukturierten Fragen über 15 Domänen, ausgelegt für eine 5-Tage-Bearbeitung. PDF-Export der Ergebnisse verfügbar.

Gap-Analyse

·Regulierung
Niederlande verabschieden NIS2 + ENISA NCAF 2.0

Niederländische NIS2-Umsetzung getrackt im /nis2-timeline. Außerdem: ENISA NCAF 2.0 Update und Status der NL-Registrierungsportals aktualisiert.

Zeitleiste

·Inhalt
Nationale NIS2-Registrierungsportale aller EU-Mitgliedstaaten

Konsolidierte Übersicht über alle nationalen NIS2-Registrierungsportale in der EU mit Status, Direktlinks und Anweisungen pro Land.

Registrierungsportale

·Produkt
Kursabschluss-Zertifikat (HTML, druckbar als PDF)

Teilnehmer des CEO-Kurses erhalten nach Abschluss ein zitierbares HTML-Zertifikat, das als PDF gedruckt werden kann.

·Compliance
Landing-Badges: BSIG § 30 + IT-Grundschutz

CIR-Badge ersetzt durch BSIG § 30 + IT-Grundschutz auf der Landing Page - präzisere Verankerung in der deutschen Umsetzung.

Februar 2026

·Produkt
Modulgestützte Anforderungen mit framework-übergreifender Erfüllung

Anforderungen können jetzt durch operative Module (Asset-Inventar, Risikoregister, Zulieferer, Vorfälle) erfüllt werden statt durch separate Formulare - die Plattform selbst ist der Nachweis.