10 Maßnahmenbereiche, Registrierung beim BSI, 24-Stunden-Meldepflicht — und eine persönliche Verantwortung der Geschäftsführung, mit Bußgeldern bis rund 10 Mio EUR. TULPAR deckt davon den technischen Teil ab und liefert dokumentierte Evidenz. Das ersetzt keine Rechtsberatung; die Betroffenheit ist ein Einzelfall.
NIS2 verlangt von der Geschäftsführung, technische Risiken zu kennen und zu beherrschen. Genau dafür zeigt TULPAR nicht nur einzelne Lücken, sondern die Kette, über die aus einem vergessenen Gerät ein meldepflichtiger Vorfall wird. Tippen Sie auf einen Schritt, um den Fix zu sehen.
Beispielhafter Angriffspfad · fiktive Musterfirma · so liest TULPAR Ihr Netz
Die Geschäftsführung muss die Risikomanagement-Maßnahmen billigen und ihre Umsetzung überwachen — bei Verstößen drohen Bußgelder bis rund 10 Mio EUR oder rund 2 % Jahresumsatz.
Das NIS2-Umsetzungsgesetz ist in Kraft (rund Dezember 2025), ohne Übergangsfrist; die Registrierungsfrist beim BSI lief ca. Anfang März 2026 ab. Die Erstmeldung eines Vorfalls muss binnen rund 24 Stunden raus.
Laut BSI-Lagebericht 2025 trafen rund 80 % der angezeigten Cyberangriffe kleine und mittlere Unternehmen — nur rund 18 % der kleinen Betriebe haben überhaupt einen Notfallplan.
NIS2 verlangt rund zehn verbindliche Risikomanagement-Maßnahmenbereiche. Mehrere davon haben einen technischen Kern — Risikoanalyse, Wirksamkeitsbewertung, Cyberhygiene, Zugriffskontrolle. Genau diesen Teil deckt TULPAR ab und macht ihn für die Leitung verständlich.
TULPAR im Netzwerk einrichten — startklar in Minuten.
🟢 Nur ansehen (empfohlen) oder 🟡 aktiv testen — mit Ihrer Freigabe.
Klartext-Bericht mit Schulnote, Ampel und Maßnahmen — als technische Evidenz fürs Risikomanagement.
Ein Bericht, den auch eine Geschäftsführung ohne IT liest: Schulnote, Ampel, und die drei Maßnahmen, die am meisten bringen — mit dokumentierter technischer Evidenz für das NIS2-Risikomanagement.
Schulnote & Ampel statt Fachchinesisch — auch für Chefs ohne IT.
Dokumentierte Evidenz für das Risikomanagement — keine Konformitäts-Garantie, kein Ersatz für Beratung.
Läuft offline — keine Cloud, keine Datenabflüsse, DSGVO-freundlich.
Wir greifen nichts an, was Sie nicht ausdrücklich freigeben.
Betroffene Unternehmen müssen rund zehn verbindliche Risikomanagement-Maßnahmenbereiche umsetzen, sich beim BSI registrieren, erhebliche Vorfälle melden (Erstmeldung binnen rund 24 Stunden) und die Leitung schulen. Die Geschäftsführung trägt dabei eine persönliche Verantwortung: Sie muss die Maßnahmen billigen und ihre Umsetzung überwachen. Das ersetzt keine Rechtsberatung; ob und wie Ihr Unternehmen betroffen ist, ist ein Einzelfall.
NIS2 sieht eine persönliche Verantwortung der Leitung vor: Sie muss die Risikomanagement-Maßnahmen billigen und deren Umsetzung überwachen. Bei Verstößen drohen dem Unternehmen Bußgelder bis rund 10 Mio EUR oder rund 2 % des weltweiten Jahresumsatzes. Wie weit eine persönliche Inanspruchnahme im Einzelfall reicht, ist eine Rechtsfrage — diese Seite ersetzt keine Rechtsberatung und keine individuelle Prüfung Ihrer Betroffenheit.
NIS2 verlangt rund zehn Risikomanagement-Maßnahmenbereiche — dazu zählen etwa Risikoanalyse und Sicherheitskonzepte, Bewältigung von Vorfällen, Backup- und Notfallmanagement, Lieferketten-Sicherheit, sichere Beschaffung und Entwicklung, Verfahren zur Bewertung der Wirksamkeit, Cyberhygiene und Schulungen, Kryptografie, Zugriffskontrolle und Multi-Faktor-Authentifizierung. Mehrere davon haben einen technischen Kern, den TULPAR durch Schwachstellen- und Angriffspfad-Analyse abdeckt und dokumentiert.
NIS2 sieht eine gestufte Meldepflicht vor: Eine Erstmeldung erheblicher Sicherheitsvorfälle muss in der Regel binnen rund 24 Stunden beim BSI erfolgen, gefolgt von weiteren Meldungen. Zusätzlich besteht eine Registrierungspflicht beim BSI. Das NIS2-Umsetzungsgesetz ist in Deutschland in Kraft getreten (rund Dezember 2025), ohne Übergangsfrist; die Registrierungsfrist lief ca. Anfang März 2026 ab. Die konkreten Fristen für Ihren Fall klären Sie rechtlich.
NIS2 betrifft in Deutschland eine Größenordnung von rund 29.500 Unternehmen in 18 regulierten Sektoren. Maßgeblich sind grundsätzlich Schwelle und Sektor: in der Regel ab rund 50 Mitarbeitenden oder über 10 Mio EUR Umsatz, als besonders wichtige Einrichtung ab rund 250 Mitarbeitenden oder über 50 Mio EUR. Ob Sie tatsächlich erfasst sind, hängt vom Einzelfall ab und ist eine Rechtsfrage — das ersetzt keine Rechtsberatung.
Nein. TULPAR macht Sie nicht NIS2-konform und ist keine Zertifizierung und keine Rechtsberatung. TULPAR deckt den technischen Teil der NIS2-Maßnahmen ab: Es identifiziert Schwachstellen, zeigt den Angriffspfad und liefert dokumentierte technische Evidenz, die in Ihr Risikomanagement und in Nachweise einfließen kann. Organisatorische, rechtliche und prozessuale Pflichten bleiben bei Ihnen. Ob und wie Sie betroffen sind, ist ein Einzelfall.
TULPAR adressiert die technischen Kernbereiche: Es prüft das eigene Netzwerk automatisch auf Schwachstellen, zeigt den zusammenhängenden Angriffspfad und benennt im Klartext mit Schulnote und Ampel, was zuerst zu beheben ist. Das unterstützt unter anderem Risikoanalyse, Wirksamkeitsbewertung und Cyberhygiene und liefert dokumentierte Evidenz für das Risikomanagement. Auch die Anforderung der DSGVO an die regelmäßige Überprüfung der Wirksamkeit technischer Maßnahmen wird so technisch belegt.
Nein. TULPAR läuft on-premise und offline direkt bei Ihnen im Netzwerk, ohne Cloud-Zwang; die Ergebnisse bleiben in Ihrem Haus. Standardmäßig wird nur angesehen (read-only); ein aktiver Test erfolgt ausschließlich nach Ihrer ausdrücklichen Freigabe und nur in Ihrem eigenen Netz. Es wird nichts angegriffen, was Sie nicht freigeben. Das passt zu den Datenschutz-Anforderungen, die Sie ohnehin erfüllen müssen.
Lassen Sie es uns gemeinsam herausfinden. In einem kurzen Gespräch klären wir Ihr Netzwerk und zeigen, wie der Sicherheitscheck bei Ihnen abläuft und welche technische Evidenz Sie erhalten — on-premise, nur ansehen als Standard, Klartext-Bericht inklusive. Das ersetzt keine Rechtsberatung.