NIS2 & Geschäftsführer-Haftung · von Buzzard AI

NIS2-Pflichten und Geschäftsführer-Haftung: was die Leitung persönlich verantworten muss.

10 Maßnahmenbereiche, Registrierung beim BSI, 24-Stunden-Meldepflicht — und eine persönliche Verantwortung der Geschäftsführung, mit Bußgeldern bis rund 10 Mio EUR. TULPAR deckt davon den technischen Teil ab und liefert dokumentierte Evidenz. Das ersetzt keine Rechtsberatung; die Betroffenheit ist ein Einzelfall.

Deckt den technischen Teil der Pflichten ab Dokumentierte Evidenz fürs Risikomanagement On-Premise · keine Cloud · Klartext-Report
Warum es die Leitung betrifft

Ein Vorfall ist selten ein einzelner Fehler.

NIS2 verlangt von der Geschäftsführung, technische Risiken zu kennen und zu beherrschen. Genau dafür zeigt TULPAR nicht nur einzelne Lücken, sondern die Kette, über die aus einem vergessenen Gerät ein meldepflichtiger Vorfall wird. Tippen Sie auf einen Schritt, um den Fix zu sehen.

Beispielhafter Angriffspfad · fiktive Musterfirma · so liest TULPAR Ihr Netz

🖨️
Vergessenes Gerät
PRINT-01 · 10.10.10.50
Veraltetes System · bekannte Lücke
✅ Fix: nicht benötigte Dienste abschalten und Sicherheitsupdate einspielen — schon hier reißt die Kette.
💻
Mitarbeiter-PC
WS-042 · 10.10.10.42
Anmeldung weitergereicht
✅ Fix: Anmelde-Signierung erzwingen und veraltete Verfahren einschränken — die Anmeldung lässt sich nicht mehr missbrauchen.
🔑
Dienst-Konto
svc_sql
Schwaches Konto-Passwort
✅ Fix: langes, zufälliges Passwort für Dienst-Konten und Rechte einschränken — kein Sprung zum zentralen Server.
👑
Volle Kontrolle
Verwaltungs-Konto · zentraler Server
Meldepflichtiger Vorfall
✅ Wäre einer der Schritte davor geschlossen, käme es hier nie zum 24-Stunden-Meldefall.
Vom kleinen Gerät bis zum meldepflichtigen Vorfall — ein einziger Fix unterbricht die Kette. TULPAR sagt Ihnen, welcher.
Das Problem

NIS2 nimmt die Leitung persönlich in die Pflicht.

⚖️

Persönliche Verantwortung

Die Geschäftsführung muss die Risikomanagement-Maßnahmen billigen und ihre Umsetzung überwachen — bei Verstößen drohen Bußgelder bis rund 10 Mio EUR oder rund 2 % Jahresumsatz.

⏱️

Fristen ohne Schonzeit

Das NIS2-Umsetzungsgesetz ist in Kraft (rund Dezember 2025), ohne Übergangsfrist; die Registrierungsfrist beim BSI lief ca. Anfang März 2026 ab. Die Erstmeldung eines Vorfalls muss binnen rund 24 Stunden raus.

🎯

KMU sind das Ziel

Laut BSI-Lagebericht 2025 trafen rund 80 % der angezeigten Cyberangriffe kleine und mittlere Unternehmen — nur rund 18 % der kleinen Betriebe haben überhaupt einen Notfallplan.

Die 10 Maßnahmenbereiche

Der technische Teil — sichtbar gemacht.

NIS2 verlangt rund zehn verbindliche Risikomanagement-Maßnahmenbereiche. Mehrere davon haben einen technischen Kern — Risikoanalyse, Wirksamkeitsbewertung, Cyberhygiene, Zugriffskontrolle. Genau diesen Teil deckt TULPAR ab und macht ihn für die Leitung verständlich.

  • Risikoanalyse mit Substanz. TULPAR zeigt, wo Sie real angreifbar sind — als Grundlage fürs Risikomanagement.
  • Wirksamkeit belegt. Wiederholbare Prüfungen liefern dokumentierte Evidenz, dass Maßnahmen greifen.
  • Den technischen Teil — nicht mehr und nicht weniger. Organisation, Recht und Prozesse bleiben bei Ihnen; das ersetzt keine Rechtsberatung.
So einfach geht's

In drei Schritten zum technischen Nachweis.

1

Installieren

TULPAR im Netzwerk einrichten — startklar in Minuten.

2

Prüfen lassen

🟢 Nur ansehen (empfohlen) oder 🟡 aktiv testen — mit Ihrer Freigabe.

3

Dokumentieren

Klartext-Bericht mit Schulnote, Ampel und Maßnahmen — als technische Evidenz fürs Risikomanagement.

4Ausreichend
Sicherheits-Zeugnis
Beispiel-Auswertung · Netzwerk „Musterfirma GmbH"
Vergessenes Gerät mit bekannter Lückekritisch
Dienst-Konto mit schwachem Passwortkritisch
Keine Multi-Faktor-Anmeldung erzwungenmittel
Updates teils veraltetmittel
Firewall & Virenschutz aktivok
Ihre wichtigste Maßnahme: vergessenes Gerät absichern — schließt allein den gefährlichsten Angriffspfad. Illustratives Beispiel; kein Siegel, keine Zertifizierung.
Was TULPAR liefert

Evidenz, die die Leitung vorlegen kann.

Ein Bericht, den auch eine Geschäftsführung ohne IT liest: Schulnote, Ampel, und die drei Maßnahmen, die am meisten bringen — mit dokumentierter technischer Evidenz für das NIS2-Risikomanagement.

📋

Klartext-Bericht

Schulnote & Ampel statt Fachchinesisch — auch für Chefs ohne IT.

⚖️

Technischer Nachweis

Dokumentierte Evidenz für das Risikomanagement — keine Konformitäts-Garantie, kein Ersatz für Beratung.

🔒

Bleibt im Haus

Läuft offline — keine Cloud, keine Datenabflüsse, DSGVO-freundlich.

🛡️

Nichts ohne Freigabe

Wir greifen nichts an, was Sie nicht ausdrücklich freigeben.

Anlässe

Wann der technische Nachweis jetzt ansteht.

Preis

Erst sehen, wo Sie technisch stehen. Individuell für Ihr Netzwerk.

TULPAR Sicherheitscheck
Individuell
Erster Sicherheitscheck schnell startklar · Angebot auf Anfrage
  • Automatischer Schwachstellen-Scan im eigenen Netz
  • Angriffspfad-Analyse — die Kette und der eine Fix
  • Klartext-Bericht mit Schulnote, Ampel und Maßnahmen-Reihenfolge
  • Dokumentierte technische Evidenz fürs NIS2-Risikomanagement
  • On-Premise, keine Cloud — nur ansehen als Standard, aktiver Test nur mit Ihrer Freigabe
Technischen Check anfragen →
Häufige Fragen

Häufige Fragen zu NIS2-Pflichten & Haftung.

Betroffene Unternehmen müssen rund zehn verbindliche Risikomanagement-Maßnahmenbereiche umsetzen, sich beim BSI registrieren, erhebliche Vorfälle melden (Erstmeldung binnen rund 24 Stunden) und die Leitung schulen. Die Geschäftsführung trägt dabei eine persönliche Verantwortung: Sie muss die Maßnahmen billigen und ihre Umsetzung überwachen. Das ersetzt keine Rechtsberatung; ob und wie Ihr Unternehmen betroffen ist, ist ein Einzelfall.

NIS2 sieht eine persönliche Verantwortung der Leitung vor: Sie muss die Risikomanagement-Maßnahmen billigen und deren Umsetzung überwachen. Bei Verstößen drohen dem Unternehmen Bußgelder bis rund 10 Mio EUR oder rund 2 % des weltweiten Jahresumsatzes. Wie weit eine persönliche Inanspruchnahme im Einzelfall reicht, ist eine Rechtsfrage — diese Seite ersetzt keine Rechtsberatung und keine individuelle Prüfung Ihrer Betroffenheit.

NIS2 verlangt rund zehn Risikomanagement-Maßnahmenbereiche — dazu zählen etwa Risikoanalyse und Sicherheitskonzepte, Bewältigung von Vorfällen, Backup- und Notfallmanagement, Lieferketten-Sicherheit, sichere Beschaffung und Entwicklung, Verfahren zur Bewertung der Wirksamkeit, Cyberhygiene und Schulungen, Kryptografie, Zugriffskontrolle und Multi-Faktor-Authentifizierung. Mehrere davon haben einen technischen Kern, den TULPAR durch Schwachstellen- und Angriffspfad-Analyse abdeckt und dokumentiert.

NIS2 sieht eine gestufte Meldepflicht vor: Eine Erstmeldung erheblicher Sicherheitsvorfälle muss in der Regel binnen rund 24 Stunden beim BSI erfolgen, gefolgt von weiteren Meldungen. Zusätzlich besteht eine Registrierungspflicht beim BSI. Das NIS2-Umsetzungsgesetz ist in Deutschland in Kraft getreten (rund Dezember 2025), ohne Übergangsfrist; die Registrierungsfrist lief ca. Anfang März 2026 ab. Die konkreten Fristen für Ihren Fall klären Sie rechtlich.

NIS2 betrifft in Deutschland eine Größenordnung von rund 29.500 Unternehmen in 18 regulierten Sektoren. Maßgeblich sind grundsätzlich Schwelle und Sektor: in der Regel ab rund 50 Mitarbeitenden oder über 10 Mio EUR Umsatz, als besonders wichtige Einrichtung ab rund 250 Mitarbeitenden oder über 50 Mio EUR. Ob Sie tatsächlich erfasst sind, hängt vom Einzelfall ab und ist eine Rechtsfrage — das ersetzt keine Rechtsberatung.

Nein. TULPAR macht Sie nicht NIS2-konform und ist keine Zertifizierung und keine Rechtsberatung. TULPAR deckt den technischen Teil der NIS2-Maßnahmen ab: Es identifiziert Schwachstellen, zeigt den Angriffspfad und liefert dokumentierte technische Evidenz, die in Ihr Risikomanagement und in Nachweise einfließen kann. Organisatorische, rechtliche und prozessuale Pflichten bleiben bei Ihnen. Ob und wie Sie betroffen sind, ist ein Einzelfall.

TULPAR adressiert die technischen Kernbereiche: Es prüft das eigene Netzwerk automatisch auf Schwachstellen, zeigt den zusammenhängenden Angriffspfad und benennt im Klartext mit Schulnote und Ampel, was zuerst zu beheben ist. Das unterstützt unter anderem Risikoanalyse, Wirksamkeitsbewertung und Cyberhygiene und liefert dokumentierte Evidenz für das Risikomanagement. Auch die Anforderung der DSGVO an die regelmäßige Überprüfung der Wirksamkeit technischer Maßnahmen wird so technisch belegt.

Nein. TULPAR läuft on-premise und offline direkt bei Ihnen im Netzwerk, ohne Cloud-Zwang; die Ergebnisse bleiben in Ihrem Haus. Standardmäßig wird nur angesehen (read-only); ein aktiver Test erfolgt ausschließlich nach Ihrer ausdrücklichen Freigabe und nur in Ihrem eigenen Netz. Es wird nichts angegriffen, was Sie nicht freigeben. Das passt zu den Datenschutz-Anforderungen, die Sie ohnehin erfüllen müssen.

TULPAR ist ein autorisiertes Selbstprüfungs-Werkzeug für das eigene Netzwerk und wird von Buzzard AI angeboten. Aktive Tests erfolgen nur im eigenen Netz und ausschließlich mit ausdrücklicher Freigabe. TULPAR deckt den technischen Teil der NIS2-Pflichten ab und liefert dokumentierte Evidenz, ist aber keine Zertifizierung und keine Rechtsberatung und macht Sie nicht NIS2-konform. Ob und wie Ihr Unternehmen von NIS2 betroffen ist, ist ein rechtlicher Einzelfall. Genannte Zahlen sind gerundete Größenordnungen; Marken und Kennungen gehören ihren Inhabern und dienen der sachlichen Einordnung.
Kostenloses Erstgespräch

Sie wollen den technischen Teil Ihrer NIS2-Pflichten belegen?

Lassen Sie es uns gemeinsam herausfinden. In einem kurzen Gespräch klären wir Ihr Netzwerk und zeigen, wie der Sicherheitscheck bei Ihnen abläuft und welche technische Evidenz Sie erhalten — on-premise, nur ansehen als Standard, Klartext-Bericht inklusive. Das ersetzt keine Rechtsberatung.

Schritt 1 von 3
Was ist gerade Ihr größtes Thema?
Mustafa Sahinli
Mustafa Sahinli · Buzzard AI
Prozessarchitekt · 06183 / 909 99 92 · WhatsApp