NIS2 · technischer Schwachstellen-Nachweis · von Buzzard AI

NIS2: Schwachstellen erkennen und dokumentieren — so unterstützt TULPAR den technischen Nachweis.

NIS2 verlangt technische Risikomanagement-Maßnahmen. TULPAR erkennt Schwachstellen im eigenen Netz, zeigt den Angriffspfad und dokumentiert die Ergebnisse im Klartext — als technische Evidenz für den Schwachstellen-Teil. Läuft bei Ihnen im Haus, keine Cloud.

Deckt den technischen Teil ab · ersetzt keine Rechtsberatung Läuft im Haus · keine Cloud · Daten bleiben Ihre Dokumentierte Evidenz: Schulnote & Ampel
Der technische Teil

Schwachstellen werden zur Kette — wir machen sie sichtbar.

NIS2 will, dass Sie Schwachstellen erkennen, bewerten und beheben. TULPAR zeigt nicht nur einzelne Lücken, sondern den zusammenhängenden Weg, über den aus einem vergessenen Drucker die volle Kontrolle wird — und dokumentiert ihn. Tippen Sie auf einen Schritt, um den Fix zu sehen.

Beispielhafter Angriffspfad · so liest und dokumentiert TULPAR Ihr Netz

🖨️
Druck-Server
PRINT-01 · 10.10.10.50
Bekannte Lücke im Druckdienst · CVE-2021-34527
✅ Fix: Druckspooler auf Servern deaktivieren bzw. Sicherheitsupdate einspielen — schon hier reißt die Kette. Wird im Bericht dokumentiert.
💻
Mitarbeiter-PC
WS-042 · 10.10.10.42
Weitergereichte Anmeldung im Netz
✅ Fix: SMB-Signing per Richtlinie erzwingen und veraltete Anmeldeverfahren einschränken — die Anmeldung kann nicht mehr weitergereicht werden.
🔑
Service-Konto
svc_sql
Schwaches Dienstkonto → Sprung zum Verzeichnis
✅ Fix: langes, zufälliges Passwort für Service-Konten (über 25 Zeichen bzw. verwaltetes Konto), moderne Verschlüsselung und Rechte einschränken — kein Sprung zum Domänen-Controller.
👑
Volle Kontrolle
Domain-Admin · DC01
Game Over
✅ Wäre einer der Schritte davor geschlossen, käme der Angreifer hier nie an. Genau das hält Ihre Dokumentation fest.
Vom kleinen Drucker bis zur vollen Kontrolle — ein einziger Fix unterbricht die Kette. TULPAR sagt Ihnen, welcher, und dokumentiert es nachvollziehbar.
Warum jetzt

NIS2 ist in Kraft — und der technische Nachweis ist Pflicht.

📜

Das Gesetz gilt

Das NIS2-Umsetzungsgesetz ist in Deutschland in Kraft getreten (rund Dezember 2025), ohne Übergangsfrist; die Registrierungsfrist beim BSI lief ca. Anfang März 2026 ab. Größenordnung: rund 29.500 betroffene Unternehmen in 18 Sektoren.

⚖️

Zehn Maßnahmen-Bereiche

NIS2 nennt rund zehn verbindliche Risikomanagement-Bereiche, dazu Melde- und Schulungspflichten, persönliche Geschäftsführungs-Haftung und Bußgelder bis 10 Mio. EUR oder 2 % Jahresumsatz. Der Schwachstellen-Teil davon ist technisch nachweisbar.

🔍

Ohne Sicht kein Nachweis

Viele Firmen wissen nicht, wo sie angreifbar sind — laut BSI treffen rund 80 % der gemeldeten Angriffe kleine und mittlere Unternehmen. Wer Schwachstellen nicht erkennt, kann sie weder beheben noch dokumentieren.

Wichtig: Das ersetzt keine Rechtsberatung; die NIS2-Betroffenheit ist ein Einzelfall und hängt von Sektor und Größe ab (grds. ab ca. 50 Mitarbeitenden oder über 10 Mio. EUR Umsatz; besonders wichtige Einrichtungen ab ca. 250 Mitarbeitenden oder über 50 Mio. EUR). TULPAR deckt den technischen Schwachstellen-Teil ab — nicht die organisatorischen Pflichten, die Registrierung oder die Meldewege.
Was TULPAR ist

Der technische Strang Ihres NIS2-Risikomanagements.

Eine Software, die in Ihrem Netzwerk läuft und alles automatisch prüft — so, wie ein Angreifer es sehen würde. Sie zeigt verständlich, wo es brennt, was zuerst zu beheben ist, und dokumentiert die Ergebnisse als technische Evidenz.

  • Deckt den technischen Teil ab. Schwachstellen erkennen, bewerten, dokumentieren — Evidenz für den Schwachstellen-Strang von NIS2. Kein Konformitäts-Versprechen.
  • Kein Cloud-Zwang. Läuft komplett bei Ihnen im Haus — Ihre Daten und Ihre Dokumentation bleiben Ihre.
  • Nur ansehen als Standard. Ein aktiver Test erfolgt ausschließlich mit Ihrer ausdrücklichen Freigabe — wir greifen nichts an, was Sie nicht freigeben.
So einfach geht's

In drei Schritten zur dokumentierten Evidenz.

1

Installieren

TULPAR im Netzwerk einrichten — startklar in Minuten.

2

Prüfen lassen

🟢 Nur ansehen (empfohlen) oder 🟡 aktiv testen — mit Ihrer Freigabe.

3

Dokumentieren

Bericht mit Schulnote, Ampel und Klartext — als technischer Beleg verwendbar.

4Ausreichend
Sicherheits-Zeugnis
Beispiel-Dokumentation · Netzwerk „Musterfirma GmbH"
Druck-Server mit bekannter Lückekritisch
Service-Konto mit schwachem Passwortkritisch
Windows-Updates teils veraltetmittel
SMB-Signing nicht erzwungenmittel
Firewall & Virenschutz aktivok
Ihre wichtigste Maßnahme: Druckspooler absichern — schließt allein den gefährlichsten Angriffspfad. Dokumentiert und priorisiert. Illustratives Beispiel.
Warum TULPAR für NIS2

Nachweis, den auch eine Behörde nachvollzieht.

Ein dokumentierter Bericht, den auch eine Geschäftsführung ohne IT liest: Schulnote, Ampel, und die drei Maßnahmen, die am meisten bringen — in dieser Reihenfolge. Eine nachvollziehbare technische Standortbestimmung, kein Siegel.

📋

Dokumentierte Evidenz

Welche Lücke, wie kritisch, welcher Fix — nachvollziehbar festgehalten für den technischen Nachweis.

⚖️

Erleichtert den Nachweis

Liefert technische Belege für den Schwachstellen-Teil von NIS2 — keine Garantie, kein Ersatz für Beratung, keine Zertifizierung.

🔒

Bleibt im Haus

Läuft offline — keine Cloud, keine Datenabflüsse, DSGVO-freundlich; auch die Dokumentation bleibt bei Ihnen.

🔁

Wirksamkeit prüfbar

Regelmäßig wiederholbar — zeigt dokumentiert, dass Ihre Maßnahmen weiter greifen (auch im Sinne von DSGVO Art. 32).

Anlässe

Wann der technische Nachweis jetzt zählt.

Preis

Erst sehen, wo Sie stehen. Individuell für Ihr Netzwerk.

TULPAR Sicherheitscheck
Individuell
Erster Sicherheitscheck schnell startklar · zum Vergleich: KMU-Sicherheitsanalysen marktüblich ab ca. 2.000 EUR · Angebot auf Anfrage
  • Automatischer Schwachstellen-Scan im eigenen Netz
  • Angriffspfad-Analyse — die Kette und der eine Fix
  • Dokumentierter Klartext-Bericht als technische Evidenz für den NIS2-Schwachstellen-Teil
  • On-Premise, keine Cloud — Ihre Daten bleiben im Haus
  • Nur ansehen als Standard — aktiver Test nur mit Ihrer Freigabe
Sicherheitscheck anfragen →
Häufige Fragen

Häufige Fragen zu NIS2 & TULPAR.

Nein. NIS2 verlangt ein ganzes Bündel aus technischen und organisatorischen Maßnahmen, Registrierung beim BSI, Meldepflichten und Geschäftsführungs-Pflichten. TULPAR deckt davon den technischen Schwachstellen-Teil ab: Es erkennt Lücken im eigenen Netz, zeigt den Angriffspfad und dokumentiert die Ergebnisse als technische Evidenz. Das erleichtert den Nachweis dieses Teils, ersetzt aber keine Rechtsberatung und macht Sie nicht automatisch konform. Ob und wie Sie von NIS2 betroffen sind, ist ein Einzelfall.

NIS2 nennt rund zehn verbindliche Bereiche für das Risikomanagement. TULPAR unterstützt vor allem den technischen Strang: das Erkennen und Bewerten von Schwachstellen, die Sicherheit des Active Directory und der Anmeldeprozesse sowie die regelmäßige Überprüfung der Wirksamkeit Ihrer Maßnahmen. Die anderen Bereiche — etwa Notfallpläne, Lieferketten-Sicherheit, Schulungen oder Meldewege — gehören zu Ihrem organisatorischen Teil und sind nicht Gegenstand von TULPAR.

Das ist ein Einzelfall und keine Sache, die eine Software für Sie entscheidet. Grob gilt: Das NIS2-Umsetzungsgesetz ist in Deutschland in Kraft getreten, die Größenordnung liegt bei rund 29.500 betroffenen Unternehmen in 18 regulierten Sektoren, mit Schwellen grundsätzlich ab etwa 50 Mitarbeitenden oder über 10 Mio. EUR Umsatz — besonders wichtige Einrichtungen ab etwa 250 Mitarbeitenden oder über 50 Mio. EUR. Ob Sie konkret betroffen sind, hängt von Sektor und Größe ab und gehört rechtlich geprüft. Das ersetzt keine Rechtsberatung; die Betroffenheit ist ein Einzelfall.

TULPAR erstellt einen dokumentierten Bericht: welche Schwachstellen gefunden wurden, wie kritisch sie sind, welcher Angriffspfad daraus entsteht und welche Maßnahme in welcher Reihenfolge greift — im Klartext, mit Schulnote und Ampel. Diese nachvollziehbare Dokumentation können Sie als technischen Beleg für den Schwachstellen-Teil Ihres NIS2-Risikomanagements verwenden. Sie ist kein Siegel und keine Zertifizierung, sondern eine technische Standortbestimmung.

Nein. TULPAR ist eine autorisierte Selbstprüfung Ihres eigenen Netzwerks, kein Angriffswerkzeug. Standardmäßig wird nur angesehen (read-only) — die Software schaut sich an, wie Ihr Netz aufgebaut ist, ohne aktiv einzugreifen. Ein aktiver Test, der eine Schwachstelle wirklich nachstellt, erfolgt ausschließlich nach Ihrer ausdrücklichen Freigabe und nur in Ihrem eigenen Netz. Es wird nichts angegriffen, was Sie nicht freigeben.

Nein. TULPAR läuft on-premise und offline direkt bei Ihnen im Netzwerk. Es gibt keinen Cloud-Zwang, die Ergebnisse bleiben in Ihrem Haus. Das ist gerade für sensible Bereiche wie Patienten-, Mandanten- oder Produktionsdaten wichtig und unterstützt die Anforderungen der DSGVO an Datenhoheit — und es erleichtert es, die technische Dokumentation im eigenen Haus zu behalten.

TULPAR schließt die Lücke zwischen einem einfachen Scan und einem einmaligen, teuren Penetrationstest. Marktüblich kosten KMU-Sicherheitsanalysen ab rund 2.000 EUR, kombinierte Analysen ab ca. 5.000 EUR, umfangreiche Pentests bis 25.000 EUR. TULPAR macht Ihre Angreifbarkeit dauerhaft und verständlich sichtbar und dokumentiert sie laufend — zu einem Bruchteil der Kosten. NIS2 schreibt keine bestimmte Methode vor; für besonders kritische Bereiche kann ein tiefer Pentest weiterhin sinnvoll sein. TULPAR sagt Ihnen, wo sich das lohnt.

TULPAR wird in Ihrem Netzwerk eingerichtet — in der Regel in wenigen Minuten startklar. Zuerst läuft die Prüfung im Modus „nur ansehen". Sie erhalten den Klartext-Bericht mit Schulnote, Ampel und priorisierten Maßnahmen als technische Dokumentation. Erst wenn Sie es freigeben, werden einzelne Schwachstellen aktiv nachgestellt, um die reale Angreifbarkeit zu bestätigen. Sie behalten in jedem Schritt die Kontrolle.

TULPAR ist ein autorisiertes Selbstprüfungs-Werkzeug für das eigene Netzwerk und wird von Buzzard AI angeboten. Aktive Tests erfolgen nur im eigenen Netz und ausschließlich mit ausdrücklicher Freigabe. TULPAR unterstützt den technischen Schwachstellen-Teil von NIS2 mit dokumentierter Evidenz, ist aber keine Zertifizierung und keine Rechtsberatung und macht Sie nicht automatisch NIS2-, BSI- oder DSGVO-konform. Das ersetzt keine Rechtsberatung; die NIS2-Betroffenheit ist ein Einzelfall. Der genannte CyberRisikoCheck (DIN SPEC 27076) ist eine Standortbestimmung, kein Siegel; TULPAR ist nicht der offizielle BSI-Check. Genannte Marken und CVE-Kennungen gehören ihren Inhabern und dienen der sachlichen Einordnung.
Kostenloses Erstgespräch

Sie brauchen den technischen Schwachstellen-Nachweis für NIS2?

Lassen Sie es uns gemeinsam angehen. In einem kurzen Gespräch klären wir Ihr Netzwerk und zeigen, wie TULPAR den Schwachstellen-Teil erkennt und dokumentiert — on-premise, nur ansehen als Standard, Klartext-Bericht als Evidenz inklusive. Die rechtliche Betroffenheit klären Sie individuell.

Schritt 1 von 3
Was ist gerade Ihr größtes Thema?
Mustafa Sahinli
Mustafa Sahinli · Buzzard AI
Prozessarchitekt · 06183 / 909 99 92 · WhatsApp