NIS2-Assessment
Pruefung der NIS2-Betroffenheit der CONPORT Services GmbH und Umsetzung in der Aldric-Plattform
Version 1.0 — Stand: Maerz 2026
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist am 16. Januar 2023 in Kraft getreten und muss bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland erfolgt die Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstaerkungsgesetz (NIS2UmsuCG). Dieses Assessment prueft, ob die CONPORT Services GmbH als Anbieterin der SaaS-Plattform „Aldric" in den Anwendungsbereich faellt, welche Pflichten daraus resultieren und wie die Plattform Kunden bei deren eigener NIS2-Compliance unterstuetzt.
Dieses Assessment dient der internen Pruefung und stellt keine Rechtsberatung dar. Die finale Einordnung sollte durch einen spezialisierten IT-Sicherheitsberater oder Fachanwalt fuer IT-Recht bestaetigt werden. Geschaeftsfuehrung haftet persoenlich (§ 38 NIS2UmsuCG).
Teil A: Betroffenheitsanalyse CONPORT Services GmbH
§ 1 Unternehmensprofil
| Kriterium | CONPORT Services GmbH |
|---|---|
| Rechtsform | GmbH (Sitz: Dortmund, Deutschland) |
| Taetigkeit | SaaS-Plattform fuer Compliance-Management (Aldric) |
| Branche | IKT-Dienstleistungen / Digitale Infrastruktur |
| Beschaeftigte | < 50 (Kleinstunternehmen/Kleinunternehmen) |
| Jahresumsatz | < 10 Mio. EUR |
| Bilanzsumme | < 10 Mio. EUR |
| Kunden | B2B (Unternehmen, Behoerden, Beratungshaeuser) |
| Datenverarbeitung | Personenbezogene Daten, Compliance-Dokumentation, Risikobewertungen |
§ 2 NIS2-Sektorzuordnung
Die NIS2-Richtlinie unterscheidet zwischen Sektoren hoher Kritikalitaet (Anhang I) und sonstigen kritischen Sektoren (Anhang II). IKT-Dienstleistungsmanagement (B2B) faellt unter Anhang II Nr. 6: Digitale Anbieter, Unterkategorie „Anbieter verwalteter IKT-Dienste" (Managed Service Provider).
| Sektor (NIS2) | Einordnung | Ergebnis |
|---|---|---|
| Anhang I Nr. 8: Digitale Infrastruktur | Cloud-Computing-Dienste, Rechenzentren | Nicht direkt — CONPORT nutzt Cloud-Provider, betreibt kein eigenes RZ |
| Anhang II Nr. 6: Digitale Anbieter | Managed Service Provider (MSP) | Potenziell betroffen — SaaS mit Compliance-Daten |
| Anhang I Nr. 8: IKT-Dienstleistungsmanagement | Managed Security Service Provider (MSSP) | Nicht zutreffend — kein SOC/SIEM-Dienst |
§ 3 Schwellenwert-Pruefung
NIS2 wendet grundsaetzlich die KMU-Definition der EU an (Empfehlung 2003/361/EG). Unternehmen fallen in den Anwendungsbereich, wenn sie:
- Mittleres Unternehmen: ≥ 50 Beschaeftigte ODER > 10 Mio. EUR Jahresumsatz UND > 10 Mio. EUR Bilanzsumme
- Grosses Unternehmen: ≥ 250 Beschaeftigte ODER > 50 Mio. EUR Umsatz
Ergebnis Schwellenwert:
CONPORT Services GmbH unterschreitet aktuell die Schwellenwerte (< 50 Beschaeftigte, < 10 Mio. EUR Umsatz). Eine direkte NIS2-Pflicht besteht derzeit nicht.
§ 4 Ausnahmen und Sonderfaelle
Auch unterhalb der Schwellenwerte kann eine Betroffenheit bestehen, wenn:
- Das Unternehmen als einziger Anbieter eines Dienstes in einem Mitgliedstaat gilt (Art. 2 Abs. 2 lit. b)
- Eine Stoerung erhebliche Auswirkungen auf die oeffentliche Ordnung, Sicherheit oder Gesundheit haette (Art. 2 Abs. 2 lit. d)
- Das Unternehmen Dienste fuer wesentliche oder wichtige Einrichtungen erbringt und ein Ausfall deren Betrieb erheblich beeintraechtigen wuerde (Lieferkettenrisiko)
- Eine nationale Behoerde das Unternehmen individuell benennt
Risikobewertung:
Sofern CONPORT Kunden aus NIS2-regulierten Sektoren bedient (z. B. Energieversorger, Finanzinstitute, Gesundheitswesen), koennten diese als Teil ihrer Lieferketten-Sicherheit NIS2-konforme Massnahmen von CONPORT einfordern. Dies ist ein indirekter Compliance-Treiber, der de facto NIS2-Niveau erfordert.
§ 5 Zusammenfassung Betroffenheit
| Kriterium | Status | Bewertung |
|---|---|---|
| Sektorzugehoerigkeit | Anhang II Nr. 6 (Digitale Anbieter / MSP) | Betroffen |
| Schwellenwert Beschaeftigte | < 50 | Unterschritten |
| Schwellenwert Umsatz | < 10 Mio. EUR | Unterschritten |
| Direkte NIS2-Pflicht | — | Nein (aktuell) |
| Indirekte Pflicht (Lieferkette) | Kunden aus regulierten Sektoren | Wahrscheinlich |
| Empfehlung | — | Freiwillige Umsetzung auf NIS2-Niveau |
Teil B: NIS2-Anforderungen und Umsetzungsstand
Auch ohne direkte Verpflichtung implementiert CONPORT Services GmbH proaktiv Sicherheitsmassnahmen auf NIS2-Niveau. Die folgende Tabelle zeigt die zehn Kernbereiche gemaess Art. 21 NIS2 und den aktuellen Umsetzungsstand.
§ 6 Risikomanagement (Art. 21 Abs. 2 lit. a)
| Massnahme | Status | Details |
|---|---|---|
| Risikoanalyse IT-Systeme | Umgesetzt | Regelmaessige Bewertung aller Systemkomponenten, dokumentiert in der Aldric-Plattform |
| Risikobewertungsmethodik | Umgesetzt | Systematische Methodik mit Eintrittswahrscheinlichkeit × Schadenshoehe |
| Risikominderungsplan | Umgesetzt | Massnahmenplan mit Verantwortlichkeiten und Fristen |
| Regelmaessige Ueberpruefung | Geplant | Quartalsweise Reviews (bei ISO 27001 Zertifizierung formalisiert) |
§ 7 Bewaltigung von Sicherheitsvorfaellen (Art. 21 Abs. 2 lit. b)
| Massnahme | Status | Details |
|---|---|---|
| Incident-Response-Plan | Umgesetzt | Dokumentiert unter /de/legal/incident-response/ |
| 24h-Fruehwarnung | Vorbereitet | Meldeprozess an BSI definiert (Pflicht: 24h Fruehwarnung, 72h Bericht, 1 Monat Abschlussbericht) |
| Vorfallklassifizierung | Umgesetzt | Severity-Stufen (Critical/High/Medium/Low) mit definierten Eskalationswegen |
| Forensische Sicherung | Geplant | Audit-Log-Retention und forensische Analyse-Faehigkeiten |
§ 8 Business Continuity (Art. 21 Abs. 2 lit. c)
| Massnahme | Status | Details |
|---|---|---|
| Backup-Strategie | Umgesetzt | Taegliche Backups, verschluesselt, getrennte Speicherorte |
| Wiederherstellungsplan | Umgesetzt | RPO < 24h, RTO < 4h (siehe SLA) |
| Krisenmanagement | Umgesetzt | Definierte Rollen und Kommunikationsketten |
| Disaster-Recovery-Tests | Geplant | Halbjaehrliche DR-Tests bei Produktionsstart |
§ 9 Sicherheit der Lieferkette (Art. 21 Abs. 2 lit. d)
| Massnahme | Status | Details |
|---|---|---|
| Lieferantenbewertung | Umgesetzt | Cloud-Provider, Open-Source-Abhaengigkeiten, Sub-Processors bewertet (siehe Unterauftragsverarbeiter) |
| Vertragliche Sicherheitsanforderungen | Umgesetzt | AVV mit allen Sub-Processors, Sicherheitsklauseln in Vertraegen |
| Software-Supply-Chain | Teilweise | Dependency-Scanning via CI/CD, SBOM in Vorbereitung |
| LkSG-Konformitaet | Umgesetzt | Dokumentiert unter /de/legal/supply-chain-act/ |
§ 10 Sicherheit bei Entwicklung und Wartung (Art. 21 Abs. 2 lit. e)
| Massnahme | Status | Details |
|---|---|---|
| Secure Development Lifecycle | Umgesetzt | Code Reviews, automatisierte Tests, CI/CD-Pipeline mit Sicherheitschecks |
| Schwachstellenmanagement | Umgesetzt | Automatische Dependency-Updates, CVE-Monitoring |
| Patch-Management | Umgesetzt | Kritische Patches innerhalb von 48h, regulaere Updates im 2-Wochen-Zyklus |
| Penetrationstests | Geplant | Jaehrlicher externer Pentest bei Produktionsstart |
§ 11 Bewertung der Wirksamkeit (Art. 21 Abs. 2 lit. f)
| Massnahme | Status | Details |
|---|---|---|
| Sicherheitsaudits | Geplant | Interne Audits quartalsweise, externe Audits jaehrlich (ISO 27001 Ziel) |
| KPI-Messung | Teilweise | Uptime-Monitoring, Incident-Metriken, MTTR-Tracking |
| Management-Review | Geplant | Quartalsweiser Sicherheitsbericht an Geschaeftsfuehrung |
§ 12 Cyberhygiene und Schulungen (Art. 21 Abs. 2 lit. g)
| Massnahme | Status | Details |
|---|---|---|
| Sicherheitsrichtlinien | Umgesetzt | Dokumentiert unter /de/legal/security-policy/ |
| Mitarbeiterschulungen | Umgesetzt | Onboarding-Schulung, jaehrliche Auffrischung, Phishing-Awareness |
| GF-Schulung | Geplant | NIS2 fordert explizit Schulung der Leitungsorgane (Art. 20 Abs. 2) |
| Passwort-Policy | Umgesetzt | MFA fuer alle Systeme, Passwort-Manager verpflichtend |
§ 13 Kryptografie und Verschluesselung (Art. 21 Abs. 2 lit. h)
| Massnahme | Status | Details |
|---|---|---|
| Verschluesselung in Transit | Umgesetzt | TLS 1.2+ fuer alle Verbindungen, HSTS aktiviert |
| Verschluesselung at Rest | Umgesetzt | AES-256 fuer Datenbank und Objektspeicher |
| Schluesselmanagement | Umgesetzt | Getrennte Schluessel pro Mandant, regelmaessige Rotation |
| Kryptografie-Policy | Umgesetzt | Mindeststandards definiert (keine veralteten Algorithmen) |
§ 14 Zugangssteuerung und Asset-Management (Art. 21 Abs. 2 lit. i)
| Massnahme | Status | Details |
|---|---|---|
| RBAC / Zugangssteuerung | Umgesetzt | Rollenbasierte Zugriffskontrolle auf Modul/Funktions/Datensatzebene |
| Multi-Faktor-Authentifizierung | Umgesetzt | MFA ueber Keycloak (TOTP, WebAuthn) |
| Mandantentrennung | Umgesetzt | PostgreSQL Row-Level Security (RLS) auf allen Tabellen |
| Asset-Inventar | Teilweise | IT-Asset-Verzeichnis in Vorbereitung |
§ 15 Sichere Kommunikation (Art. 21 Abs. 2 lit. j)
| Massnahme | Status | Details |
|---|---|---|
| Sichere Authentifizierung | Umgesetzt | OAuth 2.0 / OpenID Connect ueber Keycloak, JWT-basiert |
| Netzwerksegmentierung | Umgesetzt | Kubernetes-Netzwerkpolicies, getrennte Namespaces |
| Notfallkommunikation | Vorbereitet | Redundante Kommunikationskanaele fuer Krisensituationen definiert |
Teil C: Meldepflichten
§ 16 NIS2-Meldepflichten an das BSI
Sollte CONPORT kuenftig direkt unter NIS2 fallen (z. B. durch Wachstum oder behoerdliche Benennung), gelten folgende Meldepflichten gemaess Art. 23 NIS2 bzw. § 32 NIS2UmsuCG:
| Frist | Meldung | Inhalt |
|---|---|---|
| 24 Stunden | Fruehwarnung | Erste Meldung an BSI ueber erheblichen Sicherheitsvorfall (Verdacht genuegt) |
| 72 Stunden | Vorfallmeldung | Bewertung des Vorfalls, Schwere, Auswirkungen, Kompromittierungsindikatoren |
| 1 Monat | Abschlussbericht | Detaillierte Beschreibung, Ursachenanalyse, Abhilfemassnahmen, grenzueberschreitende Auswirkungen |
Auch ohne direkte Pflicht bereitet CONPORT diese Prozesse vor, da regulierte Kunden vertraglich aequivalente Meldefristen einfordern koennen.
§ 17 Registrierungspflicht
Wesentliche und wichtige Einrichtungen muessen sich beim BSI registrieren (§ 33 NIS2UmsuCG). Aktuell besteht fuer CONPORT keine Registrierungspflicht. Bei Ueberschreitung der Schwellenwerte oder behoerdlicher Benennung wird die Registrierung unverzueglich vorgenommen.
Teil D: Geschaeftsfuehrerhaftung
§ 18 Persoenliche Haftung nach NIS2
Ein wesentliches Element der NIS2-Richtlinie ist die persoenliche Haftung der Geschaeftsfuehrung (Art. 20 NIS2, § 38 NIS2UmsuCG):
- Leitungsorgane muessen die Risikomanagement-Massnahmen billigen und deren Umsetzung ueberwachen
- Leitungsorgane muessen an Cybersicherheitsschulungen teilnehmen
- Bei Verstoessen koennen Leitungsorgane persoenlich haftbar gemacht werden
- Bussgelder: bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes (wesentliche Einrichtungen) bzw. 7 Mio. EUR oder 1,4% (wichtige Einrichtungen)
Handlungsbedarf Geschaeftsfuehrung:
Auch wenn CONPORT aktuell nicht direkt verpflichtet ist, sollte die Geschaeftsfuehrung die NIS2-Schulungspflicht freiwillig erfuellen und die Sicherheitsmassnahmen formell billigen. Bei Wachstum ueber die Schwellenwerte gilt die Haftung sofort.
Teil E: Die Aldric-Plattform als NIS2-Werkzeug
§ 19 NIS2-Compliance fuer Kunden
Die Aldric-Plattform unterstuetzt Kunden, die selbst unter NIS2 fallen, bei der Erfuellung ihrer Pflichten:
| NIS2-Anforderung | Aldric-Modul | Funktion |
|---|---|---|
| Risikomanagement (Art. 21 lit. a) | Risiko-Modul | Risikoanalyse, Bewertung, Massnahmentracking |
| Incident Response (Art. 21 lit. b) | Incident-Modul | Vorfallerfassung, Eskalation, BSI-Meldefristen-Tracking |
| Business Continuity (Art. 21 lit. c) | TOM-Modul | Dokumentation technisch-organisatorischer Massnahmen |
| Lieferkettensicherheit (Art. 21 lit. d) | Lieferanten-Modul | Lieferantenbewertung, Risiko-Scoring, Vertragsueberwachung |
| Schwachstellenmanagement (Art. 21 lit. e) | Audit-Modul | Audit-Trail, Aenderungsprotokollierung |
| Wirksamkeitsbewertung (Art. 21 lit. f) | Dashboard | Compliance-Score, KPI-Uebersicht, Trendanalysen |
| Schulungsnachweis (Art. 21 lit. g) | Schulungs-Modul | Schulungsverwaltung, Teilnahmebestaetigung, Ablauferinnerung |
| Dokumentation (Art. 21 allg.) | Dokumenten-Modul | Versionierung, Freigabe-Workflows, Aufbewahrungsfristen |
§ 20 NIS2-Berichtsvorlagen
Aldric stellt vorkonfigurierte Berichtsvorlagen bereit, die den NIS2-Meldepflichten entsprechen:
- Fruehwarnung (24h): Strukturiertes Formular mit allen Pflichtfeldern gemaess Art. 23 Abs. 4 lit. a
- Vorfallmeldung (72h): Erweiterte Bewertung mit Schwere-Einstufung und Indikatoren
- Abschlussbericht (1 Monat): Vollstaendiger Bericht mit Ursachenanalyse und Massnahmen
- NIS2-Compliance-Report: Uebersicht aller umgesetzten Massnahmen zu Art. 21
Handlungsempfehlungen
§ 21 Sofortmassnahmen (0-3 Monate)
- GF-Schulung: Cybersicherheitsschulung fuer Geschaeftsfuehrung durchfuehren
- Formelle Billigung: GF billigt Sicherheitsstrategie und Risikomanagement schriftlich
- GAP-Analyse: Detaillierte Pruefung aller 10 NIS2-Bereiche gegen IST-Stand
- Schwellenwert-Monitoring: Prozess zur Ueberwachung von Beschaeftigtenzahl und Umsatz einrichten
§ 22 Mittelfristige Massnahmen (3-12 Monate)
- ISO 27001: Zertifizierung starten (deckt viele NIS2-Anforderungen ab)
- SBOM: Software Bill of Materials erstellen und pflegen
- Penetrationstests: Ersten externen Pentest beauftragen
- DR-Tests: Disaster-Recovery-Tests durchfuehren und dokumentieren
- BSI-Meldeprozess: Meldeprozess formalisieren und testen
Schlussbestimmungen
Dieses Assessment wird jaehrlich oder bei wesentlichen Aenderungen (Wachstum, neue Regulierung, Sicherheitsvorfaelle) aktualisiert. Die naechste Ueberpruefung ist fuer Q3 2026 geplant.
Anbieter:
CONPORT Services GmbH
Alte Benninghofer Str. 24
44263 Dortmund
Geschaeftsfuehrer: Benjamin Schowe
E-Mail: info@conport.de
Telefon: +49 (0) 2304 6070060
Referenzen: NIS2-Richtlinie (EU) 2022/2555 | BSI zu NIS2 | Informationssicherheit | Incident Response Plan