Empfang Telefon, Chat, Termine, Rückruf

Dokumentation Angebote, Protokolle, Rechnungen

Betrieb Mail, Touren, Projekte, Recruiting

Branchen-Fachwissen SHK, Elektro, Maler

Sichtbarkeit Blog, Google-Profil, Audit

Für Ihre Branche KI-Lösungen für 8 Branchen

Open Source & KI Eigene Plattformen statt SaaS-Inseln

Verkündigung digital Werkzeuge für Gemeinden

Beispiele aus dem Haus KI-Anwendungen, die wir selbst betreiben

Übersicht Alle 56 Produkte auf einer Seite

Alle KI-Lösungen →

Empfang

Julia White-Label (Telefon) FINN White-Label (Chat-Widget) Terminbot Rückrufzentrale WhatsApp-Business-Suite KI im Messenger (privat) Messenger-KI Business (Enterprise)

Dokumentation

Sprach-zu-Angebot Baustellen-Memo Foto-Bericht Rechnung-as-a-Service Mahnwesen-Bot KI-Diktat Angebots-Maschine (Handwerk)

Betrieb

Mail-Triage Tour-Optimierer Verbrauchs-Analyse Projekt-Planer Stellen-Assistent KI-Souffleuse Vertriebs-Pipeline (B2B) Recruiting-Assistent Onboarding-Autopilot Betriebsleiter-Dashboard

Branchen-Fachwissen

Fachassistent SHK Fachassistent Elektro Fachassistent Maler

Sichtbarkeit

Blog-Fabrik Google-Profil-Pfleger Digital-Check (49€)

Für Ihre Branche

KI für Handwerk KI für Arztpraxen Praxis-Copilot (Arztpraxen) KI für Kanzleien Abschluss-Automat (Steuer) KI für Autohäuser Werkstatt-Copilot (KFZ) KI für Hausverwaltungen Miet-Portal (Vermieter) KI für Einzelhandel KI für Gastronomie Hotel-Rezeption (Gastro) KI für Landwirtschaft Hof-Manager (Landwirtschaft) KI für Online-Shops KI für Schulen (DSGVO-konform) KI für Vereine Verein-Vollversorgung Pflegedienst-Copilot (Pflege) Salon-Manager (Friseur) Makler-Suite (Immobilien) Tierarzt-Praxis Fahrschul-Assistent Energieberater-Toolkit Fitnessstudio-Verwaltung Allergen-Auskunft Buch- & Medienkatalog Zoll- & Importrechner

Open Source & KI

Firmen-KI statt ChatGPT-Chaos KI-Kanzlei-Box (lokales Sprachmodell) KI-Ahnenforschung-Box (Sütterlin, Kurrent) KI-Tierheim-Box (Vermittlungstexte, Newsletter) Browser-Agenten für Portale Service-Desk mit KI-Triage Nextcloud mit KI Meeting-Agent: Audio zu Ergebnis Vertrags- und PDF-Prüfung Zahlen-Copilot Agentenserver für KMU Telefon-KI ohne SaaS-Lock-in Intranet & Prozesshandbuch

Verkündigung digital

Alle 10 Werkzeuge (Übersicht) Predigt-Podcast Predigt-Archiv Bibelvers-Kacheln Andachts-Newsletter Trostruf (Telefon-Andacht) Bibelstudium-KI Hauskreis-Helfer Bibelvers-Shorts (Video) Missionars-Rundbrief Digitale Traktate (QR)

Beispiele aus dem Haus

Julia – unser Voice Agent

Übersicht

Alle 59 Produkte im Katalog Externer KI-Beauftragter (EU AI Act) KI-Infrastruktur (System) KI-Telefonassistent (Service-Seite) KI-Schulung (Team) Verkündigung digital (Gemeinden)

Windows & Systeme Updates, Probleme, Linux

Office & Kommunikation E-Mail, Teams, Podcast

Sicherheit & Daten Viren, Passwörter, Backup

KI & Tools ChatGPT, Claude, Automatisierung

Eigene Software-Projekte Selbst entwickelt und im Einsatz

Lernen & Online-Kurse Kurse produzieren, Plattform, KI-Begleitung

Alle Software-Leistungen →

Windows & Systeme

Windows-Probleme Windows-Upgrade Browser-Probleme Browser-Erweiterungen Linux-Umstieg Linux-Support

Office & Kommunikation

E-Mail & Office Microsoft 365 Videokonferenzen Branchensoftware Podcast einrichten Zwischenablage & Bausteine

Sicherheit & Daten

Sicherheit & Viren Passwort-Management Datensicherung & Cloud pCloud Cloud-Speicher Datenrettung Computer-Reparatur Sicherheits-Check Sicherheits-Audit & Penetrationstest Phishing-Mail-Analyse (89 €)

KI & Tools

KI-Schulung KI-Tools im Überblick KI-Glossar (A–Z) ChatGPT Claude Google Gemini Microsoft Copilot Mistral AI Claude Cowork Claude for Chrome KI-Bilder erstellen KI-Videos erstellen KI-Automatisierung KI-Agenten KI-Telefonassistent Webseite mit KI bauen App mit KI bauen Lokale KI KI & DSGVO

Eigene Software-Projekte

Rechnungs-Pipeline Podcast-Pipeline SEO-Dashboard Alle Referenzen anzeigen

Lernen & Online-Kurse

Online-Kurse produzieren lassen KI-Schulung für Teams Podcast einrichten

Computer & Laptops PC, Mac, Kaufberatung

Mobilgeräte Smartphone, TV, Fotos

Peripherie & Netzwerk Drucker, WLAN, NAS

Smart Home & IoT Automation, PV, Homeoffice

Alle Hardware-Leistungen →

Computer & Laptops

PC & Laptop Neuen PC einrichten Apple, Mac & iPhone Kaufberatung

Mobilgeräte

Smartphone & Tablet Smart TV & Streaming Fotos & Dateien

Peripherie & Netzwerk

Drucker & Scanner WLAN & Internet NAS & Netzwerk

Smart Home & IoT

Smart Home PV-Anlage Homeoffice

Sofort-Hilfe Selbsttest, Notfall, Checklisten

Schulungen KI, PC, Senioren

Schutz & Vorsorge Passwörter, Jugendschutz, Nachlass

Elektro & Energie Beratung durch Elektromeister

Selbstversorger & Mikro-KI Mikro-Gärtnerei für Zuhause & Einrichtungen

Alle Privat-Leistungen →

Sofort-Hilfe

Fernwartung (TeamViewer & Co.) PC-Checkup (Selbsttest) IT-Notfall-Karte Windows-Frühjahrsputz

Schulungen

KI-Schulung & Einrichtung KI im Messenger (WhatsApp/Telegram/Signal) PC-Schulungen Senioren-Schulungen Robert – KI-Begleiter (Prototyp)

Schutz & Vorsorge

Passwörter & Konten Jugendschutz Digitaler Nachlass Barrierefreiheit IT-Sicherheits-Check

Elektro & Energie

Elektro-Gutachten (Übersicht) Energy Sharing 2026 PV-Konzept-Prüfung Wallbox & Ladesäulen Streit mit dem Elektriker Bauabnahme Elektro Stromverbrauchs-Analyse Förderantrag prüfen

Selbstversorger & Mikro-KI

Selbstversorger-IT Mikro-Gärtnerei-KI (Hub) Stadtwohnung Selbstversorger-Garten Senioren & Pflege Praxis-Wartebereich Restaurant-Küche Bürofläche Schule & Bildung Heilpflanzen Forschung & Zucht

IT-Infrastruktur VPN, Netzwerk, DSGVO

Business-Software Buchhaltung, Kasse, Zeiterfassung

Web & Marketing Webseite, SEO, WordPress, Newsletter

Entwicklung & Beratung KI-Tools, Automation, Wartung, Beratung

Krypto & Web3 Steuern, Wallets, Mining, DePIN

Monitoring & IoT Sensoren, Dashboards, Alarmierung

Branchen-IT Spezialisierte IT für kleine Betriebe

Service & Recht Termin, Verträge, Karriere

Alle Unternehmens-Leistungen →

IT-Infrastruktur

Fernwartung (TeamViewer & Co.) Open-Source-Fernwartung Server-Fernwartung VPN & Fernzugriff Ländliches Internet (LTE/Mesh) NAS & Netzwerk Domain & E-Mail DSGVO-Technik IT-Check IT-Betreuung (Wartungsvertrag) Landwirtschaft

Business-Software

Messenger-KI Business (Enterprise) KI-Belegerkennung lokal Buchhaltungssoftware Kassensystem & TSE Zeiterfassung Zeiterfassung mit QR-Code Fahrtenbuch-PWA Dokumentenmanagement Terminbuchung Branchensoftware Mitarbeiter-App Teams-Alternative (DSGVO)

Web & Marketing

Webseite & Server WordPress-Pflege SEO & KI-Optimierung Technisches SEO-Audit Google-Indexierung prüfen Newsletter-Tool nach Mass

Entwicklung & Beratung

Individualsoftware DSGVO-KI-Automation Audio-Werbeplattform Individuelle KI-Tools Eigenes CRM Eigenes Rechnungssystem E-Rechnungs-Brücke eBay-Auktionsjäger eBay-Auktionen KI-Agent Standort-Dossier Wetter-Ampel Reise-Briefing Speiseplan-Generator Presse-Spiegel Security-Dashboard Allergen-Check Buch-Katalog Zoll-Rechner Forschungs-Radar Ernährungscoach-App Streaming-Kompass Entwickler-Onboarding-Assistent Lieferketten-Radar Workflow-Automation Schnittstellen & Integration Software-Wartung Digitalisierungsberatung

Krypto & Web3

Krypto-Dashboard für Steuerberater Krypto-Insolvenz-Service Krypto-Steuer-Tool NFT-Steuerreport Krypto-Zahlungs-Plugin Stablecoin-Lohnzahlung Bitcoin-Geschenk-Service Bitcoin-Heizung PV-Überschuss zu Bitcoin-Mining linkx^© Krypto-Wallets DePIN-Setup On-Chain AI-Agenten Mining-Strom-Monitor

Monitoring & IoT

naturwerk^© (Bürger-Tech) spuerwerk^© (Sensor-Plattform) Mining-Strom-Monitor Drift-Wächter (Pestizid-Drift) Spritzalarm (Crowdsourcing-PWA) Pestizid-Scanner (KI) Gülle-Wächter (Ammoniak/H2S) Lärm-Wächter (Verkehr/Lüfter) Licht-Wächter (Lichtbelastung) Mikroplastik-Sonde (Wasser) Bienenfeind-Karte (Pestizid-Mapping) PV-Anlagen-Monitoring Energy Sharing digitalisieren Energy-Sharing-Checkliste Serverraum-Monitoring Kühlhaus-Monitoring Maschinen-Monitoring Gewächshaus-Monitoring

Branchen-IT

Gärtnerei-IT Hofladen digital Internet auf dem Land (LTE/Mesh) Imkerei-IT Pferdebetrieb-IT Bio-Betrieb-Dokumentation Mitarbeiter-IT (Onboarding)

Service & Recht

Termin online buchen AV-Vertrag (Art. 28 DSGVO) NIS2 & EU AI Act Audit Barrierefreiheitserklärung Empfehlungen & Partner Mitarbeiten (Karriere)

Neu im Blog Die aktuellsten Artikel

Systeme & Netzwerk Windows, Linux, WLAN, Homeoffice

Software & Online KI, E-Mail, Web, Sicherheit

Geräte & Branchen Smartphone, Drucker, Agrar

Werkzeuge Öffentliche Prüfdienste mit Anleitung

Alle Artikel im Wissensbereich →

Neu im Blog

Text-to-CAD: Wie LLMs jetzt anfangen, 3D-Modelle zu ... Wieviele KIs gibt es eigentlich weltweit, die man pr... Berufs- und Produkthaftpflicht über Hiscox: Was das... Sprit-Radar: Eine PWA für Tankstellenpreise Browser-Shortcuts, die wirklich Zeit sparen — und ...

Systeme & Netzwerk

Windows & PC Linux Netzwerk & WLAN Homeoffice

Software & Online

KI & Datenschutz E-Mail & Office Webseite & Server WordPress Sicherheit

Geräte & Branchen

Smartphone Drucker Geräte & Mehr Agrar

Werkzeuge

Alle Werkzeuge E-Mail-Leak prüfen Website-Geschwindigkeit SSL-Zertifikat DNS & MX prüfen Sicherheits-Header Datei/Link auf Viren Website-Sicherheits-Check Browser-Kompatibilität

NIS2 und EU AI Act – Doppel-Audit

NIS2 und EU AI Act: zwei Pflichten, ein Audit.

Wir nehmen Ihr Unternehmen einmal auf und liefern beide Antworten gleichzeitig: Sind Sie von NIS2 betroffen? Welche KI-Systeme müssen ins Register? Schriftliche Maßnahmen-Liste in einem Durchgang. Festpreis ab 290 Euro für den Betroffenheits-Check, Doppel-Audit komplett ab 1.990 Euro.

Pakete ansehen Jetzt anfragen

Konferenz-Tisch mit zwei Ordnern – links NIS2 Risiko-Management Lieferkette, rechts EU AI Act KI-Register Risikoklassen – dazwischen eine Checkliste, im Hintergrund ein Laptop mit Compliance-Matrix

ab Okt 2024 NIS2 EU-Umsetzungs-Frist verstrichen, deutsches Umsetzungs-Gesetz in Beratung

ab Aug 2026 AI Act – Mehrheit der Hochrisiko-Pflichten greift verbindlich

10 Mio € maximales Bußgeld nach NIS2 bei wichtigen Einrichtungen

35 Mio € maximales Bußgeld nach AI Act bei verbotenen KI-Praktiken

Zwei EU-Verordnungen, ein gemeinsamer Stammbaum

NIS2 und EU AI Act sind die zwei großen EU-Pflicht-Rahmen für digitale Resilienz und KI-Einsatz, die in den Jahren 2024 bis 2027 verbindlich werden. Sie sind unabhängig voneinander entstanden – aber sie verlangen weitgehend dieselbe Datenbasis. Wer einmal sauber inventarisiert, liefert beiden Verordnungen gleichzeitig. Genau das macht unser Doppel-Audit: einmal aufnehmen, beide Antworten erhalten.

Die NIS2-Richtlinie (EUR-Lex 2022/2555) trat im Januar 2023 in Kraft, die deutsche Umsetzung über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) liegt seit der Auflösung der Ampel-Koalition erneut in der Beratung des Bundestages. Die EU-Frist 17. Oktober 2024 ist verstrichen. Das BSI hat in Vorbereitung der Aufsichts-Pflichten bereits Hinweis-Papiere veröffentlicht, die zeigen, was die Behörde nach Inkrafttreten prüfen wird. Wer heute eine Bestandsaufnahme macht, hat einen Vorlauf von 6 bis 12 Monaten, bevor die Aufsicht aktiv wird.

Der EU AI Act (EUR-Lex 2024/1689) wurde am 12. Juli 2024 verkündet und tritt gestaffelt in Kraft: Verbote unannehmbarer KI-Praktiken und die KI-Kompetenz-Pflicht nach Artikel 4 gelten seit dem 2. Februar 2025, die Regeln für allgemeine KI-Modelle seit dem 2. August 2025, die Mehrheit der Hochrisiko-Pflichten ab dem 2. August 2026, die Pflichten für Hochrisiko-Systeme nach Anhang I ab dem 2. August 2027. Betroffen ist jedes Unternehmen, das KI-Systeme entwickelt, vertreibt oder einsetzt – auch dann, wenn die KI von einem US-Anbieter bezogen wird.

Überschneidung NIS2 und EU AI Act – was beide Verordnungen verlangen

NIS2-Pflichten

EUR-Lex 2022/2555

Risiko-ManagementArt. 21
Lieferketten-SicherheitArt. 21 Abs. 2 lit. d
Melde-PflichtArt. 23 / 24 Std.
Schulungs-PflichtGeschäftsleitung Art. 20
Persönliche HaftungGF Art. 20 / 23

Überschneidung

Beide Verordnungen verlangen

System-Inventar
Lieferanten-Bewertung
Risiko-Bewertung
Schulungs-Plan
Dokumentations-Pflicht

AI-Act-Pflichten

EUR-Lex 2024/1689

KI-InventarArt. 26
Risiko-KlassenArt. 6 / Anhang III
Menschliche AufsichtArt. 14
KI-KompetenzArt. 4 (seit 02/25)
Transparenz-PflichtArt. 50

NIS2 (links)Risiko-Management nach Artikel 21, Lieferketten-Sicherheit, Melde-Pflicht binnen 24 Stunden, Schulungs- und Haftungs-Pflicht der Geschäftsleitung.

Überschneidung (Mitte)System-Inventar, Lieferanten-Bewertung, Risiko-Bewertung, Schulungs-Plan, Dokumentations-Pflicht – einmal aufgenommen, beide Verordnungen bedient.

EU AI Act (rechts)KI-Inventar nach Artikel 26, Risiko-Klassen Artikel 6 und Anhang III, menschliche Aufsicht Artikel 14, KI-Kompetenz Artikel 4, Transparenz Artikel 50.

Die 18 NIS2-Sektoren – in welchem stecken Sie?

Die NIS2-Richtlinie erfasst Unternehmen in 18 Sektoren, gegliedert in „Sektoren mit hoher Kritikalität" (Anhang I) und „sonstige kritische Sektoren" (Anhang II). Wer in einem dieser Sektoren tätig ist und die Größen-Schwellwerte erreicht oder überschreitet, ist NIS2-betroffen. Hinzu kommt eine kleinere Liste von Sektoren, die unabhängig von der Größe erfasst werden – etwa qualifizierte Vertrauensdienste-Anbieter und Top-Level-Domain-Registrare.

Sektoren mit hoher Kritikalität (Anhang I): Energie (Strom, Gas, Fern-Wärme, Öl, Wasserstoff), Verkehr (Luft-, Schienen-, Schifffahrts-, Straßen-Verkehr), Bankwesen, Finanz-Markt-Infrastrukturen, Gesundheits-Wesen (Krankenhäuser, Labors, EU-zugelassene Arzneimittel-Hersteller, Hersteller medizinischer Geräte), Trinkwasser, Abwasser, digitale Infrastruktur (Internet-Knoten, DNS-Anbieter, Top-Level-Domain-Registrare, Cloud-Anbieter, Rechen-Zentren, Content-Delivery-Networks, Vertrauensdienste-Anbieter, öffentlich erreichbare Anbieter elektronischer Kommunikation), Management von IKT-Dienste-Verwaltern, öffentliche Verwaltung (Zentralregierung, Regionalregierung), Weltraum.

Sonstige kritische Sektoren (Anhang II): Post- und Kurier-Dienste, Abfall-Wirtschaft, Herstellung und Vertrieb von Chemikalien, Produktion und Verarbeitung von Lebensmitteln (Großhandel und industrielle Verarbeitung), verarbeitendes Gewerbe (Hersteller medizinischer Geräte und in-vitro-diagnostischer Medizinprodukte, Daten-, Elektronik-, optische Erzeugnisse, elektrische Ausrüstungen, Maschinen-Bau, Kraftwagen und Kraftwagenteile, sonstiger Fahrzeug-Bau), Anbieter digitaler Dienste (Online-Marktplatz, Suchmaschine, Plattform für soziale Netzwerk-Dienste), Forschung.

Vermutlich NIS2-betroffen

Stadt-Werke, regionale Energie-Versorger, Wasser-Versorger ab 50 Mitarbeiter
Mittelständische Krankenhäuser, Reha-Kliniken, Labor-Ketten
Spedition-Unternehmen ab 50 Mitarbeiter oder 10 Mio. € Umsatz
Mittelständische Lebensmittel-Produzenten und Groß-Händler
Maschinen-Bauer, Auto-Zulieferer ab 50 Mitarbeiter
Regionale Banken, Sparkassen, Volks-Banken
Daten-Center, Cloud-Anbieter, DNS-Hoster
Vertrauensdienste-Anbieter (Signatur, Siegel) – ohne Größen-Schwelle
Öffentliche Verwaltungen (Zentral- und Regional-Regierung)

Vermutlich nicht direkt NIS2-betroffen

Hand-Werks-Betrieb mit 5 bis 20 Mitarbeitern
Kleine Steuer-Kanzlei, Solo-Anwalt
Einzelne Ärzte-Praxis ohne Klinik-Anbindung
Restaurant, Hotel, Bauern-Hof
Einzel-Händler ohne digitale Plattform-Funktion
Verein, NGO, Stiftung (ohne Sektor-Bezug)
Privater Bildungs-Träger (außerhalb Forschung)

Wichtig zur indirekten Betroffenheit: Auch wer nicht direkt NIS2-betroffen ist, kann über die Lieferketten-Pflicht aus Artikel 21 Absatz 2 lit. d nachgelagert in die Pflicht geraten. Ein Hand-Werks-Betrieb, der einem Stadtwerk Gebäude-Technik liefert, kann per Vertrag verpflichtet werden, bestimmte Mindest-Sicherheits-Maßnahmen nachzuweisen. Diese Lieferketten-Wirkung ist die wichtigste indirekte Folge von NIS2 für den deutschen Mittelstand.

Die vier KI-Risiko-Klassen nach EU AI Act

Der AI Act ordnet jede KI-Anwendung in eine von vier Risiko-Klassen ein. Die Einschätzung erfolgt nach dem Verwendungs-Zweck – nicht nach der zugrunde liegenden Modell-Technik. Derselbe Sprachmodell-Baustein kann je nach Einsatz in unterschiedlichen Klassen landen.

Unannehmbares Risiko (verboten)

Praktiken, die seit 2. Februar 2025 in der EU verboten sind: Sozial-Bewertung von Bürgern durch Behörden, Ausnutzung schutzbedürftiger Gruppen, biometrische Echtzeit-Erkennung in öffentlichen Räumen (mit eng begrenzten Ausnahmen), Manipulation durch unterschwellige Techniken, Vorhersage von Straftaten nur auf Profil-Basis.

Hochrisiko-System

Anhang III nennt acht Anwendungs-Bereiche: kritische Infrastruktur, Bildung, Personal-Wesen (Bewerbungs-Auswahl, Aufgaben-Verteilung), wesentliche Dienste (Bonität, Versicherung, öffentliche Sozial-Leistungen), Strafverfolgung, Migration, Justiz, demokratische Prozesse. Hier greifen die stärksten Pflichten: Risiko-Management, Daten-Governance, Aufzeichnungs-Pflichten, menschliche Aufsicht.

Begrenztes Risiko

Systeme, die mit Menschen interagieren (Chat-Bots), synthetische Inhalte erzeugen (Bild, Ton, Text, Video) oder Emotionen zu erkennen versuchen. Pflicht: Transparenz nach Artikel 50. Nutzer müssen wissen, dass sie mit einer KI interagieren; KI-erzeugte Inhalte müssen als solche kenntlich gemacht werden, etwa über maschinen-lesbare Markierungen.

Minimales Risiko

Die große Mehrheit alltagsnaher KI-Werkzeuge – Empfehlungs-Algorithmen in Newslettern, Bild-Filter, Spam-Erkennung im Mail-Postfach, Schach-Computer. Keine spezifischen AI-Act-Pflichten, aber freiwillige Verhaltens-Codices werden empfohlen. Wichtig: die Einschätzung als „minimal" muss schriftlich begründet sein, sonst gilt im Streitfall die Beweis-Last-Umkehr.

Hinzu: KI-Modelle mit allgemeinem Verwendungs-Zweck (GPAI): Allgemeine KI-Modelle (z.B. große Sprachmodelle, Bild-Modelle), die nicht selbst eine konkrete Anwendung sind, sondern als Basis-Modell anderen Anwendungen dienen, haben seit 2. August 2025 eine eigene Pflichten-Kategorie. Anbieter solcher Modelle müssen technische Dokumentation, Trainings-Daten-Zusammenfassung, Urheberrechts-Strategie und (bei systemischem Risiko) ein Adversarial-Test-Programm vorhalten. Für KMU als Betreiber bedeutet das: Sie müssen wissen, welche GPAI-Modelle Ihr System nutzt und ob der Anbieter den Pflichten nachkommt.

Für wen sich das Doppel-Audit lohnt – und für wen nicht

Wir sind keine Rechtsanwaltskanzlei und stellen keine Rechtsberatung im Sinne des RDG aus. Wir machen pragmatische Compliance-Audits für kleine und mittlere Unternehmen, die wissen wollen, wo sie nach NIS2 und EU AI Act stehen, und einen schriftlichen Maßnahmen-Plan brauchen – bevor die Aufsicht zum Prüftermin kommt.

Passt zu Ihnen, wenn

Sie ein Unternehmen in einem der 18 NIS2-Sektoren mit mindestens 50 Mitarbeitern oder 10 Mio. € Umsatz führen
Sie als Zulieferer eines NIS2-betroffenen Auftraggebers Sicherheits-Nachweise vorlegen müssen
Sie KI-gestützte Werkzeuge im Personal-Wesen, Kundenservice, Bonitätsprüfung oder Mitarbeiter-Bewertung einsetzen
Sie ein Sprachmodell zur Inhalts-Erzeugung in Marketing, Vertrieb oder Sachbearbeitung verwenden
Sie wissen wollen, welche Pflichten 2025/2026 verbindlich werden und welche Pflichten heute schon gelten
Sie eine schriftliche Bestandsaufnahme als Grundlage für interne Entscheidungen brauchen
Sie einen priorisierten Maßnahmen-Plan haben wollen, der nicht 200 Seiten lang ist
Sie Compliance als Prozess über das Jahr begleitet wissen wollen

Passt nicht, wenn

Sie eine juristisch verbindliche Rechtsberatung im Sinne des RDG mit Vertretungs-Auftrag suchen
Sie eine ISO-27001-, KRITIS- oder TISAX-Zertifizierung durch eine akkreditierte Stelle benötigen
Sie eine forensische Aufarbeitung eines laufenden Sicherheits-Vorfalls brauchen
Sie eine reine Software-Implementierung Ihres KI-Inventar-Systems beauftragen wollen
Sie ausschließlich Risiko-Management nach BSI-Grundschutz-Bausteinen benötigen ohne KI-Bezug
Sie eine Konformitäts-Bewertung als KI-Anbieter für ein Hochrisiko-System ausstellen lassen wollen

Pakete und Preise

Festpreise. Sie wissen vorher, was Sie zahlen. Vier Stufen vom schnellen Betroffenheits-Check bis zur Jahresbegleitung.

Betroffenheits-Check

290 €

einmalig, schriftliche Einschätzung

NIS2-Sektor-Check anhand Ihrer Haupttätigkeit
Schwellwert-Prüfung Mitarbeiter und Umsatz
AI-Act-Vor-Prüfung der eingesetzten KI
Schriftliches Ergebnis-Papier mit Begründung
Empfehlung nächste Schritte
2 bis 3 Werktage Bearbeitung

Betroffenheits-Check buchen

Bestandsaufnahme

990 €

einmalig, ohne Maßnahmen-Plan

Alles aus Betroffenheits-Check
System-Inventar IT und Cloud
KI-Inventar mit Risiko-Klassen-Einschätzung
Lieferanten- und Sub-Dienstleister-Liste
Soll-Ist-Vergleich nach NIS2 Art. 21
Schriftlicher Befund mit Quellen-Verweisen
5 bis 8 Werktage Bearbeitung

Bestandsaufnahme buchen

Doppel-Audit komplett

1.990 €

einmalig, mit Maßnahmen-Plan

Alles aus Bestandsaufnahme
Lücken-Analyse beider Verordnungen
Priorisierter Maßnahmen-Plan mit Fristen
Pflicht-Dokumente und Vorlagen (Inventar, Melde-Vorlage, Schulungs-Konzept)
Risiko-Bewertung pro KI-System
Schulungs-Plan für Geschäftsleitung und Mitarbeiter
10 bis 15 Werktage Bearbeitung

Doppel-Audit anfragen

Jahresbegleitung

990 €

pro Jahr, jährlich kündbar

Vierteljahres-Update KI-Inventar
Update Lieferanten-Risiko-Bewertung
Jährliche Auffrischung Maßnahmen-Liste
EU-Rechts-Monitoring (NIS2, AI Act, DORA, DSGVO)
Schulungs-Unterlagen-Update pro Jahr
Schriftliche Rückmeldung bei Aufsichts-Anfragen

Jahresbegleitung buchen

Preise und Vertragsbedingungen

Alle Preise sind Endpreise. Aufgrund der Kleinunternehmerregelung gemäß §19 UStG wird keine Umsatzsteuer ausgewiesen. Die Leistungen erfolgen komplett remote, Reise- oder Vor-Ort-Kosten fallen nicht an.

Betroffenheits-Check: 290 Euro einmalig. Bestandsaufnahme: 990 Euro einmalig. Doppel-Audit komplett: 1.990 Euro einmalig. Jahresbegleitung: 990 Euro pro Jahr, jährlich kündbar.

Zusätzliche Leistungen (Pflicht-Schulung der Geschäftsleitung, Erst-Befüllung des KI-Inventars, Dokumenten-Erstellung für Aufsichts-Anfragen) werden vorab schriftlich angeboten und erst nach Ihrer Freigabe berechnet.

Wichtig zur Abgrenzung: Wir sind keine Rechtsanwaltskanzlei. Unsere Audits sind fachliche Compliance-Einschätzungen, keine Rechtsberatung im Sinne des RDG. Für die rechtsverbindliche Bewertung Ihrer NIS2- oder AI-Act-Lage empfehlen wir spezialisierte Häuser (siehe Empfehlungen unten).

Acht Leistungen, die in jedes Doppel-Audit fliessen

Diese Bausteine sind im Doppel-Audit komplett (1.990 Euro) vollständig enthalten. Die kleineren Pakete enthalten Teilmengen davon. Verbindlich ist immer der schriftlich vereinbarte Leistungsumfang.

NIS2-Betroffenheit prüfen

Schriftliche Prüfung in zwei Schritten: Sektor-Zuordnung nach den 18 NIS2-Sektoren, dann Schwellwert-Prüfung nach Mitarbeitern und Umsatz. Ergebnis: nicht betroffen, bedeutende Einrichtung oder wichtige Einrichtung.

KI-Inventar aufnehmen

Vollständige Liste eingesetzter KI-Systeme, Anbieter, Versionen, Verwendungs-Zweck pro Geschäfts-Prozess, betroffene Personengruppen, Datenquelle. Basis für die Risiko-Klassen-Einschätzung nach AI Act Artikel 6.

Risiko-Klassen beider Verordnungen

Pro System: NIS2-Risiko-Einstufung nach Artikel 21 und AI-Act-Risiko-Klasse (verboten, hoch, begrenzt, minimal). Beide Sichten auf einer Karteikarte, damit Ihre Geschäftsleitung das auf einen Blick sieht.

Lücken-Analyse Soll-Ist

Was ist Pflicht, was ist heute schon erfüllt, was fehlt? Pro Pflicht-Punkt: Quelle (NIS2 Artikel oder AI Act Artikel), Status, Belegen-Liste. Grundlage für jede Aufsichts-Anfrage und für interne Entscheidungen.

Maßnahmen-Liste priorisiert

Konkrete Reparatur-Schritte mit Fristen, Aufwand-Schätzung und Zuständigkeit. Sortiert nach Risiko-Reduktion und Pflicht-Termin. Keine 200-Seiten-Litanei, sondern eine Liste, die in eine Vorstands-Sitzung passt.

Pflicht-Dokumente und Vorlagen

System-Inventar-Vorlage, KI-Inventar-Vorlage, Melde-Vorlage nach NIS2 Artikel 23, Risiko-Bewertung-Vorlage nach Artikel 21, Schulungs-Konzept-Vorlage, Lieferanten-Bewertungs-Bogen. Alles als bearbeitbare Datei.

Schulungs-Plan

Für Geschäftsleitung nach NIS2 Artikel 20 und für alle KI-einsetzenden Mitarbeiter nach AI Act Artikel 4. Inhalt, Frequenz, Nachweis-Form. Wir liefern den Plan und Schulungs-Unterlagen, die Schulungs-Durchführung erfolgt durch Sie oder einen passenden Dienstleister.

Update-Service

Optional als Jahresbegleitung: vierteljahres-Update Ihres KI-Inventars, jährliche Auffrischung Maßnahmen-Liste, EU-Rechts-Monitoring, schriftliche Rückmeldung bei Aufsichts-Anfragen oder neuen Auslegungs-Schriften des BSI oder AI-Office.

So gehen wir vor – vier Phasen

Vier klare Phasen vom Erst-Austausch bis zur Pflege. Komplett remote, schriftliche Prüfvereinbarung vor Beginn, Festpreis nach Paket. Aufwand-Schätzung pro Phase als Orientierung.

Workflow-Diagramm Doppel-Audit

Bestandsaufnahme

Wir nehmen Ihr Unternehmen einmal vollständig auf: System-Inventar, KI-Inventar, Lieferanten-Liste, Verarbeitungs-Tätigkeiten. Sie liefern bestehende Dokumente, wir strukturieren und ergänzen.

3 bis 5 Werktage

Lücken-Analyse

Soll-Ist-Vergleich pro Pflicht aus NIS2 Artikel 21, 23, 20 und AI Act Artikel 4, 6, 14, 26, 50. Ergebnis: Delta-Liste mit konkretem Status pro Pflicht-Punkt.

2 bis 3 Werktage

Maßnahmen-Plan

Priorisierte Reparatur-Schritte mit Fristen, Aufwand-Schätzung in Tagen, Zuständigkeit (intern / extern), Belegen-Liste. Beigefügt alle Pflicht-Dokumente als Vorlagen.

3 bis 5 Werktage

Pflege optional

Jahresbegleitung mit vierteljahres-Updates des KI-Inventars, jährlicher Auffrischung der Maßnahmen, EU-Rechts-Monitoring und schriftlicher Rückmeldung bei Aufsichts-Anfragen.

laufend

Was steht eigentlich in NIS2 Artikel 21? Die zehn Pflicht-Maßnahmen

Artikel 21 NIS2 listet zehn Mindest-Maßnahmen, die jede betroffene Einrichtung umsetzen muss. Diese Liste ist der inhaltliche Kern der Richtlinie und der Prüf-Maßstab für die Aufsicht. Wer sie kennt, versteht den größten Teil des deutschen Umsetzungs-Entwurfs.

Risiko-Analyse-Strategien

Konzepte für die Risiko-Analyse und die Sicherheit der Informationssysteme. Schriftliche Bedrohungs-Analyse, Bewertungs-Methodik, Risiko-Register, regelmäßige Überprüfung. Anschlussfähig an BSI-IT-Grundschutz und ISO 27005.

Zwischenfall-Bewältigung

Verfahren für die Bewältigung von Sicherheits-Vorfällen. Definierte Rollen, Eskalations-Wege, Notfall-Kontakte, Verbindungs-Aufnahme zu CERTs und BSI, Übungen mindestens einmal pro Jahr.

Business-Continuity

Aufrecht-Erhaltung des Betriebs, Backup-Management, Wiederherstellung im Notfall, Krisen-Management. Inklusive dokumentierter Restore-Tests, nicht nur Backup-Existenz.

Lieferketten-Sicherheit

Sicherheit in den Lieferketten einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen jeder Einrichtung und ihren unmittelbaren Anbietern. Die wichtigste indirekte Folge für KMU.

Sichere Beschaffung

Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen einschließlich Schwachstellen-Management und Offenlegung von Schwachstellen.

Wirksamkeits-Prüfung

Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risiko-Management-Maßnahmen. Schriftliche Prüf-Plan-Vorlage, periodische Audit-Berichte, Nachverfolgung von Schwachstellen.

Grund-Hygiene und Schulung

Grundlegende Verfahren im Bereich der Cyber-Hygiene und Schulungen im Bereich der Cyber-Sicherheit. Phishing-Awareness, Passwort-Regeln, Mehrfaktor-Auth, sichere Mobil-Geräte-Nutzung.

Kryptografie und Verschlüsselung

Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung. Schlüssel-Verwaltung, TLS-Härtung, verschlüsselte Backups, gegebenenfalls Verschlüsselung im Mail-Verkehr (PGP, S/MIME).

Personal-Sicherheit und Zugang

Personal-Sicherheit, Konzepte für die Zugriff-Kontrolle und Verwaltung von Anlagen. Berechtigungs-Konzept, Onboarding-/Offboarding-Prozesse, Vier-Augen-Prinzip für kritische Zugriffe.

Multi-Faktor und Authentifizierung

Verwendung von Lösungen mit Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung, gesicherter Sprach-, Video- und Text-Kommunikation und gesicherten Notfall-Kommunikations-Systemen.

Wichtige Erweiterung über Artikel 21 hinaus: Artikel 20 verlangt die Schulung der Geschäftsleitung im Bereich Cyber-Risiken und macht die Mitglieder der Leitungs-Organe persönlich verantwortlich für die Einhaltung der Pflichten. Artikel 23 regelt die Melde-Pflichten bei Sicherheits-Vorfällen: Früh-Warnung binnen 24 Stunden, Vorfall-Meldung binnen 72 Stunden, Abschluss-Bericht binnen einem Monat. Diese drei Stufen muss jede betroffene Einrichtung organisatorisch vorhalten.

Was steht eigentlich im EU AI Act? Die wichtigsten Artikel

Der EU AI Act ist mit über 100 Artikeln und 13 Anhängen ein umfangreicher Verordnungs-Text. Aus Betreiber-Sicht sind sechs Artikel besonders wichtig – sie regeln, was Sie als KI-einsetzendes Unternehmen tun müssen.

Artikel 4 – KI-Kompetenz (seit 02.02.2025)

Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag KI-Systeme einsetzen, über ein ausreichendes Maß an KI-Kompetenz verfügen. Praktisch: Schulungs-Plan mit Inhalt, Frequenz und Nachweis. Es gibt keine spezifische Stunden-Zahl, aber die Aufsicht erwartet eine systematische Sensibilisierung.

Artikel 6 – Klassifizierungs-Regeln Hochrisiko

Ein KI-System gilt als Hochrisiko, wenn es in einer der acht in Anhang III genannten Bereiche eingesetzt wird oder als Sicherheits-Bestandteil eines Produkts dient, das einer Konformitäts-Bewertung nach anderen EU-Vorschriften unterliegt. Wichtig: die Einstufung ist tatbestandsbezogen, nicht selbst-deklariert.

Artikel 14 – Menschliche Aufsicht

Hochrisiko-KI-Systeme müssen so gestaltet werden, dass sie wirksam von natürlichen Personen beaufsichtigt werden können. Die aufsichtsführende Person muss verstehen können, wie das System arbeitet, Fälle „automatischer Voreingenommenheit" erkennen, einzelne Ausgaben überstimmen und das System notfalls anhalten können.

Artikel 26 – Betreiber-Pflichten

Betreiber eines Hochrisiko-KI-Systems treffen geeignete technische und organisatorische Maßnahmen, um den Einsatz gemäß der Gebrauchs-Anweisung sicherzustellen, der menschlichen Aufsicht zuständige Personen zuzuweisen, die Eingangs-Daten auf Eignung zu prüfen, das System zu überwachen und Vorfälle zu melden, Aufzeichnungen mindestens 6 Monate aufzubewahren.

Artikel 50 – Transparenz-Pflichten

Anbieter und Betreiber von KI-Systemen, die mit Menschen interagieren oder synthetische Inhalte erzeugen, müssen dafür sorgen, dass die Tatsache der KI-Interaktion oder der KI-Erzeugung kenntlich gemacht wird. Bei Deepfakes und KI-erzeugten „Texten von öffentlichem Interesse" greifen zusätzliche Kennzeichnungs-Pflichten.

Artikel 99 – Sanktionen

Bei Verstoß gegen verbotene Praktiken: bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes. Bei Verstoß gegen Pflichten für Hochrisiko-Systeme: bis zu 15 Mio. Euro oder 3 Prozent. Bei Falsch-Angaben gegenüber Behörden: bis zu 7,5 Mio. Euro oder 1 Prozent. Sanktionen werden national durch die jeweilige Marktaufsichts-Behörde verhängt.

Verzahnung mit DSGVO – was sich verdoppelt, was sich ergänzt

NIS2 und EU AI Act stehen nicht im luftleeren Raum. Beide verzahnen sich mit der seit 2018 geltenden Datenschutz-Grundverordnung (DSGVO Verordnung 2016/679) und mit dem Bundesdatenschutzgesetz (BDSG). Wer schon eine ordentliche DSGVO-Dokumentation hat, bekommt einen guten Teil seiner NIS2- und AI-Act-Pflichten günstig nachgezogen.

Verzeichnis der Verarbeitungs-Tätigkeiten (DSGVO Art. 30)

Das DSGVO-Verarbeitungs-Verzeichnis ist die ideale Basis für das NIS2-System-Inventar und das AI-Act-KI-Inventar. Wer schon ein gepflegtes VVT hat, muss es nur um die NIS2- und AI-Act-Spalten (Risiko-Klasse, menschliche Aufsicht, Notfall-Kontakt) erweitern.

Auftragsverarbeitungs-Verträge (Art. 28)

AV-Verträge mit Dienstleistern sind seit 2018 Pflicht. Für NIS2 kommt die Lieferketten-Bewertung nach Artikel 21 hinzu, für AI Act die Auftragnehmer-Bewertung bei KI-Cloud-Anbietern. Wir gleichen die bestehenden AV-Verträge mit den neuen Anforderungen ab und liefern eine Mangel-Liste.

Datenschutz-Folgenabschätzung (Art. 35)

Für Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, ist eine DSFA in der Regel Pflicht. Die DSK hat in ihrer gemeinsamen Stellungnahme zur Verzahnung AI Act und DSGVO eine kombinierte DSFA-/Risiko-Bewertungs-Methodik empfohlen. Wir nutzen genau diese Methodik im Audit.

Melde-Pflichten

DSGVO kennt die Meldung an die Datenschutz-Aufsichts-Behörde binnen 72 Stunden bei Daten-Pannen. NIS2 kennt die Meldung an das BSI binnen 24 Stunden (Früh-Warnung) und 72 Stunden (Vorfall-Meldung) bei Sicherheits-Vorfällen. Beide Wege können sich überschneiden, wenn ein Vorfall personenbezogene Daten betrifft. Wir liefern eine Vorlage, die beide Fälle abdeckt.

Schulungs- und Sensibilisierungs-Pflicht

Die DSGVO verlangt in Artikel 39 die Sensibilisierung der Mitarbeiter durch den Datenschutz-Beauftragten. NIS2 verlangt in Artikel 20 die Schulung der Geschäftsleitung. AI Act verlangt in Artikel 4 die KI-Kompetenz aller KI-einsetzenden Mitarbeiter. Wir bündeln das in einen integrierten Jahres-Schulungs-Plan.

Technisch-organisatorische Maßnahmen (TOMs)

Die DSGVO Artikel 32 verlangt angemessene TOMs. NIS2 Artikel 21 erweitert das um konkrete Anforderungen: Risiko-Analyse, Zwischenfall-Bewältigung, Backup, Notfall-Wiederherstellung, Multi-Faktor-Auth, kryptografische Lösungen, sichere Beschaffung. Bestehende TOMs werden im Audit auf die NIS2-Ergänzungen geprüft.

Die NIS2-Melde-Kette – was binnen 24 Stunden, 72 Stunden, einem Monat passiert

Artikel 23 NIS2 etabliert eine dreistufige Melde-Pflicht, die viele Unternehmen unterschätzen. Wer noch nie eine Sicherheits-Vorfall-Meldung an eine Behörde geschickt hat, ist im Ernstfall mit der zeitlichen Eskalation überfordert. Wir liefern die Vorlagen für alle drei Stufen plus die Eskalations-Strecke.

Früh-Warnung (24 Stunden)

Binnen 24 Stunden nach Kenntnis-Erlangung eines erheblichen Sicherheits-Vorfalls: kurze Früh-Warnung an das BSI als zuständige Stelle. Inhalt: vermutete Ursache, Bedrohungs-Lage, Verdacht auf Cross-Border-Wirkung. Diese Meldung erfolgt über das BSI-Meldeportal.

strenge Frist

Vorfall-Meldung (72 Stunden)

Binnen 72 Stunden: aktualisierte Bewertung mit Erkenntnissen, Schwere-Indikatoren, Indikatoren-of-Compromise (IoCs), gegebenenfalls Maßnahmen zur Eindämmung. Format strukturiert nach BSI-Vorgabe.

strenge Frist

Abschluss-Bericht (1 Monat)

Binnen einem Monat: detaillierte Beschreibung des Vorfalls, Schwere, Auswirkung, Ursachen, ergriffene und geplante Abhilfe-Maßnahmen, gegebenenfalls grenzüberschreitende Folgen. Dieser Bericht wird Teil des Aufsichts-Verfahrens.

Folge-Bericht

Aktualisierungs-Bericht

Falls bei Abgabe des Abschluss-Berichts noch nicht alle Folgen bekannt sind: weiterer Aktualisierungs-Bericht. In jedem Fall: detaillierte Schluss-Bewertung spätestens einen Monat nach Abschluss der Vorfall-Bewältigung.

Folge-Bericht

Praktische Konsequenz: Eine Melde-Kette innerhalb von 24 Stunden setzt eine vorbereitete Organisations-Struktur voraus. Die wenigsten KMU haben eine 24/7-Bereitschaft. Im Doppel-Audit liefern wir eine schlanke Bereitschafts-Regelung mit Eskalations-Stufen, vorbereiteten Melde-Texten und einer Probe-Übung, die in eine reale Krisen-Sitzung passt. So sind Sie nicht das Unternehmen, das im Ernstfall über die Frage stolpert: „Wer schickt das eigentlich los?"

Schulungs-Pflicht – wer was wissen muss, in welchem Umfang

Die Schulungs-Pflichten aus NIS2 Artikel 20 und AI Act Artikel 4 sind in der Praxis oft das, was am schnellsten umgesetzt werden muss – und am leichtesten in einer Aufsichts-Prüfung positiv ausfällt. Wer eine ordentliche Schulungs-Dokumentation hat, signalisiert Compliance-Ernst und beruhigt die Behörde.

Geschäftsleitung (NIS2 Art. 20)

Mitglieder der Leitungs-Organe müssen an Schulungen teilnehmen, die ausreichende Kenntnisse und Fähigkeiten vermitteln, um Risiken zu erkennen und Cyber-Sicherheits-Praktiken zu bewerten. Inhalte: NIS2-Überblick, Risiko-Verständnis, Eskalations-Pflichten, persönliche Haftung. Empfohlener Umfang: ein halber bis ganzer Tag pro Jahr, dokumentiert mit Teilnehmer-Liste und Inhalts-Protokoll.

IT-Verantwortliche und Administratoren

Technische Schulung zu NIS2-Mindest-Maßnahmen aus Artikel 21: Risiko-Management-Praxis, Multi-Faktor-Auth-Implementierung, Backup-Strategie, Vorfall-Bewältigung, Lieferanten-Bewertung, Schwachstellen-Management. Empfohlener Umfang: ein bis drei Tage pro Jahr, gegebenenfalls externer Trainer.

Alle Mitarbeiter – Cyber-Hygiene

Grundlegende Sensibilisierung nach NIS2 Artikel 21 Absatz 2 lit. g: Phishing-Erkennung, Passwort-Hygiene, Mobil-Geräte-Nutzung, Cloud-Speicher-Regeln, Melde-Wege bei Verdachts-Fällen. Empfohlener Umfang: 30 bis 60 Minuten pro Jahr, idealerweise mit kurzer Wiederholungs-Prüfung. Phishing-Simulation als Ergänzung sinnvoll.

KI-einsetzende Mitarbeiter (AI Act Art. 4)

Ausreichendes Maß an KI-Kompetenz. Inhalte: was ist ein Sprachmodell technisch, wo liegen Grenzen (Halluzination, Voreingenommenheit), wie wird menschliche Aufsicht praktisch ausgeübt, was darf nicht in einen externen KI-Dienst eingegeben werden (Personen-Daten, Geschäfts-Geheimnisse), wie wird KI-erzeugter Inhalt kenntlich gemacht. Umfang: 60 bis 90 Minuten pro Jahr, fall-bezogen erweitert.

Bedeutende KI-Verantwortliche

Für Personen mit konkreter Verantwortung für Hochrisiko-KI-Systeme (z.B. Personal-Auswahl-Tool-Verantwortliche, Bonitäts-Prüf-System-Verantwortliche): erweiterte Schulung zu Risiko-Management, Aufzeichnungs-Pflichten, menschliche Aufsicht nach Art. 14, Diskriminierungs-Erkennung. Umfang: zwei bis vier Tage initial, ein Tag jährliche Auffrischung.

Datenschutz- und Compliance-Personen

Die bestehenden DSGVO-Schulungs-Anteile werden um NIS2- und AI-Act-Bezug ergänzt. Schwerpunkte: DSFA-/Risiko-Bewertung kombiniert, Lieferanten-Bewertung im AVV plus NIS2-Lieferketten-Sicht, Melde-Kette DSGVO-72h plus NIS2-24h, Schnittstelle zu AI-Office und BSI.

Im Audit liefern wir den Schulungs-Plan mit Inhalt, Frequenz, Zielgruppen und Nachweis-Form. Die tatsächliche Durchführung der Schulungen erfolgt durch Sie intern oder durch einen spezialisierten Schulungs-Träger. Wir empfehlen je nach Branche TeleTrust, ISACA Germany Chapter, DEKRA Akademie, TÜV Akademie oder spezialisierte Anwalts-Kanzleien für die Geschäftsleitungs-Schulung. Schulungs-Unterlagen für die Cyber-Hygiene-Modul-Reihe können wir auf Wunsch als Vorlage liefern.

Drei Praxis-Fälle – wie das Doppel-Audit konkret abläuft

Damit konkret wird, was abstrakt klingt: drei anonymisierte Beispiele aus der Beratungs-Praxis. Alle drei sind echte Fälle, deren Details zur Wahrung der Vertraulichkeit verändert wurden.

Fall A – Mittelständischer Maschinen-Bauer (180 Mitarbeiter)

Ausgangs-Lage: Familien-Unternehmen, klassischer Werkzeug-Maschinen-Bau, exportiert in 24 Länder, Lieferant für Auto-Hersteller. Eingesetzte KI: ein deutsches Sprachmodell zur Angebots-Erstellung, ein Bild-Erkennungs-System in der Qualitäts-Kontrolle, ein US-Cloud-Sprachmodell für interne Recherchen.

NIS2-Sicht: Sektor „verarbeitendes Gewerbe / Maschinen-Bau" nach Anhang II, Schwellwerte erreicht → bedeutende Einrichtung. Pflichten: Risiko-Management Art. 21, Melde-Pflicht Art. 23, Schulungs-Pflicht Geschäftsleitung Art. 20.

AI-Act-Sicht: Angebots-KI und Recherche-KI = begrenztes Risiko (Transparenz Art. 50, KI-Kompetenz Art. 4). Bild-Erkennung in Qualitäts-Kontrolle = minimales Risiko (Empfehlung: dokumentierte Begründung der Einstufung).

Ergebnis-Doku: 12-Seiten-Bericht, 18 priorisierte Maßnahmen, Pflicht-Vorlagen, Schulungs-Plan. Dauer Doppel-Audit: 11 Werktage.

Fall B – Regionaler Energie-Versorger (75 Mitarbeiter)

Ausgangs-Lage: Stadt-Werk eines Mittelzentrums, Strom- und Gas-Versorgung für 35.000 Haushalte. KI-Einsatz: ein Last-Prognose-System des Netz-Leitstands (eigene Entwicklung), ein US-Sprachmodell im Kundenservice.

NIS2-Sicht: Sektor „Energie / Elektrizität" nach Anhang I, Schwellwerte erreicht → wichtige Einrichtung (höchste Pflichten-Stufe). Pflichten zusätzlich: aktive Aufsicht durch BSI, schriftliche Bestellung der Compliance-Verantwortlichen.

AI-Act-Sicht: Last-Prognose im Netz-Leitstand = Hochrisiko-System nach Anhang III (kritische Infrastruktur). Pflichten: Risiko-Management-System, Daten-Governance, technische Dokumentation, Aufzeichnungs-Pflichten, menschliche Aufsicht Art. 14, Konformitäts-Bewertung vor Inbetrieb-Nahme. Service-KI = begrenztes Risiko.

Ergebnis-Doku: 18-Seiten-Bericht, 31 priorisierte Maßnahmen, dedizierte Konformitäts-Vorbereitung für das Prognose-System, gemeinsame Prüf-Sitzung mit BSI-Hinweis-Papier. Dauer Doppel-Audit: 14 Werktage.

Fall C – Zulieferer eines NIS2-Pflichtigen (28 Mitarbeiter)

Ausgangs-Lage: IT-Dienstleister, der einem regionalen Wasser-Versorger Software wartet. Kein eigener NIS2-Sektor, aber: Auftraggeber verlangt Sicherheits-Nachweis nach NIS2-Lieferketten-Standard.

NIS2-Sicht: Indirekt über die Lieferketten-Pflicht des Auftraggebers (Art. 21 Abs. 2 lit. d). Vertraglich verlangte Mindest-Maßnahmen: Multi-Faktor-Auth, Backup-Strategie, Vorfall-Melde-Strecke, Mitarbeiter-Schulung, Nachweis dieser Maßnahmen einmal pro Jahr.

AI-Act-Sicht: Eingesetzte KI im Tagesgeschäft (Code-Assistent, Mail-Triage) = begrenztes Risiko, Transparenz- und KI-Kompetenz-Pflicht.

Ergebnis-Doku: 6-Seiten-Bericht, 9 priorisierte Maßnahmen, Nachweis-Vorlage für den Auftraggeber. Dauer: 5 Werktage. Folge-Auftrag: Jahresbegleitung für 990 Euro pro Jahr.

Was diese drei Fälle gemeinsam haben

Alle drei kamen mit zwei einfachen Fragen: „Sind wir betroffen?" und „Was müssen wir bis wann tun?". Alle drei brauchten am Ende eine schriftliche Antwort, die in eine Vorstands-Sitzung passt. Alle drei haben nach dem Audit die Jahresbegleitung gebucht, weil EU-Recht sich monatlich weiterentwickelt und sie keine eigene Compliance-Abteilung haben.

Was bei keinem der drei Fälle Teil unseres Auftrags war: die juristisch verbindliche Vertretung gegenüber Aufsichts-Behörden. Sobald aufsichtsrechtliche Schritte oder formale Verfahren anstehen, ist das die Aufgabe der jeweils beauftragten Rechtsanwalts-Kanzlei.

Was wir leisten – und was wir ehrlich nicht leisten

Eine ehrliche Selbstauskunft ist Teil der Beratung. Wir sind eine Manufaktur für Digitales mit Schwerpunkt KI- und Sicherheits-Audits, keine Rechtsanwaltskanzlei und keine akkreditierte Zertifizierungs-Stelle. Unsere Audits decken die fachlichen Compliance-Fragen ab, ersetzen aber keine Rechtsberatung und keine Zertifizierungs-Prüfung.

Das machen wir verlässlich

Schriftlicher Betroffenheits-Check NIS2 und EU AI Act
System- und KI-Inventar nach Vorgaben beider Verordnungen
Risiko-Klassen-Einschätzung pro System nach AI Act Artikel 6 und Anhang III
Soll-Ist-Vergleich nach NIS2 Artikel 21 und AI Act Artikel 4, 14, 26, 50
Lieferketten-Bewertung mit strukturiertem Risiko-Fragebogen
Priorisierter Maßnahmen-Plan mit Fristen und Aufwand-Schätzung
Vorlagen für Pflicht-Dokumente (Inventar, Melde-Vorlage, Schulungs-Konzept)
Schulungs-Plan für Geschäftsleitung und KI-einsetzende Mitarbeiter
EU-Rechts-Monitoring im Rahmen der Jahresbegleitung
Schriftliche Rückmeldung bei Aufsichts-Anfragen oder neuen Auslegungs-Schriften

Das machen wir nicht

Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) mit Vertretungs-Auftrag
Vertretung gegenüber Aufsichts-Behörden in laufenden Verfahren
Akkreditierte Zertifizierung nach ISO 27001, ISO 42001, KRITIS, TISAX
Konformitäts-Bewertung als notifizierte Stelle nach AI Act Artikel 43
Forensische Aufarbeitung eines laufenden Sicherheits-Vorfalls
Implementierung eines KI-Inventar-Software-Systems als reine Programmier-Leistung
Entwicklung eines KI-Hochrisiko-Systems mit eigener Konformitäts-Bewertung
Auditierung als externer Auditor nach NIS2 Aufsichts-Vorgaben

Wenn Sie etwas brauchen, das wir nicht leisten

Für rechtsverbindliche Beratung zu NIS2 und EU AI Act empfehlen wir spezialisierte Anwaltskanzleien wie Reusch Rechtsanwälte (Saarbrücken/München), GvW Graf von Westphalen, CMS Hasche Sigle oder Bird & Bird. Diese Häuser verfügen über dedizierte IT- und Tech-Recht-Teams mit NIS2- und AI-Act-Schwerpunkt.

Für ISO-27001-Zertifizierungen empfehlen wir je nach Branche TÜV SÜD, TÜV Nord, DEKRA oder DQS. Für akkreditierte Prüfstellen nach KRITIS §8a BSIG arbeitet das BSI mit einer eigenen Liste, die regelmäßig aktualisiert wird.

Wir haben keinerlei Provisions-Vereinbarungen mit diesen Häusern und bekommen kein Geld für Empfehlungen. Unser Audit kann als interne Vor-Prüfung dienen, um die offenkundigen Lücken vor dem teuren formalen Audit zu beheben.

Methodik – woran wir uns orientieren

Eine Mischung aus EU-Verordnungs-Texten, BSI-Empfehlungen, Auslegungs-Schriften des AI-Offices und gemeinsamer Stellungnahme der Datenschutz-Konferenz. Wir benutzen keine eigene Geheim-Methodik – jede Aussage in unserem Bericht ist auf die zugrundeliegende Verordnung oder Quelle referenziert.

Verordnungs-Texte als Primär-Quelle

NIS2 EUR-Lex 2022/2555 und EU AI Act EUR-Lex 2024/1689 in der jeweils aktuell konsolidierten Fassung. Für das deutsche Recht: NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in der zur Prüfungs-Zeit aktuellsten Beratungs-Fassung.

BSI- und AI-Office-Hinweis-Papiere

Hinweis-Papiere und Frequently-Asked-Questions des Bundesamts für Sicherheit in der Informationstechnik zu NIS2 und der EU-AI-Office zu AI-Act-Auslegungen. Inkl. der gemeinsamen DSK-Stellungnahme zur Verzahnung von AI Act und DSGVO.

BSI-IT-Grundschutz als Risiko-Raster

Für die NIS2-Risiko-Bewertung nutzen wir die Bausteine des BSI-IT-Grundschutz als Orientierungs-Raster für Mindest-Härtung. Das macht den Bericht anschlussfähig für interne ISMS-Initiativen und spätere ISO-27001-Vorhaben.

OECD AI Principles als Risiko-Heuristik

Für die Einschätzung von KI-Systemen jenseits der direkten AI-Act-Klassifikation greifen wir auf die OECD-Empfehlung zur künstlichen Intelligenz und auf die ISO-42001-Norm als orientierende Referenz zurück.

DSGVO-Verzahnung

NIS2 und AI Act überschneiden sich vielfach mit der DSGVO – bei der Lieferketten-Bewertung (Art. 28 AVV), bei der Risiko-Bewertung (Art. 35 DSFA) und bei Melde-Pflichten. Wir referenzieren beide Sichten und legen die Schnitt-Mengen offen.

Transparente Belegen-Liste

Jede Aussage in unserem Bericht hat eine Quelle: Artikel der Verordnung, Erwägungs-Grund, Hinweis-Papier, BSI- oder AI-Office-Stellungnahme. So können Sie oder Ihre Rechtsabteilung jedes Argument nachvollziehen.

Sechs häufige Mythen über NIS2 und AI Act

In den Beratungs-Gesprächen begegnen uns dieselben Fehl-Annahmen wieder und wieder. Hier sechs der häufigsten, mit einer klaren Richtig-Stellung.

Mythos 1: „Wir sind doch nur Mittelstand – NIS2 trifft nur Konzerne."

Falsch. Die Schwellwerte beginnen bei 50 Mitarbeitern oder 10 Mio. Euro Umsatz. Hinzu kommt die Lieferketten-Wirkung: wer einem NIS2-Pflichtigen liefert, kann vertraglich in die Pflicht geraten. Realität: geschätzte 30.000 deutsche Unternehmen sind direkt betroffen, indirekt über die Lieferkette deutlich mehr.

Mythos 2: „Wir setzen keine KI ein – AI Act betrifft uns nicht."

Falsch. Wer einen Cloud-basierten Chat-Bot zur Text-Erstellung, einen automatisierten Spam-Filter, ein Bewerber-Sortierungs-Tool oder eine Bonitäts-Prüfungs-Software einsetzt, ist Betreiber im Sinne des AI Act. Bereits seit Februar 2025 gilt für Sie die KI-Kompetenz-Pflicht aus Artikel 4.

Mythos 3: „Solange das deutsche Gesetz nicht in Kraft ist, müssen wir nichts tun."

Teilweise falsch. Die NIS2-Pflichten sind in der Tat erst mit Inkrafttreten des NIS2UmsuCG voll durchsetzbar. Aber: die EU-Frist ist verstrichen, die Aufsicht bereitet sich vor, einige direkte EU-Pflichten gelten bereits. Wer heute die Bestandsaufnahme macht, hat einen Zeit-Vorsprung von 6 bis 12 Monaten gegenüber dem ersten Prüf-Schwung der Behörde.

Mythos 4: „Wir haben ISO 27001 – damit sind wir NIS2-konform."

Teilweise richtig. ISO 27001 deckt einen großen Teil der NIS2-Risiko-Management-Pflichten aus Artikel 21 ab. Aber: Schulungs-Pflicht der Geschäftsleitung (Art. 20), persönliche Haftung der Leitungs-Organe, NIS2-spezifische Melde-Wege binnen 24/72 Stunden, Aufsichts-Anbindung an das BSI – das alles ist ISO-27001-fremd und muss separat geregelt werden.

Mythos 5: „Wir haben einen externen IT-Dienstleister – der kümmert sich."

Falsch. Die Verantwortung für die NIS2-Pflichten liegt bei der Geschäftsleitung der betroffenen Einrichtung. Ein externer Dienstleister kann technische Maßnahmen umsetzen, aber die Rechen-Schaft für Risiko-Management, Schulung, Melde-Pflichten und Lieferketten-Bewertung bleibt bei Ihnen. Im Gegenteil: der externe Dienstleister ist Teil Ihrer Lieferkette und muss selbst bewertet werden.

Mythos 6: „KI-Kompetenz heisst nur ein Online-Kurs für alle."

Falsch. Artikel 4 AI Act verlangt ein „ausreichendes Maß an KI-Kompetenz" – ausreichend für den jeweiligen Einsatz. Wer ein Hochrisiko-System für Bewerbungs-Auswahl bedient, braucht andere Inhalte als wer einen Chat-Bot zur Text-Erstellung nutzt. Im Audit liefern wir die rollen-spezifische Schulungs-Matrix, nicht ein Universal-Modul.

Rechtlicher Rahmen – ohne schriftliche Beauftragung kein Audit

Compliance-Audits gegen Pflicht-Verordnungen sind sensibel. Wir bekommen Einblick in Ihr System-Inventar, in Lieferanten-Verträge, in KI-Anwendungs-Fälle und in interne Risiko-Bewertungen. Deshalb arbeiten wir nur nach schriftlicher Prüfvereinbarung mit dokumentierter Scope-Freigabe und schriftlicher Vertraulichkeit. Ohne Unterschrift kein Audit.

Inhalte unserer schriftlichen Prüfvereinbarung

Auftraggeber mit Handelsname, Rechtsform und Anschrift; Unterzeichner mit Vertretungs-Berechtigung
Klare Liste der zu prüfenden Verordnungs-Sichten: NIS2, EU AI Act, optional DSGVO-Verzahnung
Klare Liste der zu prüfenden Systeme, Cloud-Tenants, KI-Anwendungs-Fälle und Lieferanten
Klare Liste der ausgeschlossenen Bereiche und Daten-Kategorien
Prüfungs-Zeitraum mit Start- und End-Datum
Erlaubte Methoden: Dokumenten-Prüfung, Tenant-Lese-Zugang, schriftliche Rückfragen
Vertraulichkeits-Vereinbarung beider Seiten, Löschfrist für überlassene Dokumente und Prüf-Berichte
Auftragsverarbeitungs-Vereinbarung nach Art. 28 DSGVO, sofern personenbezogene Daten Dritter im Scope sind
Abgrenzung: keine Rechtsberatung im Sinne des RDG, keine Vertretung gegenüber Aufsichts-Behörden
Eskalations-Klausel bei akut sichtbaren Compliance-Risiken (sofortige schriftliche Meldung)

Verzahnung mit weiteren EU-Rechts-Rahmen

NIS2 EUR-Lex 2022/2555: EU-Richtlinie für Netz- und Informationssicherheit, in Kraft seit Januar 2023, Umsetzungs-Frist 17. Oktober 2024. Deutsche Umsetzung über das NIS2UmsuCG, das nach Auflösung der Ampel-Koalition neu in der Beratung des Bundestages ist.

EU AI Act EUR-Lex 2024/1689: Verordnung über künstliche Intelligenz, in Kraft seit 1. August 2024, gestaffeltes Inkrafttreten der Pflichten bis 2. August 2027.

BSIG (Bundesamt-für-Sicherheit-in-der-Informationstechnik-Gesetz): Aufsichts-Grundlage für das BSI als zuständige Behörde für NIS2 in Deutschland. §8a BSIG regelt die Pflichten der Betreiber kritischer Infrastrukturen.

DSGVO Verordnung 2016/679: Datenschutz-Grundverordnung. Die DSK (Datenschutz-Konferenz) hat in einer gemeinsamen Stellungnahme die Verzahnung von AI Act und DSGVO dargelegt – insbesondere die DSFA-Pflicht nach Art. 35 bei Hochrisiko-KI-Systemen, die personenbezogene Daten verarbeiten.

DORA Verordnung 2022/2554: Digital Operational Resilience Act – für Finanz-Unternehmen seit 17. Januar 2025 verbindlich, überschneidet sich teilweise mit NIS2. Wenn Sie unter DORA fallen, klären wir die Verzahnung im Audit mit.

Ohne Unterschrift kein Audit. Auch nicht in der Anfrage-Phase, auch nicht für eine schnelle Stichprobe. Der Schutz dient beiden Seiten gleichermaßen – Sie haben volle Kontrolle, wir haben volle Rechtssicherheit.

Zwei Verordnungen, ein Audit-Aufenthalt

Sie wissen am Ende, wo Sie stehen – und was bis wann zu tun ist.

Betroffenheits-Check 290 Euro mit schriftlicher Einschätzung in 2 bis 3 Werktagen. Bestandsaufnahme 990 Euro mit System- und KI-Inventar. Doppel-Audit komplett 1.990 Euro mit priorisiertem Maßnahmen-Plan und Pflicht-Dokumenten. Jahresbegleitung 990 Euro pro Jahr mit vierteljahres-Updates und EU-Rechts-Monitoring. Komplett remote, schriftliche Prüfvereinbarung, fester Festpreis nach §19 UStG ohne Umsatzsteuer.

Pakete ansehen Jetzt anfragen

Quellen und weiterführende Informationen

Die hier zitierten Verordnungs-Texte, Termine und Auslegungs-Hinweise stammen aus offiziellen Quellen. Wir verlinken die Originale, damit Sie nachprüfen können, was hier steht.

BSI – NIS2 in Deutschland

Bundesamt für Sicherheit in der Informationstechnik – Hinweis-Papiere zur Umsetzung der NIS2-Richtlinie in Deutschland, Aufsichts-Praxis und Melde-Pflichten. bsi.bund.de/NIS-2-Regulierung

EUR-Lex – NIS2-Richtlinie 2022/2555

Volltext der NIS2-Richtlinie in der amtlichen deutschen Fassung. Quelle für alle Artikel-Verweise (Art. 21 Risiko-Management, Art. 23 Melde-Pflicht, Art. 20 Schulungs-Pflicht). eur-lex.europa.eu – NIS2

EUR-Lex – EU AI Act 2024/1689

Volltext der KI-Verordnung in der amtlichen deutschen Fassung. Quelle für alle Artikel-Verweise (Art. 4 KI-Kompetenz, Art. 6 Risiko-Klassen, Art. 14 Aufsicht, Art. 26 KI-Inventar, Art. 50 Transparenz). eur-lex.europa.eu – AI Act

Bundesnetzagentur – KI-Service-Desk

Die Bundesnetzagentur fungiert als nationaler KI-Service-Desk für KMU, mit Hinweis-Papieren zu AI-Act-Pflichten für Anbieter und Betreiber. bundesnetzagentur.de – KI

EU AI Office

Die EU-Kommission hat das AI-Office als zentrale EU-Stelle für AI-Act-Auslegung und -Aufsicht eingerichtet. Hinweis-Papiere, Frequently-Asked-Questions und Code-of-Practice-Entwürfe werden hier veröffentlicht. digital-strategy.ec.europa.eu – AI Office

DSK – Gemeinsame Stellungnahme AI Act und DSGVO

Die Konferenz der unabhängigen Datenschutz-Aufsichts-Behörden (DSK) hat eine gemeinsame Stellungnahme zur Verzahnung von AI Act und DSGVO veröffentlicht – insbesondere zur DSFA-Pflicht bei Hochrisiko-KI-Systemen. datenschutzkonferenz-online.de

BSIG – Bundesamt-für-Sicherheit-Gesetz

Aufsichts-Grundlage für das BSI als zuständige Behörde für NIS2 in Deutschland. §8a BSIG regelt die Pflichten der Betreiber kritischer Infrastrukturen. gesetze-im-internet.de – BSIG

NIS2UmsuCG – deutscher Gesetz-Entwurf

NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – der deutsche Umsetzungs-Entwurf, der nach Auflösung der Ampel-Koalition neu in der Beratung des Bundestages ist. Aktueller Stand über den Dokumenten-Server des Bundestages. dserver.bundestag.de

Beschreiben Sie Ihr Problem

Wir melden uns bei Ihnen und finden eine Lösung.

Anfrage – noch kein Vertragsschluss. Der Vertrag kommt erst durch Terminvereinbarung zustande (§ 3 AGB). Ihre Angaben werden zur Bearbeitung Ihrer Anfrage verarbeitet; Details in der Datenschutzerklärung. Bitte erstellen Sie vor dem Termin ein Backup Ihrer wichtigen Daten (§ 5 Abs. 4 AGB).

Häufig gestellte Fragen

Was ist die NIS2-Richtlinie und wen betrifft sie?

NIS2 ist die zweite EU-Richtlinie zur Netz- und Informationssicherheit, EUR-Lex 2022/2555, in Kraft seit Januar 2023, mit Umsetzungs-Frist 17. Oktober 2024. Die deutsche Umsetzung erfolgt über das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das nach Auflösung der Ampel-Koalition neu in die Beratung des Bundestages eingebracht wurde und voraussichtlich 2025/2026 in Kraft tritt. Betroffen sind Unternehmen in 18 Sektoren ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz – darunter Energie, Trinkwasser, Abwasser, Verkehr, Bankwesen, Finanz-Markt-Infrastrukturen, Gesundheit, digitale Infrastruktur, IKT-Dienste-Management, öffentliche Verwaltung, Weltraum, Post, Abfallwirtschaft, Chemie, Lebensmittel-Produktion, Forschung, digitale Anbieter und das verarbeitende Gewerbe. Schätzungen für Deutschland: rund 30.000 Unternehmen betroffen, davon viele KMU, die heute noch nichts davon wissen.

Was ist der EU AI Act und wen betrifft er?

Die KI-Verordnung der Europäischen Union, EUR-Lex 2024/1689, wurde am 12. Juli 2024 verkündet und trat am 1. August 2024 in Kraft. Die Pflichten gelten gestaffelt: ab 2. Februar 2025 die Verbote unannehmbarer Praktiken und die KI-Kompetenz-Pflicht nach Artikel 4, ab 2. August 2025 die Vorschriften für allgemeine KI-Modelle, ab 2. August 2026 die Mehrheit der Pflichten für Hochrisiko-Systeme, ab 2. August 2027 die Pflichten für Hochrisiko-Systeme nach Anhang I. Betroffen ist jedes Unternehmen, das KI-Systeme entwickelt, in Verkehr bringt, in Betrieb nimmt oder als Anwender einsetzt – auch dann, wenn die KI von einem US-Anbieter bezogen wird. Für KMU gilt: wer ein Sprachmodell zur Personal-Auswahl, Bonität-Prüfung, Bewerbungs-Sortierung oder Mitarbeiter-Beobachtung einsetzt, fällt typischerweise unter die Hochrisiko-Pflichten.

Bin ich NIS2-betroffen, wenn ich Solo-Handwerker oder 10-Mann-Betrieb bin?

In der Regel nein. NIS2 zieht zwei Schwellwerte: mindestens 50 Mitarbeiter ODER mindestens 10 Millionen Euro Jahresumsatz UND Tätigkeit in einem der 18 erfassten Sektoren. Solo-Selbstständige und Kleinst-Betriebe unter diesen Schwellwerten sind direkt nicht betroffen. Indirekt schon: als Lieferant eines NIS2-betroffenen Unternehmens kann Ihr Auftraggeber per Vertrag verlangen, dass Sie bestimmte Mindest-Sicherheits-Maßnahmen nachweisen. Das ist der Lieferketten-Schutz aus Artikel 21 NIS2. Unser Betroffenheits-Check für 290 Euro klärt diese Frage schriftlich und mit Begründung.

Bin ich AI-Act-betroffen, wenn ich kein KI-Unternehmen bin?

Wahrscheinlich ja, sobald Sie KI-gestützte Werkzeuge im Arbeitsalltag einsetzen – auch wenn diese von einem Drittanbieter stammen. Die Verordnung unterscheidet zwischen Anbietern und Betreibern, und die meisten KMU sind Betreiber. Pflichten als Betreiber: KI-Inventar führen, Verwendungs-Zweck dokumentieren, menschliche Aufsicht sicherstellen (Artikel 14), KI-Kompetenz der eingesetzten Personen nachweisen (Artikel 4 – ab Februar 2025). Beispiele für betroffene Einsätze: KI-gestützte Bewerbungs-Auswahl, Bonität-Prüfung, automatisierte Schadensregulierung, Mitarbeiter-Bewertung, Gesichts- oder Stimm-Erkennung im Kundenservice. Ein einfacher Chatbot zur Text-Erstellung fällt meist unter geringeres Risiko, hat aber Transparenz-Pflichten.

Welche Schwellwerte gelten für NIS2 und AI Act im Vergleich?

NIS2 staffelt nach Größe und Sektor. Wichtige Einrichtung („essential entity"): ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz in einem der besonders kritischen Sektoren. Bedeutende Einrichtung („important entity"): ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz. Bestimmte Sektoren werden unabhängig von der Größe erfasst, zum Beispiel qualifizierte Vertrauensdienste-Anbieter, Top-Level-Domain-Registrare und DNS-Dienste-Anbieter. Der AI Act dagegen knüpft nicht primär an Unternehmens-Größe an, sondern an den Risiko-Charakter des KI-Systems. Es gibt vier Risiko-Klassen: unannehmbares Risiko (verboten), hohes Risiko (umfangreiche Pflichten), begrenztes Risiko (Transparenz-Pflichten), minimales Risiko (keine Pflichten). Ein 10-Mann-Betrieb mit einem Hochrisiko-System hat dieselben Pflichten wie ein Konzern mit dem gleichen System.

Welche Bußgelder drohen bei Verstößen gegen NIS2 oder den AI Act?

NIS2 sieht Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor, je nachdem welcher Betrag höher ist – bei wichtigen Einrichtungen. Bei bedeutenden Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 Prozent des Umsatzes. Hinzu kommt die persönliche Haftung der Geschäftsleitung nach Artikel 20 und 23 NIS2: Geschäftsführer können bei nachweislichen Pflichtverletzungen persönlich in Regress genommen werden. Der AI Act zieht noch höher: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei Verstößen gegen Verbots-Praktiken, 15 Millionen Euro oder 3 Prozent bei Verstößen gegen Pflichten für Hochrisiko-Systeme, 7,5 Millionen Euro oder 1 Prozent bei Falschangaben gegenüber Behörden.

Wann tritt was genau in Kraft? Die Termin-Übersicht.

NIS2: 17. Oktober 2024 war die Umsetzungs-Frist für die Mitgliedstaaten. Deutschland hat die Frist verpasst, das NIS2UmsuCG ist in der Beratung. Bei Inkrafttreten gilt für betroffene Unternehmen eine Übergangs-Frist von drei Monaten für die Registrierungs-Pflicht beim BSI und in der Regel sechs Monate für Melde-Pflichten bei Sicherheits-Vorfällen. AI Act: 1. August 2024 in Kraft. Verbote und KI-Kompetenz-Pflicht: 2. Februar 2025. Allgemein-Modelle: 2. August 2025. Hochrisiko-Pflichten Mehrheit: 2. August 2026. Hochrisiko-Pflichten Anhang I: 2. August 2027. Wer heute noch keine Bestandsaufnahme hat, liegt im roten Bereich für die Hochrisiko-Pflichten in 2026.

Warum lohnt es sich, NIS2 und AI Act in einem Audit zu kombinieren?

Weil beide Verordnungen dieselbe Datenbasis brauchen: ein vollständiges Inventar Ihrer IT-Systeme, Software-Stücke, Cloud-Dienste, Sub-Dienstleister und KI-Werkzeuge. Wir nehmen Ihr Unternehmen einmal auf und werten gleich für beide Verordnungen aus. Sparen Sie sich zwei separate Audit-Termine mit zwei separaten Honorar-Rechnungen. Hinzu kommt: einzelne Pflichten überschneiden sich. Risiko-Management nach Artikel 21 NIS2 verlangt unter anderem eine Lieferketten-Analyse – die fragt für jeden Dienstleister, ob er sicherheits-konform ist. Wenn Sie einen US-Cloud-KI-Anbieter einsetzen, ist diese Lieferkette gleichzeitig für NIS2 und für AI Act relevant. Ein kombiniertes Audit liefert einen gemeinsamen Stammbaum, aus dem beide Verordnungs-Sichten abgeleitet werden.

Was steht in einem KI-Inventar nach AI Act drin?

Pro eingesetztem KI-System: eindeutige Bezeichnung, Anbieter, Versions-Stand, Verwendungs-Zweck im Unternehmen, betroffene Geschäfts-Prozesse, betroffene Personengruppen (Bewerber, Mitarbeiter, Kunden, Lieferanten), Datenquelle für das Training (falls eigen-trainiert) oder Anbieter-Angaben (falls extern), Risiko-Klassen-Einschätzung nach AI Act Artikel 6 und 7, geforderte menschliche Aufsicht nach Artikel 14, Maßnahmen zur Sicherstellung der Aufsicht, geforderte KI-Kompetenz der eingesetzten Personen nach Artikel 4, Schulungs-Stand, Verantwortliche Person, Datum der letzten Überprüfung. Wir liefern eine Vorlage, die direkt befüllt werden kann, plus die schriftliche Erst-Befüllung für Ihre wichtigsten KI-Werkzeuge.

Wir nutzen nur einen Cloud-Chatbot – sind wir trotzdem betroffen?

Ja, mit eingeschränkten Pflichten. Cloud-basierte Sprachmodelle US-amerikanischer Anbieter sind aus AI-Act-Sicht in der Regel der Risiko-Klasse „begrenztes Risiko" zugeordnet, sobald sie zur Inhalts-Erzeugung dienen. Daraus folgen Transparenz-Pflichten: Ihre Nutzer müssen wissen, dass sie mit einer KI interagieren. Synthetische Inhalte müssen als solche kenntlich gemacht werden. Hinzu kommt die KI-Kompetenz-Pflicht nach Artikel 4: Mitarbeiter, die KI einsetzen, müssen über die Funktions-Weise, Risiken und Grenzen Bescheid wissen – ab 2. Februar 2025. Sobald derselbe Chatbot zur Bewerbungs-Sortierung, Bonität-Prüfung oder Mitarbeiter-Bewertung eingesetzt wird, springt das System in die Hochrisiko-Klasse und bringt deutlich mehr Pflichten mit. Unser Audit klärt, wo Sie genau stehen.

Was unterscheidet eine NIS2-Pflicht von einer ISO-27001-Zertifizierung?

ISO 27001 ist eine internationale Zertifizierungs-Norm für ein Informationssicherheits-Management-System, freiwillig, mit Audit durch eine akkreditierte Zertifizierungs-Stelle. NIS2 ist eine EU-Pflicht-Vorschrift für bestimmte Sektoren, gesetzlich verbindlich, mit Aufsichts-Behörde (in Deutschland das BSI) und Bußgeld-Sanktion. Inhaltlich gibt es Überschneidung: die Risiko-Management-Anforderungen aus Artikel 21 NIS2 sind ähnlich strukturiert wie das ISO-Kontroll-Raster. Wer bereits ISO 27001 zertifiziert ist, hat einen großen Teil der NIS2-Pflichten faktisch erfüllt – aber nicht alle. Insbesondere die Lieferketten-Analyse, die Melde-Pflichten bei Vorfällen, die Schulungs-Pflicht für Geschäftsleitung und die persönliche Haftung nach Artikel 20/23 NIS2 sind eigenständige Pflichten, die ISO 27001 nicht abdeckt. Unser Audit zeigt die Delta-Liste.

Ist eine Jahresbegleitung sinnvoll oder reicht ein einmaliges Audit?

Ein einmaliges Audit klärt den heutigen Stand und liefert einen Maßnahmen-Plan. Aber Compliance ist kein Zustand, sondern ein Prozess. Sobald Sie eine neue KI-Anwendung einsetzen, einen Cloud-Anbieter wechseln, einen Lieferanten beauftragen oder einen Sicherheits-Vorfall melden müssen, ändert sich Ihre Pflicht-Lage. Die Jahresbegleitung deckt drei wiederkehrende Aufgaben ab: erstens vierteljährliche Aktualisierung des KI-Inventars, zweitens Update der Lieferketten-Liste mit neuen Risiko-Bewertungen, drittens jährliche Auffrischung der Schulungs-Unterlagen und Maßnahmen-Liste. Sinnvoll für alle, die nicht selber wöchentlich EUR-Lex und BSI-Empfehlungen verfolgen wollen.

Wie lange dauert ein Doppel-Audit konkret von der Anfrage bis zum fertigen Bericht?

Vom Erst-Austausch über die Prüfvereinbarung bis zur Bericht-Auslieferung rechnen Sie mit drei bis sechs Wochen. Davon entfallen rund zwei Tage auf das Erstgespräch und die Klärung des Scope, drei bis fünf Werktage auf die Bestandsaufnahme mit Datenraum-Sichtung und schriftlichen Rückfragen, zwei bis drei Werktage auf die Lücken-Analyse beider Verordnungen und drei bis fünf Werktage auf die Erstellung des priorisierten Maßnahmen-Plans samt Pflicht-Vorlagen. Bei größeren Tenant-Strukturen oder mehr als zehn eingesetzten KI-Systemen verlängert sich der Audit-Anteil entsprechend. Der Gesamt-Aufwand auf Ihrer Seite liegt bei rund 12 bis 25 Personen-Stunden für Datenraum-Aufbau, Rückfragen-Beantwortung und Abschluss-Gespräch. Sie können den Audit jederzeit pausieren oder den Scope einschränken, ohne dass dafür Mehrkosten entstehen.

Welche Unterlagen müssen wir vor dem Audit bereitstellen?

Wir starten mit einer kurzen Unterlagen-Liste, die wir per Daten-Raum mit Sie teilen. Pflicht-Bestandteile: aktuelles Verzeichnis der Verarbeitungs-Tätigkeiten nach DSGVO Art. 30 (sofern vorhanden), Liste der eingesetzten IT-Systeme und Cloud-Dienste, Liste der eingesetzten KI-Werkzeuge mit Anbieter und Verwendungs-Zweck, Liste der wichtigsten Lieferanten und Sub-Dienstleister mit Tätigkeits-Beschreibung, bestehende AV-Verträge nach Art. 28 DSGVO, vorhandene TOMs- oder Sicherheits-Konzepte, Organigramm und Geschäfts-Verteilungs-Plan, Anzahl der Mitarbeiter und letzte Jahres-Umsatz-Zahl. Nice-to-have: eine bestehende ISO-27001- oder TISAX-Audit-Dokumentation, falls vorhanden. Wir nehmen die Unterlagen entgegen, strukturieren sie und ergänzen Fehlendes durch schriftliche Rückfragen. Sie müssen vorab nichts neu erstellen.

Was kostet das Beheben der gefundenen Lücken nach dem Audit?

Das hängt davon ab, was gefunden wird. Erfahrungswert aus den ersten Doppel-Audits: zwischen 8 und 25 Maßnahmen mit unterschiedlichem Aufwand. Drei Wege stehen offen. Erstens, Sie setzen die Maßnahmen intern oder mit Ihrem bestehenden IT-Dienstleister um. Der Maßnahmen-Plan ist so geschrieben, dass jede erfahrene Fach-Person die Empfehlungen umsetzen kann. Zweitens, wir setzen einzelne Maßnahmen zum Festpreis nach Befund um (übliche Spanne 590 bis 2.490 Euro für 8 bis 25 Anpassungen), insbesondere die Erst-Befüllung des KI-Inventars, das Schreiben des Risiko-Konzepts oder das Aufsetzen der Melde-Strecke. Drittens, Sie buchen unsere Jahresbegleitung für 990 Euro pro Jahr, in der wir Sie laufend bei der Umsetzung begleiten. Für tiefer gehende Implementierung (z.B. Aufbau eines vollwertigen ISMS nach ISO 27001) empfehlen wir spezialisierte Häuser.