NIS2-Bereitschaft ist kein Gefühl — sie ist ein messbarer Zustand: Risikomaßnahmen implementiert und dokumentiert, Incident-Response-Prozess bereit und geübt, Management geschult und accountability-fähig. EAB macht diesen Zustand sichtbar.
Nationale Cybersicherheitsbehörden können jederzeit Compliance-Nachweise anfordern. EAB stellt sicher, dass der NIS2-Record zu diesem Zeitpunkt vollständig ist — nicht nach einem Wochen-Sprint zur Zusammenstellung.
Alle zehn Maßnahmen-Kategorien nach Art. 21 NIS2 sind in EAB als strukturierte Checkliste umgesetzt: Policies, Incident Handling, Business Continuity, Lieferkette, Systembeschaffung, Effektivitätsbewertung, Cyberhygiene, Kryptographie, HR-Sicherheit, Zugriffskontrolle und Asset-Management. Nachweis-Status pro Kategorie.
Der Incident-Response-Prozess muss bereit sein, bevor ein Incident passiert. EAB dokumentiert den Prozess, die Meldestelle, die Eskalationswege und — wichtig — die Übungszyklen. Ein ungetesteter Incident-Response-Plan ist kein Plan; EAB trackt Übungsdurchläufe als Nachweis.
Sicherheitsbewertungen aller kritischen Lieferanten — cloud-basierte KI-Dienste, Hosting-Provider, Software-Anbieter. EAB verknüpft die Lieferketten-Sicherheitsbewertung mit dem DSGVO-AVV-Management und dem KI-System-Register: welche Lieferanten welche Systeme unterstützen.
NIS2 fordert die aktive Beteiligung des Leitungsorgans an der Cybersicherheits-Governance. EAB dokumentiert Management-Schulungen, Governance-Entscheidungen durch das Leitungsorgan und die formale Billigung der Sicherheitspolitik — mit Datum und Identität.
Business-Continuity-Plan und Disaster-Recovery-Konzept: dokumentiert, mit definierten RTO/RPO-Zielen, regelmäßig getestet. Für KI-Systeme: Fallback-Prozesse für den Fall, dass das System ausfällt — besonders relevant für Hochrisiko-KI in kritischen Entscheidungsprozessen.
NIS2-Einrichtungen müssen sich bei der zuständigen nationalen Behörde registrieren. EAB dokumentiert den Registrierungsstatus, die gemeldeten Kontaktdaten und die Zugehörigkeit zum Sektor. Für Organisationen in mehreren EU-Mitgliedstaaten: Zuständigkeits-Mapping.
KI-Systeme sind anfällig für Angriffe, die klassischen Systemen nicht zugänglich sind: Adversarial Examples, Data Poisoning, Model Inversion, Membership Inference. NIS2-Risikomaßnahmen müssen diese KI-spezifischen Angriffsvektoren abdecken — EAB verknüpft KI-Robustheit (Art. 15 AI Act) mit NIS2-Risikomaßnahmen.
Wer Cloud-KI-APIs in kritischen Prozessen einsetzt, hat diese Provider als Lieferketten-Risiko nach NIS2. Ein Ausfall oder eine Kompromittierung des KI-Dienstleisters kann kritische Funktionen beeinträchtigen. EAB strukturiert die Lieferketten-Sicherheitsbewertung für KI-Dienste spezifisch.
Was ist ein meldepflichtiger Sicherheitsvorfall bei einem KI-System? Ein Bias-Fehler, der zu diskriminierenden Entscheidungen führt? Ein Adversarial Example, das das System manipuliert? EAB hilft, die Incident-Definition für KI-Systeme zu klären und die Meldepflicht-Grenze zu dokumentieren.
Risikomaßnahmen dokumentiert, Incident-Response getestet, Management eingebunden, Lieferkette bewertet — EAB macht NIS2-Bereitschaft zu einem nachweisbaren Zustand.
EU-gehostet · Verankert in CELEX 32024R1689
Erzählen Sie uns von Ihrer Organisation und Ihrem Anliegen. Wir melden uns mit den relevanten Informationen.
