NIS2
EU 2022/2555 in DARION AI: zehn Pflichtmaßnahmen nach Art. 21, Incident-Reporting mit 24h-Frühwarnung und Management-Haftung.
NIS2
NIS2 (EU 2022/2555) ist seit Oktober 2024 in nationales Recht umzusetzen. DARION AI prüft die Anwendbarkeit als Digital Infrastructure Provider und implementiert die zehn Pflichtmaßnahmen aus Art. 21 unabhängig von der finalen Einstufung. Diese Seite zeigt, was wir technisch und organisatorisch umsetzen und was du als Mandant beachten musst.
Geltungsbereich
- DARION AI rechnet sich konservativ als wichtige Einrichtung im Sinne von Art. 3 Abs. 2 ein.
- Die Anwaltsprüfung (Legal-Check) läuft parallel zur Soft-Launch-Phase.
- Unsere Mandanten sind oft selbst NIS2-pflichtig (kritische Infrastruktur, Energie, Gesundheit) und benötigen einen vertrauenswürdigen Lieferanten.
Die zehn Pflichtmaßnahmen nach Art. 21 Abs. 2
| Nr. | Anforderung | Umsetzung in DARION |
|---|---|---|
| 1 | Risikomanagement und Sicherheitsleitlinien | Dokumentiert im internen ISMS, ISO 27001-Anschlussprojekt geplant. |
| 2 | Incident Handling | Lightweight-SRE-Prozess, P1/P2/P3-Severities, Postmortem-Template im Repo. |
| 3 | Business Continuity, Backup-Management, Krisenmanagement | Patroni 3-Node HA, restic-Backups mit 3-2-1-1-0-Strategie, Disaster-Recovery-Drill quartalsweise. |
| 4 | Lieferketten-Sicherheit | AVV mit allen Sub-Auftragsverarbeitern, Renovate-Pipeline und Trivy-Scans für Dependencies. |
| 5 | Sicherheit in Netzwerk- und Informationssystemen, Beschaffung | Cilium-NetworkPolicies im K3s, WireGuard-Mesh extern, CIS-Benchmark Level 1 via Ansible-Hardening. |
| 6 | Vorgehensweisen zur Bewertung der Wirksamkeit | Wöchentliche Self-Pen-Tests (OWASP ZAP, Semgrep, Trivy), externer Pen-Test post-Launch (Cure53 / SySS). |
| 7 | Grundlegende Cyber-Hygiene und Schulungen | Onboarding-Schulung für DARION-Team, MFA mit TOTP oder WebAuthn als Pflicht für admin-Rollen. |
| 8 | Kryptographie und Verschlüsselung | TLS 1.3 in Transit, LUKS auf Disk, App-Level Encryption für sensible Felder, MinIO SSE-KMS, Crypto-Shredding. |
| 9 | Personalsicherheit, Zugangskontrolle, Asset-Management | Keycloak mit zwei Realms (darion-app und darion-admin), Infisical für Secrets, Asset-Modul für Lifecycle. |
| 10 | Verwendung von Mehrfaktor-Authentifizierung und sicheren Kommunikationsmitteln | MFA Pflicht für admin und owner, ENABLE_STRICT_CSP in Produktion, sichere E-Mail via DKIM, SPF und DMARC. |
Incident-Reporting
NIS2 fordert eine gestaffelte Meldung an die nationale CSIRT:
- Frühwarnung innerhalb 24 Stunden ab Kenntnis eines erheblichen Sicherheitsvorfalls.
- Detailmeldung innerhalb 72 Stunden mit erster Bewertung von Schweregrad und Auswirkungen.
- Abschlussbericht innerhalb eines Monats mit Ursachenanalyse und ergriffenen Maßnahmen.
DARION-interner Ablauf:
- Alertmanager schickt P1-Alarme an Telegram-Channel
@darion-incidentsmit E-Mail-Backup über Brevo. - Incident-Commander aktiviert das Postmortem-Template, dokumentiert Zeitleiste, Mandanten-Impact, Root Cause und Action Items.
- Mandanten-Kommunikation läuft über
[email protected]und Status-Pagestatus.darion.ai. - Eskalation an Anwalt und CSIRT erfolgt nach Severity-Klassifikation.
Management-Haftung
NIS2 nimmt die Geschäftsleitung in die persönliche Pflicht (Art. 20):
- Die Geschäftsführung von DARC Management UG ist namentlich als ISMS-Verantwortlicher benannt.
- Schulungen zur Cybersicherheit sind dokumentiert.
- Die Geschäftsleitung billigt das Risikomanagement-Verfahren formal jährlich.
Was du als Mandant tust
- Benenne in deinem Workspace eine NIS2-Kontaktperson, falls du selbst pflichtig bist.
- Sichere Zugangsdaten deiner admin- und owner-Accounts mit MFA, das DARION erzwingt.
- Trage Sub-Auftragsverarbeiter in deinem Workspace-Vertragsregister ein.
- Nutze den vorbereiteten Incident-Meldebogen aus dem Compliance-Modul für eigene Meldungen.
Strafen
NIS2 sieht für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 Prozent des Jahresumsatzes vor, für wesentliche Einrichtungen bis zu 10 Mio. Euro oder 2 Prozent. Die genaue Strafhöhe richtet sich nach der nationalen Umsetzung in deinem Sitzland.
Verwandt
- DSGVO: Datenschutz parallel zu NIS2.
- Audit-Trail: Beleg für NIS2-Reporting.
- Architektur: Netzwerk- und Verschlüsselungsdetails.
- Roadmap: ISO 27001 Audit als nächster Compliance-Schritt.