Die EU-Regularien wie NIS-2, AI-Act etc. sind von Unternehmen im Hinblick auf Cybersicherheit umzusetzen. Dabei stellt sich die große Frage nach der Verhältnismäßigkeit bestimmter Fragen. Das Institut der deutschen Wirtschaft Köln e.V. und die IW Consult GmbH haben in einer Studie die Auswirkungen von KI-Verordnung, NIS-2-Richtlinie und Cyber Resilience Act auf KMUs untersucht.
Mir ist das Thema zufällig die Tage über nachfolgenden Tweet von Prof. Dr. Dennis Kipker untergekommen. Der Tweet umreißt ja bereits das Thema: Wie steht es um die Verhältnismäßigkeit der umzusetzenden Maßnahmen zur Digitalregulierung der EU in Klein- und Mittelstand (KMU).
Die Kurzstudie des Instituts der deutschen Wirtschaft Köln e.V. und der IW Consult GmbH (erstellt im Rahmen der Mittelstand-Digital Begleitforschung) mit dem Titel KI-Verordnung, NIS-2-Richtlinie und Cyber Resilience Act: Auswirkungen auf KMU wurde bereits zum 13. November 2025 als PDF-Dokument veröffentlicht und ist frei abrufbar.
Im Begleittext heißt es dazu: Die digitale Transformation eröffnet kleinen und mittleren Unternehmen neue Chancen, stellt sie jedoch zugleich vor erhebliche regulatorische Herausforderungen. Drei aktuelle Regelwerke der Europäischen Union – die KI-Verordnung (KI-VO), die NIS-2-Richtlinie und der Cyber Resilience Act (CRA) – verändern den Handlungsrahmen für kleine und mittlere Unternehmen grundlegend.
Diese Regelungen setzen an unterschiedlichen Punkten an, verfolgen aber das gemeinsame Ziel, ein sicheres, vertrauenswürdiges und wettbewerbsfähiges digitales Binnenmarktgefüge in der EU zu schaffen. Die vorliegende Studie stellt die Regelwerke vor, untersucht ihre Auswirkung auf kleine und mittlere Unternehmen, analysiert Kosten und Nutzen und leitet daraus Unterstützungsbedarfe ab.
MVP: 2013 – 2016
KI-Verordnung trifft mich nicht, da ich KI aus der Firma raushalte… ebenso wie die Cloud. On-Prem; gehärtet und gesichert; ordentliche Backup-Strategie; getrennte Netze; Zero Trust usw. Den Cyber Resilience Act erfülle ich problemlos.
Die NIS-2-Richtlinie macht mir da Kopfzerbrechen… Meine Firma ist zu klein, um davon betroffen zu sein; zur kritischen Infrastruktur gehöre ich nicht. Aber: Durch die Umsätze könnte ich reinrutschen, die Lieferkette könnte eventuell auch eine Rolle spielen… da weiß man ja nie…
Leider können selbst die Behörden dazu keine klare Aussage treffen. Auch diese Studie bringt keine Klarheit. Naja, sicherheitstechnisch bin ich überzeugt, diese Vorgaben ausreichend zu erfüllen… Also einfach mal abwarten und auf einen zukommen lassen, notfalls dann noch anpassen.
Ich finde es jedoch mehr als beschreibend, das da unser Staat nicht in der Lage ist, klare, verständliche Vorgaben zu geben. Die rechte Hand nicht weis, was die linke Hand tut!
Ich werde mir jedenfalls nicht weiter den Kopf zerbrechen! Zumal ich ja immer noch selbst entscheide mit wem ich Geschäfte mache und mit wem nicht! Außerdem habe ich, wie Born, ein Alter erreicht wo ich mich auch zur Ruhe setzen kann, geht mir der Staat da zu sehr auf die Nüsse, mache ich eben dicht! Ich muss nicht mehr alles mitmachen.
Luzifer, volle Zustimmung zu Deiner Denkweise, auch wenn sie schade ist für unseren Wirtschaftsstandort; jedoch nachvollziehbar. Immer mehr Unternehmer (vom Metzger bis Industriezulieferer) denken so, mit der Folge, dass auch keine Motivation zu einer geordneten Firmenübergabe im Ruhestandsalter vorhanden ist, sondern die Firma geschlossen oder verkauft wird.
In der Tech-Branche heisst es:
Amerika innovates
China duplicates
EU regulates.
Dabei wäre bessere und selbständigkeitsfördernde Bildung der weitaus bessere Ansatz.
Zudem komme ich immer mehr an den Punkt, dass das böse amerikanische Modell "Regulierung flach, aber drakonische Strafen bei Produkt/Konsumentenschäden" innovationsfreundlicher ist als das Gegenteil.
Die EU hat in neuen Tech-Feldern keine Leader mehr, wegen des Perfektionswahns bei der Regulierung von Branchen, die aufgrund der Regulierung gar nicht entstehen. Die paar wenigen guten Startups werden dann eh von US-Firmen aufgekauft.
Im Bereich Cybersicherheit wurde politisch viel zu gelange geschlafen. Gute, friedliche Zeiten sind halt trügerisch. Ein Firmenchef sagte mir einst: "Seien sie immer auf der Hut. Ein gutes Unternehmen oder eine gute Organisation ruiniert man in guten Zeiten. In den schlechten Zeiten schlagen lediglich der Versäumnisse aus den guten Zeiten durch."
"Immer mehr Unternehmer (vom Metzger bis Industriezulieferer) denken so, mit der Folge, dass auch keine Motivation zu einer geordneten Firmenübergabe im Ruhestandsalter vorhanden ist, sondern die Firma geschlossen oder verkauft wird."
Oder es findet sich schlicht kein Nachfolger oder kein Personal.
Bäcker hier hat 2 Filialen geschlossen, weil er kein Personal findet. Eine dritte Filiale konnte er retten. Da arbeitet jetzt eine Frau, die aus der Ukraine geflüchtet ist.
Ein Metzger hat sein Geschäft komplett geschlossen, weil er kein Personal gefunden hat.
Eine Maschinenbaufirma hat geschlossen, weil der Inhaber keinen Nachfolger gefunden hat.
Eine Elektroinstallationsfirma hat geschlossen, weil die kein Personal gefunden hat.
etc. etc.
Hier im Umkreis von 30 km haben in den letzten 10 Jahren sicher 30 Betriebe geschlossen, weil die kein Personal gefunden haben oder weil sich kein Nachfolger gefunden hat.
Und was die Cybersicherheit angeht:
Gerade da, wo es besonders nötig ist (z.B. Behörden), werden dann von der Politik Ausnahmen gemacht. Denn da müssten die ja selbst tätig werden.
Ja, R.S., das erlebe ich hier seit Jahren auch. Hat aber ebenfalls damit zu tun, dass es das Erziehungs- und/oder Bildungssystem nicht schafft, bei mindestens 5 von 30 Mitgliedern einer Schulklasse eine Begeistung für irgendeine fachliche Tätigkeit zu wecken. Da hilft auch keine Regulierung oder das Reinkippen von Fördergeldern, keine Ausbildungsprämien und auch kein Bessere-Migration-Gesetz.
Korrekt, die Schulen sind im urbanen Bereich augenscheinlich grossteils zu einer Art "Beschäftigungstherapie mit möglichst wenig Anecken um Mobbing zu vermeiden" geworden, das Verstehen und Lernen oder Anregen von Neugier, Kreativität, Ideendiskussion usw. geht darin unter.
Wenn ich den letzten Teil des ersten Absatzes lese,
"On-Prem; gehärtet und gesichert; ordentliche Backup-Strategie; getrennte Netze; Zero Trust usw. Den Cyber Resilience Act erfülle ich problemlos."
dann Frage ich mich ob es unglücklich formuliert wurde, oder ob vielleicht ein Missverständnis zum CRA vorliegen könnte? Der CRA regelt nicht die Unternehmens-IT, sondern Produkte mit "digitalen Elementen", welche von dieser Firma hergestellt werden. Dies Produkte unterliegen dann gewissen Pflichten wie Security by design und default, Updates über die Lebenszeit, Bereitstellung einer Dokumentation der Bestandteile (SBOM), usw. Eine Fritz!Box würde z.B. darunter fallen.
Zum Rest kann ich Dir nur beipflichten. Wir könnten von der Mitarbeiterzahl und Umsatz in die besonders wichtigen Unternehmen fallen (+250 Mitarbeiter, +50 Millionen Jahrenumsatz). Also gilt die Selektoren Anlage I:
Energie, Transport/Verkehr, Finanzwesen, Gesundheit, Wasser, Digitale Infrastruktur, Weltraum, Öffentliche TK-Netze und TK-Dienste
Es gibt noch ein paar Sonderfälle, welche immer oder früher erfasst werden:
Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste, Öffentliche TK-Netze und TK-Dienste, Betreiber kritischer Anlagen (KRITIS-Betreiber)
Fazit -> Da sind wir nicht mit dabei
Also die Selektoren der Anlage II:
Post/Kurier, Abfallbewirtschaftung, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung
Fazit -> Wir produzieren, also verarbeitendes Gewerbe
Definition des verarbeitendes Gewerbe im Sinne der NIS-2:
Herstellung Medizinprodukte und In-vitro-Diagnostika
Herstellung von DV-Geräte, Elektronik und Optik (NACE 26 und 27)
Maschinenbau (NACE 28)
Herstellung von Kraftwagen und Teilen (NACE 29)
Sonstiger Fahrzeugbau (NACE 30: Schiffe, Schienen, Luft/Raumfahrt, Fahrräder)
Fazit -> Wir sind eine Maschinenfabrik, nur Maschinenbau kommt in Frage. Der Rest passt thematisch nicht zu unseren Produkten. Also geht es mit der NACE28 weiter:
28.1 Nicht wirtschaftszweigspezifische Maschinen:
Herstellung von Verbrennungsmotoren und Turbinen (ohne Motoren für Luft- und Straßenfahrzeuge); Herstellung von hydraulischen und pneumatischen Komponenten und Systemen; Herstellung von Pumpen und Kompressoren; Herstellung von Armaturen; Herstellung von Lagern, Getrieben, Zahnrädern und Antriebselementen
Beispiele: Kolben, Vergaser, Ein- und Auslassventile für Kolbenverbrennungsmotoren, Dampf-/Wasserkraft-/Windturbinen, Turbinen-Generator-Aggregate, Industriemotoren, Luftaufbereitungseinrichtungen für pneumatische Systeme, Hydraulikgetriebe, Luft- und Vakuumpumpen, Pumpen für Flüssigkeiten, Handpumpen, Sanitärarmaturen, Heizungsarmaturen, Kugel- und Rollenlager, Zahnräder und Getriebe, Wellen- und andere Kupplungen, Schwungräder und Riemenscheiben
28.2 Sonstige nicht wirtschaftszweigspezifische Maschinen:
Herstellung von Öfen und Brennern; Herstellung von Hebezeugen und Fördermitteln; Herstellung von Büromaschinen (ohne Datenverarbeitungsgeräte und periphere Geräte); Herstellung von handgeführten Werkzeugen mit Motorantrieb; Herstellung von kälte- und lufttechnischen Erzeugnissen, nicht für den Haushalt; Herstellung von sonstigen nicht wirtschaftszweigspezifischen Maschinen
Beispiele: Industrie- und Laboröfen, Brenner, elektrische Raumheizgeräte, elektrische Haushaltsheizgeräte wie Umwälzlufterhitzer und Wärmepumpen, Flaschenzüge, Kräne, Stetigförderer, Seilbahnen, Aufzüge, Fahrtreppen, Rechenmaschinen, Briefmarkenzählgeräte und Postbearbeitungsmaschinen, Stenografiermaschinen, Münzzähl- und Münzeinwickelmaschinen, Wahlmaschinen, Klebestreifenspender, Locher, Kreis- und Stichsägen, Bohrer und Bohrhämmer, Druckluftnagler, Poliermaschinen, Oberfräsmaschinen, Scheren und Blechknabber, Kühl- und Gefriereinrichtungen, Ventilatoren, Wärmeaustauscher, Hallenentlüftungssysteme, Wiegevorrichtungen, Spritzpistolen, Feuerlöscher, Sandstrahlmaschinen, Zentrifugen, Warenverkaufsautomaten, Wasserwagen und Bandmaße
28.3 Land- und forstwirtschaftliche Maschinen
Beispiele: Zugmaschinen, Mähmaschinen inkl. Rasenmäher, Pflüge, Sämaschinen, Eggen, Ernte- und Dreschmaschinen, Melkmaschinen
28.4 Werkzeugmaschinen:
Herstellung von Werkzeugmaschinen für die Metallbearbeitung; Herstellung von sonstigen Werkzeugmaschinen
Beispiele: Werkzeugmaschinen zum Bohren, Drehen, Fräsen, Hobeln, Sägen, Schleifen, Stanzen oder Pressen, Lochstanzen, Drahtzieh- und -walzmaschinen, Aufspannvorrichtungen, ortsfeste Maschinen zum Nageln, Heften, Leimen, Bohren, Feilen, Nieten
28.9 Maschinen für sonstige bestimmte Wirtschaftszweige:
Herstellung von Maschinen für die Metallerzeugung, von Walzwerkseinrichtungen und Gießmaschinen; Herstellung von Berkwerks- Bau- und Baustoffmaschinen; Herstellung von maschinen für die Nahrungs- und Genussmittelerzeugung und die Tabakverarbeitung; Herstellung von Maschinen für die Textil- und Bekleidungsherstellung und die Lederverarbeitung; Herstellung von Maschinen für die Papiererzeugung und -verarbeitung; Herstellung von Maschinen für die Verarbeitung von Kunststoffen und Kautschuk; Herstellung von Maschinen für sonstige bestimmte Wirtschaftszweige
Beispiele: Gießpfannen und -maschinen, Metallwalzwerke, Stetigförderer für den Untertageeinsatz, Beton- und Mörtelmischmaschinen, Planiermaschinen, Erd- oder Straßenhobel, Gleiskettenzugmaschinen, Planierschilde, landwirtschaftliche Trockner, milchwirtschaftliche Maschinen, Maschinen für Mahl- und Schälmühlen, Bäckereiöfen, Teigmischmaschinen, Maschinen zur Herstellung von Süßwaren, Kakao oder Schokolade, Textilmaschinen, Spinnmaschinen, Webmaschinen inkl. Handwebstühlen, Textildruckmaschinen, Nähmaschinen, Trockner für Holz/Zellstoff/Papier, Druckerei- und Buchbindereimaschinen, Auswuchtgeräte, Zentralschmieranlagen, Sonnenbänke, Kegelaufsteller für automatische Bowlingmaschinen, Karussels
Ab hier wird des dann kompliziert, denn vieles passt ein bisschen, aber auch nichts so ganz. Man kommt in den Bereich der Auslegungssache, ob man sich nun für zugehörig hält oder nicht.
Auch sind das unten nur Beispiele und keine verbindliche Liste. Ich kann gut verstehen wenn es Probleme mit der Einordnung gibt.
Was mir z.B. auch noch völlig fehlt, ist die Umsetzung der gennaten Audits in der Lieferkette. Ich vermute dort wird sich auch noch einiges herauskristallieren müssen. Wie genau Ablauf um Umfang auszusehen haben, um die Vorgaben einzuhalten.
*********************************************************
dann Frage ich mich ob es unglücklich formuliert wurde, oder ob vielleicht ein Missverständnis zum CRA vorliegen könnte? Der CRA regelt nicht die Unternehmens-IT, sondern Produkte mit "digitalen Elementen", welche von dieser Firma hergestellt werden. Dies Produkte unterliegen dann gewissen Pflichten wie Security by design und default, Updates über die Lebenszeit, Bereitstellung einer Dokumentation der Bestandteile (SBOM), usw. Eine Fritz!Box würde z.B. darunter fallen.
*********************************************************
Das ist doch bereits alles über die Maschinenrichtlinien; VDE; ISO/DIN/IEC usw. abgedeckt! Meine Maschinen brauchen kein nach Hause telefonieren die laufen lokal, was dann der Kunde macht liegt nicht in meiner Gewalt. Ich empfehle immer strikt getrenntes Produktionsnetz. Updates auf Lebenszeit ist auch wieder schwammig… wieviele Updates in der Lebenszeit usw. regelmässige Updates um des Updates willen? oder nur bei Lücken/Fehlern? Upgrades?
Das macht man doch aus Eigeninteresse bereits, sonst bist du deine Kunden schneller los als dir lieb ist.
NACE28 falle ich auch, aber keine der beispielhaft genannten Produkte und wie gesagt aufgrund der Größe 30 Mitarbeiter aussen vor… über Umsatz jedoch wieder drinn. Klare Aussagen von den Behörden: Keine!
Das Thema Software kommt mit der Maschinenverordnung (EU) 2023/1230 ab dem 20.01.2027 auch nochmal speziell in den CE Prozess. Hersteller müssen nun sicherstellen, dass Ihre Maschinen gegen Cyberangriffe angemessen geschützt sind. Ohne diese Grundlage besteht keine CE-Konformität. Ohne weitere Maßnahmen zum OT Schutz, wird es wohl sehr schwer die CE nachzuweisen.
Maschinenverordnung 2023/1230… ab 01/2027… das wird noch ein Spaß. Kunden dokumentieren, was die Maschinen alles für Daten speichert und ggf. zur Verfügung stellen..
Ich kann noch ein Sau aus Absurdistan in den Ring werfen:
EU-Entwaldungsverordnung (EUDR), nun ab Ende 2026..
Wie jede Spedition, Verpacker von den Holz Kisten die lieferkette darstellen soll und das dafür nicht entwaldet wurde.. holla die Waldfee.
Jede "Hochkultur" hat sich irgendwann selbst abgeschafft…
Ach Gottchen, wie naiv…
Oder ist dein Text KI generiert?
Hast du sonst noch was beizutragen?
Frage: Mit welchen Tools hast du Zero Trust umgesetzt?
Betr. "Ich finde es jedoch mehr als beschreibend, das da unser Staat nicht in der Lage ist, …":
Es gibt einen Staat im Staate, der von einschlägigen Beratern, Dienstleistern, Akkreditierern, Zertifizierern, Prüfern usw. usf. gebildet wird. Der Staat weiss also was er tut resp. von anderen tun lässt. Die ganze Mischpoke, die in (1) PDF-S. 38 Kapitel "4.4 Unterstützungsbedarfe der KMU" als willige Helfer aufgeführt wird, drängt zu den Töpfen. In Wirklichkeit haben wir es also mit einem verfettenden Staat und galoppierender Bürokratisierung unter dem Deckmantel rechtsstaatlicher Regulierung zu tun.
–
(1) https://www.mittelstand-digital.de/MD/Redaktion/DE/Publikationen/kurzstudie-ki-verordnung.pdf?__blob=publicationFile&v=11
Sollte nun als Diskussion in Bezug auf Staat im Staate auslaufen. Klar, man kann das alles kritisieren und womöglich ist die hier geäußerte Kritik berechtigt. Ich stelle solche Artikel hier als "Enabler" im Blog ein. Ein geneigter Interessent kann das doch jederzeit als Blaupause her nehmen "das passt nicht" raus streichen und durch eigene Inhalte ergänzen / ersetzen. Für denjenigen, der weitgehend unbeleckt ist, sind solche Papiere ein guter Startpunkt – Du hast eine Struktur und den Verweis auf Verordnungen, die ggf. zu berücksichtigen sind und kannst das (ggf. mit fremder Unterstützung) ausbauen. Kann natürlich sein, dass man dann mit diversen Verordnungen kollidiert. Das kann man aber dem Papier nicht anlasten. Nur mal so als Gedanke.
Wer nicht wählen geht, braucht sich nicht über "den Staat" beschweren…
Schon bei anderer Gelegenheit richtiggestellt: Die Wahrnehmung von Rechten ist hierzulande nicht an die Teilnahme an politischen Wahlen geknüpft. Apropos: Mit dem Engagement des neu eingetretenen Herrn Dr. Sasse verbinde ich zweierlei Hoffnungen: a) Abweisen von unter Anonym platzierten Beiträgen b) Löschung nicht substantiierbarer Behauptungen, insb. auch technischer Natur.
Danke für die Links zu den Dokumenten.
Die Weltfremdheiten mancher Dinge darin lassen mich schmunzeln. Wie in vielen anderen Bereichen werden ehrliche Unternehmer daher wieder mit manchen Regularien und Pflichten überzogen, die von unehrlichen Unternehmern oder Menschen, die sich eh nicht an Regeln, Ethik, Anstand oder Gesetze halten, sowieso ignoriert werden und auch nicht kontrolliert werden.
Zitat "Zusätzliche Informationspflichten gelten (….) sowie bei der Erstellung manipulativer Inhalte wie Deepfakes."
Das ist in etwa so, als würde ein Steuerhinterzieher die Informationspflicht befolgen, in der Steuererklärung angeben zu müssen, dass er Steuern hinterzieht.
Wenn keine Stichprobenkontrollen erfolgen , wird sich auch keiner dran halten bzw. erst, wenn der Schaden schon da ist.
Wenn ich sehe, wieviele ehrliche Unternehmer und Gastronomen in meinem Umfeld sich fuer 5stelligen Beträge teure fälschungssichere Kassensysteme angeschafft haben und welche Läden immer noch mit einer 80er-Jahre Casio-Kasse arbeiten, ergibt sich schon ein Ungleichgewicht. Wenn ich dann noch sehe, wie schlecht, selten oder lachhaft die Kontrollen ausfallen und dass das Kontrolleure nur Fehler suchen anstatt kreative oder gar hochbetrügerische Umgehungen, dann verstehe ich warum keiner mehr neue Vorschriften ernst nimmt – was einer Gesellschaft im Sinne der guten Absichten von Cybersicherheitsvorgaben gewaltig auf die Füße fallen kann.
Das Thema Cybersicherheitsbewusstein hätte seit mindestens 10 Jahren in jede IT- und Ingenieurs-Ausbildung sowie zumindest in die schulische Oberstufe in den Lehrplan gehört, nicht jetzt wieder 15 Jahre zu spät in eine Verordnung. Gleichwohl ist das Grundanliegen von NIS2 & Co. absolut richtig.
Ein wirtschaftsfreundlich denkender Staat würde jedoch dafür sorgen, dass angehende Unternehmer das nötige Wissen schon vorab erhalten und nicht aus zwei Sätzen während der Tagesschau erfahren, die sie eh nicht sehen, weil sie abends noch mit Bürokratie oder Korrspondenz zu tun haben.
Ich kann dem Beitrag absolut und zu 100% zustimmen.
Warum? Na weil der Staat in jeglicher Form (Bund, Land, Kreis, Stadt …) sich als Moralapostel aufplustert, dabei jedoch sich selbst nicht in die Pflicht nimmt. So wird es endlich mal Zeit, dass es auch für staatliche Dienstleistungen (digital oder analog) eine Art Produkthaftung gibt, so daß der Staat (nicht Bürger sondern Entscheidungsträger in den Verwaltungen) auch zur Verantwortung gezogen werden kann.
Auch sollte der Staat sich mal Gedanken darüber machen, für welche Dienste er überhaupt da ist. Statt sich selbst zu hinterfragen erstellt er Regelungen über Regelungen, die die Dummheit von Verbraucher immer weiter verstärken. Unglaublich…
Wenn Produkte auf Dauer nicht das halten, was sie versprechen, dann ist das Produkt irgendwann weg vom Markt (Egal ob Cybersicherheit etc.). So wie hier schon geschrieben unterliegt es immer dem Verbraucher, ob er ein Produkt vor dem Kauf und der Nutzung eingehend auf Sicherheit etc. prüft. Kein Mensch auf der Welt baut sich hier eine Haustür ohne Schloß ein. Wenn dann ein Verbraucher nur ein Haken als Schloß nutzt, ist es seine Sache und nicht die des Herstellers der Tür.
In was für eine Welt leben wir wo wir unsere eigene Dummheit hinter staatliche Regelungen verstecken. *Kopfschüttel*
Des Weiteren sollte grundsätzlich Software einer ganzheitlichen Produkthaftung unterliegen. Wenn sie eine Lücke hat und erfolgreich angegriffen wurde, muss der Hersteller des Produktes umfassend in die Haftung genommen werden. Wir um alles in der Welt kann es sein, dass bei Sicherheitslücken alle nur mit den Schultern zücken und auf ein Update hoffen. Erst dann kommen wir wieder in den Genuss von geprüften Anwendungen. Heute jedoch schmeißt jeder irgend einen Schwachsinnscode auf den Markt und läßt den Kunden alleine mit dem Dreck.
Lösung: Bildung, Bildung, Bildung
Ich als Privatperson habe eine eigene Domain und mache darüber nur Emails.
Ich bin der einzige Nutzer und nur ich habe die Zugangsdaten.
Trotzdem meint der Anbieter das ich unter NIS2 falle!
Weiß jemand wie ich dem Anbieter in einfachster Sprache verständlich machen kann, dass das für mich nicht gilt.
Hab noch ein Uraltvertrag und alle anderen sind teurer, deswegen möchte ich dort nicht weg.
Müsste imho mit einem einfachen Schreiben zu klären sein: "Ich bin Privatperson, und daher mangels geschäftlicher Tätigkeit nicht NIS-2-pflichtig". Wenn das nicht fruchtet, ist der Hoster eher der falsche Partner, imho.
Des Weiteren gilt, dass die NIS-2 nur dann zur Anwendung kommt, wenn die Bereitstellung von TK-Leistungen einem wesentlichen Geschäftszweck des Unternehmens entspricht. Eine interne IT, welche Mail und Telefon als Hilfsmittel bereitgestellt, um die eigentliche Geschäftstätigkeit zu ermöglichen, fällt nicht darunter. Das bedeutet natürlich nicht notwendiger Weise, dass das Unternehmen nicht doch im Rahmen seiner Haupttätigkeiten unter die NIS-2 fallen kann.
Warum können die verantwortlichen Stellen nicht einfach die Unternehmen anschreiben, die unter diese Regelwut fallen. Wir liefern doch sämtliche Daten und Statistiken monatlich an x-Behörden. Die wissen exakt, was wir produzieren bis auf die Warentarifnummern/Zolltarifnr. herunter.Was passiert dort mit unseren Daten? Ablage P.?
Oder fehlt es bei denen an Vernetzung/Digitalisierung im Jahre 2025?
This!
Die Wahrheit würde die Allgemeinheit schockieren… ;-)
Das denke ich mir…
Von uns alles mögliche fordern, aber selbst nur wenig zusammenbringen und das seit Jahrzehnten. Respekt!