NIS2 bei NexDeck
Kurzfassung
NexDeck setzt die zentralen Maßnahmen-Kategorien nach Art. 21 NIS2-Richtlinie als Plattform-Sicherheits-Baseline um. Eine formale Konformitätsbescheinigung ist im NIS2-Rahmen für Einrichtungen unserer Größenordnung gesetzlich nicht vorgesehen (Art. 24 NIS2 ist Mitgliedstaaten-optional; in Deutschland nicht umgesetzt).
Diese Seite zeigt transparent, welche Maßnahmen-Kategorien nach Art. 21 Abs. 2 NIS2-Richtlinie umgesetzt sind und wie wir NIS2-pflichtige Kunden in ihrer Lieferkette unterstützen können.
Unsere Rolle im NIS2-Ökosystem
NexDeck ist nach der Betroffenheitsprüfung des BSI (interne Selbstklassifizierung, Stand 2026-06-01) selbst nicht direkt als „wesentliche" oder „wichtige" Einrichtung im Sinne der §§ 28, 29 BSIG eingestuft. Als SaaS-Anbieter sind wir jedoch mittelbar relevant: NIS2-pflichtige Kunden müssen nach Art. 21 Abs. 2 lit. d NIS2 die Sicherheit ihrer Lieferkette gewährleisten — und dazu zählen SaaS-Lieferanten.
Wir verstehen diese Verantwortung als Verpflichtung gegenüber unseren Kunden und setzen die NIS2-Maßnahmen-Kategorien als Plattform-Sicherheits-Baseline um.
Umgesetzte Maßnahmen nach Art. 21 Abs. 2 NIS2-RL
| Maßnahmen-Kategorie (Art. 21 Abs. 2) | Umsetzungs-Status | Beleg |
|---|---|---|
| (a) Risikoanalyse + IT-Sicherheits-Konzepte | TEILWEISE | /trust/tom §1, §11 |
| (b) Bewältigung von Sicherheits-Vorfällen | TEILWEISE | Incident-Response-Runbook |
| (c) Aufrechterhaltung des Betriebs (BCM) | TEILWEISE | RTO 4h / RPO 1h, Supabase PITR 7d |
| (d) Lieferketten-Sicherheit | LIVE | /subprocessors (25 Anbieter, 3-Wege-Sync) |
| (e) Sicherheit bei Beschaffung/Entwicklung/Wartung | LIVE | CI mit Trivy + OSV + Semgrep + Nuclei |
| (f) Wirksamkeitsbewertung | LIVE | Pen-Test 2026-05 (0 Findings / 3.009 Requests) |
| (g) Cyber-Hygiene + Schulungen | PLANNED | Onboarding-Programm in Vorbereitung |
| (h) Kryptographie | LIVE | TLS 1.3, AES-256-GCM at-rest, RBAC mit RLS |
| (i) Personalsicherheit + Zugangskontrolle | TEILWEISE | RBAC 8 Rollen + 33 Permissions |
| (j) Multi-Faktor-Authentifizierung | TEILWEISE | TOTP-MFA verfügbar, Hardware-Keys geplant |
Substanz-Score (Selbsteinschätzung): Rund 70-75% der Maßnahmen-Kategorien sind substantiell umgesetzt. Die verbleibenden Lücken (g) und Formalisierung (c) werden bis Q3 2026 geschlossen.
Externe Wirksamkeitsnachweise
- Penetrations-Test 2026-05: Nuclei v3 mit 782 Standard-Templates auf 3.009 Requests gegen Production-Domain. Ergebnis: 0 Findings. Bericht-Auszug für Vendor-Assessments auf Anfrage unter NDA.
- Daily Vulnerability-Scans: Trivy + OSV-Scanner in CI, npm-audit kontinuierlich.
- Quartalsweise TOM-Reviews: Über internes
/tom-review-Skill alle drei Monate.
Was wir NICHT behaupten
NexDeck ist nicht „NIS2-zertifiziert" — die NIS2-Richtlinie sieht für unsere Größenordnung kein verpflichtendes Zertifizierungs-Verfahren vor (Art. 24 NIS2 ist Mitgliedstaaten-optional; in Deutschland nicht umgesetzt). Werbung mit Pseudo-Zertifikaten wäre nach §5 UWG irreführend — daher bewusster Verzicht.
Eine verbindliche Bewertung Ihrer eigenen NIS2-Pflichten oder der Konformität Ihrer Lieferanten kann ausschließlich durch das BSI, eine akkreditierte Prüfstelle oder qualifizierte Rechtsberatung erfolgen.
Wie wir Sie als NIS2-pflichtigen Kunden unterstützen
- Sub-Processor-Transparenz: 25 Sub-Auftragsverarbeiter, 3-Wege-Sync zwischen Trust-Center, AVV-Annex und Banner.
- Incident-Notification: Vertraglich zugesichert binnen 24 Stunden nach Kenntnis (siehe AVV §7a, Block 4).
- Auditierbarkeit: Vollständige Audit-Logs nach DSGVO Art. 30 + Aufbewahrung nach NIS2-Mindeststandards.
- TOM-Dokument auf Anfrage: Detail-Version unter NDA verfügbar; Public-Version unter /trust/tom.
Kontakt
- Compliance-Anfragen: compliance@nexdeck.app
- Audit-Anfragen: trust@nexdeck.app
- Security-Schwachstellen: security@nexdeck.app
- Verantwortliche/r: Geschäftsleitung Kre8ive Evolution GmbH i.G.
Letzte Aktualisierung: 2026-06-01
Nächste Pflicht-Review: 2026-09-01 (quartalsweise nach §38 Abs. 1 BSIG sinngemäß angewendet)
Pflicht-Hinweise
NexDeck ist nach der eigenen Betroffenheitsprüfung (Selbstklassifizierung 2026-06-01) keine direkt regulierte Einrichtung im Sinne der NIS2-Richtlinie. Die Umsetzung der Maßnahmen nach Art. 21 NIS2-RL erfolgt freiwillig als Plattform-Sicherheits-Baseline und zur Unterstützung NIS2-pflichtiger Kunden. Eine verbindliche Bewertung der eigenen NIS2-Pflichten kann ausschließlich durch das BSI, eine akkreditierte Prüfstelle oder qualifizierte Rechtsberatung erfolgen.
Anbieter: Kre8ive Evolution GmbH i.G. (in Gründung — HRB-Eintragung ausstehend). Bis zur Eintragung gilt für rechtsgeschäftliche Handlungen §11 Abs. 2 GmbHG (Handelndenhaftung).