NIS2- & DORA-Readiness ist der strukturierte Prozess, Ihre Organisation mit der EU-NIS2-Richtlinie (Richtlinie (EU) 2022/2555) und dem Digital Operational Resilience Act (Verordnung (EU) 2022/2554) in Einklang zu bringen - abgedeckt werden ICT-Risikomanagement, verpflichtende Vorfallmeldung, Aufsicht über Lieferkette und Dritte sowie Tests der operativen Resilienz einschließlich bedrohungsgeführter Penetrationstests (TLPT). CyberXplore agiert als Ihr unabhängiger Beratungspartner: Unsere erfahrenen, OSCP-/CRTP-/CREST-zertifizierten Berater führen praxisnahe Gap-Assessments durch, bauen die benötigten Nachweise und die Governance auf und liefern TLPT, das dem TIBER-EU-Framework zugeordnet ist. Wir sind eine spezialisierte Offensive-Security- und Compliance-Beratung, keine nationale zuständige Behörde - wir machen Sie tatsächlich bereit für aufsichtliche Prüfungen, statt eine Papier-Checkliste zu verkaufen.
EU NIS2 Directive (2022/2555)DORA (Regulation 2022/2554)TIBER-EUISO 27001NIST CSFMITRE ATT&CK
Warum CyberXplore
Ausschließlich Senior-Tester (OSCP, CRTP, CREST)
Zertifiziert nach ISO 27001 & ISO 9001
Kostenloser Retest + Attestierungsschreiben
Maßgeschneiderter Scope und Angebot innerhalb von 24 Stunden
Warum es wichtig ist
NIS2 erweitert den Anwendungsbereich drastisch auf Tausende 'wesentliche' und 'wichtige' Einrichtungen in Energie, Verkehr, Gesundheit, digitaler Infrastruktur, Finanzwesen und bei Managed Service Providern - wobei die Geschäftsleitung persönlich verantwortlich gemacht wird und Bußgelder bis zu 10 Millionen EUR oder 2 % des weltweiten Umsatzes drohen.
DORA erlegt Finanzunternehmen und ihren kritischen ICT-Drittanbietern verbindliche Pflichten zu ICT-Risiko, Vorfallmeldung und Resilienztests auf, mit strengen, in Stunden statt Tagen bemessenen Meldefristen.
Beide Regelwerke verlangen Nachweise operativer Resilienz unter realen Angriffsbedingungen - DORAs fortgeschrittene TLPT und die Testerwartungen von NIS2 lassen sich nicht durch automatisierte Scans oder Selbstattestierung allein erfüllen.
Lieferketten- und ICT-Drittparteienrisiko ist nun eine erstrangige rechtliche Verpflichtung: Aufsichtsbehörden erwarten dokumentierte Aufsicht, vertragliche Kontrollen und eine Analyse des Konzentrationsrisikos über Ihren gesamten Lieferantenbestand hinweg.
An Branchenstandards ausgerichtet: EU NIS2 Directive (2022/2555) · DORA (Regulation 2022/2554) · TIBER-EU · ISO 27001 · NIST CSF · MITRE ATT&CK
Unsere Methodik
01
Anwendbarkeit & Scoping
Wir ermitteln, ob Sie unter NIS2 (wesentliche vs. wichtige Einrichtung) und/oder DORA (Finanzunternehmen oder kritischer ICT-Drittanbieter) fallen, kartieren die im Scope befindlichen Systeme, Dienste und Lieferantenabhängigkeiten und stimmen die regulatorischen Ziele des Projekts ab.
02
Gap-Assessment
Unsere erfahrenen Berater bewerten Ihr aktuelles ICT-Risikomanagement-Framework, Ihre Governance, Vorfallprozesse und Resilienztests gegen NIS2 Artikel 20-23 und die fünf Säulen von DORA und erstellen ein priorisiertes Gap-Register mit klaren Verantwortlichkeiten.
03
Behebungs-Roadmap & Kontrolldesign
Wir übersetzen Lücken in eine pragmatische, risikobasierte Behebungs-Roadmap - definieren Richtlinien, Risikobehandlung, Vertragsklauseln für Dritte, Workflows zur Vorfallklassifizierung und -meldung sowie die Nachweise, die jede Kontrolle erzeugen muss.
04
Bedrohungsgeführte Penetrationstests (TLPT)
Für DORAs Anforderung an fortgeschrittene Tests führen wir intelligence-geführte Red-Team-Übungen durch, ausgerichtet an TIBER-EU und MITRE ATT&CK, und emulieren realistische Bedrohungsakteure gegen Ihre kritischen Funktionen, um Erkennung, Reaktion und Resilienz zu validieren.
05
Vorfallmeldung & Resilienzvalidierung
Wir testen Ihre Vorfallmeldefähigkeit gegen die Fristen von DORA und NIS2 (Frühwarnung, Zwischen- und Abschlussberichte) unter Druck und validieren Regelungen zur Geschäftskontinuität und Wiederherstellung durch Tabletop- und technische Übungen.
06
Audit-Bereitschaft & Nachweispaket
Wir stellen ein aufsichtsbereites Nachweispaket zusammen, unterrichten Ihr Leitungsorgan über seine Rechenschaftspflichten und liefern eine Neubewertung, um zu bestätigen, dass behobene Lücken geschlossen sind, bevor eine Behörde oder ein Prüfer tätig wird.
Was wir testen
NIS2-/DORA-Anwendbarkeitsbestimmung und Einrichtungsklassifizierung
ICT-Risikomanagement-Framework, Governance und Rechenschaftspflicht des Leitungsorgans
Workflows und Fristen zur Vorfallerkennung, -klassifizierung und verpflichtenden Meldung
Aufsicht über Lieferketten- und ICT-Drittparteienrisiko, Verträge und Konzentrationsrisiko
Strategie und Programmgestaltung für Tests der digitalen operativen Resilienz
Scoping bedrohungsgeführter Penetrationstests (TLPT), ausgerichtet an TIBER-EU
Regelungen zu Geschäftskontinuität, ICT-Reaktion und Wiederherstellung (Backup, RTO/RPO)
Prozesse für Informationsaustausch, Threat Intelligence und Umgang mit Schwachstellen
Kontrollen für Asset-, Konfigurations- sowie Identitäts- und Zugriffsmanagement
Prüfung von Richtlinien, Nachweisen und Dokumentation gegen NIS2- und DORA-Artikel
Was Sie erhalten
Anwendbarkeits- und Scoping-Memo zur Bestätigung der NIS2- und/oder DORA-Pflichten
Detaillierter Gap-Assessment-Bericht, zugeordnet zu NIS2 Artikel 20-23 und den fünf Säulen von DORA
Priorisierte Behebungs-Roadmap mit Verantwortlichen, Aufwandsschätzungen und Zieldaten
Vorfallmeldungs-Playbook, ausgerichtet an den regulatorischen Meldefristen
Risikoregister für Dritte / Lieferkette und Leitfaden zu Vertragsklauseln
Bericht zu bedrohungsgeführten Penetrationstests (TLPT) mit Angriffsnarrativ und Resilienz-Findings (sofern im Scope)
Aufsichtsbereites Nachweispaket und ein Briefing zur Rechenschaftspflicht des Leitungsorgans
Beispiel-Deliverable
Was Sie in Ihrem Bericht sehen
Jedes Engagement endet mit einem klaren, priorisierten Bericht: nach Schweregrad bewertete Findings mit CVSS-Scores, betroffenen Assets und Remediation-Status - plus kostenlosem Retest. Die folgenden Zahlen sind illustrativ.
Findings nach Schweregrad
17 total
Critical
0
High
4
Medium
7
Low
6
High · CVSS 7.5CX-1902
MFA not enforced for administrative access
NIS2 Art.21(2)(j)Admin & VPN accountsOpen
High · CVSS 7.1CX-1908
No centralized logging & incident detection
NIS2 Art.21(2)(b)Production environmentOpen
Illustratives Muster: security control gap assessment - anonymisiert auf example.com.
Medium · CVSS 5.6CX-1914
Incident response plan untested
DORA Art.11IR programOpen
Möchten Sie den vollständigen anonymisierten Beispielbericht? Wir legen ihn Ihrem Angebot bei.
Kumulierte Werte aus der gesamten Projekthistorie unseres Teams
Unter NDA geteilt · Details anonymisiert
“Senior testers, fast turnaround, and a free retest that actually proved our fixes worked. They made our SOC 2 audit painless.”
SOC 2 passed first attempt
VE
VP of Engineering
Series B FinTech · Payments platform
FinTech
Zertifizierungen unserer Tester
OSCP
CRTP
CREST
CEH
eWPTX
ISO 27001
ISO 9001
Häufig gestellte Fragen
NIS2 gilt für mittlere und große Einrichtungen in 18 Sektoren, die als 'wesentlich' oder 'wichtig' eingestuft sind - darunter Energie, Verkehr, Gesundheit, digitale Infrastruktur und Managed Service Provider. DORA gilt für Finanzunternehmen (Banken, Versicherer, Wertpapierfirmen, Anbieter von Krypto-Assets und mehr) und deren kritische ICT-Drittanbieter. Wir beginnen jedes Projekt mit einer Anwendbarkeitsbewertung, damit Sie genau wissen, welche Pflichten Sie binden, da einige Organisationen unter beide fallen.