← Zurück zur Anmeldung

NIS2-Sicherheits-Konformitätserklärung

Erklärung des Anwendungsbetreibers zur Erfüllung der NIS2-Richtlinie (Richtlinie (EU) 2022/2555) und der entsprechenden Umsetzungsgesetze.

Geltungsbereich

Diese Konformitätserklärung bezieht sich auf das NIS2-Compliance- Management-Portal in der aktuell betriebenen Version, einschließlich der zugehörigen Datenbank, Dateiablage und Betriebsumgebung. Sie gilt für den Einsatz durch Georg Sahm GmbH & Co. KG und die auf dem Portal bearbeiteten Mandantendaten.

Regulatorische Grundlage

• Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS2-Richtlinie")
• Bundesgesetz zur Umsetzung der NIS2-Richtlinie (NIS2-Umsetzungsgesetz / BSIG-Novelle)
• Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO)
• IT-Grundschutz-Kompendium des BSI

Umgesetzte Sicherheitsmaßnahmen

Das System setzt die Mindestanforderungen nach § 30 BSIG-neu (Risikomanagementmaßnahmen) wie folgt um:

a) Zugangskontrolle und Authentisierung

• Rollen- und rechtebasierte Zugriffskontrolle (RBAC)
• Obligatorische Zwei-Faktor-Authentifizierung (TOTP + Backup-Codes)
• Multi-Device-Unterstützung für 2FA
• Passwörter ausschließlich als bcrypt-Hash; kein Klartext im System
• Session-Cookies mit HttpOnly, Secure, SameSite=Strict

b) Kryptographie

• Transportverschlüsselung durchgehend HTTPS mit HSTS
• Feldverschlüsselung personenbezogener Daten per AES-256-GCM (E-Mail, IP-Adressen, 2FA-Geheimnisse, Dokumentinhalte, User-Agents)
• Ablageverschlüsselung hochgeladener Dateien (Vault außerhalb des Webroots)
• Generierte PDFs verschlüsselt im Dateisystem, on-the-fly-Entschlüsselung nur für authentisierte Nutzer
• Verschlüsselung aller System-Backups (AES-256-GCM)
• Mandanten-Master-Passwort-Schutz für PDF-Exporte

c) Monitoring und Anomalie-Erkennung

• Lückenloses Audit-Log aller sicherheitsrelevanten Aktionen
• IP-basiertes Rate-Limit gegen Brute-Force-Angriffe
• Automatischer E-Mail-Alarm bei Schwellenüberschreitungen (Fehlersummen, Blocks, 2FA-Angriffe, Integritätsverletzungen)
• Datei-Integritätsüberwachung mit HMAC-signierter Baseline (Manipulationserkennung auf Dateiebene)
• Erkennung von Massen-Downloads (Exfiltrations-Indikator)
• Monatlicher automatisch generierter Sicherheitsbericht (PDF)

d) Notfallmanagement und Kontinuität

• Notfallhandbuch (VA-KRM-001) als eigenständiges Modul
• Regelmäßige automatische Backups mit Integritäts-Checksum
• Wiederherstellungsprozedur aus verschlüsselten Backups (mit Vor-Sicherung des aktuellen Zustands)
• Dokumentierte Eskalationsprozeduren

e) Härtung der Infrastruktur

• Security-Header (HSTS, CSP, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP)
• PHP-Hardening (strikte Allowlist für Entry-Points)
• Härtung der Datenverzeichnisse gegen Directory-Listing und Skriptausführung
• Sensible Verzeichnisse per mod_rewrite gegen Direktzugriff geschützt

f) Meldepflichten

• Technische Voraussetzungen zur fristgerechten Meldung erheblicher Sicherheitsvorfälle gemäß § 32 BSIG-neu an das BSI
• Audit-Log als forensische Grundlage

Mitgliedschaft und Zusammenarbeit

Die Eurotrust-Consulting Eisenach ist Mitglied in der Allianz für Cybersicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und pflegt den fachlichen Austausch mit anderen Mitgliedsorganisationen, um Bedrohungslagen aktuell einzuschätzen und Gegenmaßnahmen abgestimmt umzusetzen.

Verantwortlicher für diese Konformitätserklärung

Georg Sahm GmbH & Co. KG
Sudetenlandstr. 33, 37269 Eschwege
E-Mail: info@sahmwinder.com

Stand: 19.04.2026. Diese Konformitätserklärung wird bei wesentlichen Systemänderungen aktualisiert. „Intellixis" ist eine eingetragene Marke der Eurotrust-Consulting Eisenach.