Einhaltung der NIS2-Richtlinie: Was die EU-Richtlinie zur Cybersicherheit vorschreibt und wie man sich darauf vorbereitet

Die NIS2, die zweite EU-Richtlinie über Netz- und Informationssicherheit, trat am 17. Oktober 2024 in Kraft – dem Stichtag, bis zu dem die Mitgliedstaaten sie in nationales Recht umsetzen mussten. Sie trat an die Stelle der ursprünglichen NIS-Richtlinie von 2016 und zeichnet sich durch einen wesentlich größeren Anwendungsbereich, strengere Sicherheitsauflagen sowie ein Durchsetzungssystem aus, das so streng ist, dass die Nichteinhaltung der Vorschriften nicht mehr nur als internes IT-Problem, sondern als finanzielles Risiko auf Vorstandsebene gilt.

Die praktischen Auswirkungen werden derzeit EU-weit noch geprüft. Die Umsetzung in den Mitgliedstaaten erfolgte nach unterschiedlichen Zeitplänen und mit unterschiedlichem Strengegrad, und der Kreis der „wesentlichen“ und „wichtigen“ Einrichtungen ist deutlich größer als unter NIS1. Für Unternehmen, die in der EU tätig sind oder dort verkaufen, ist NIS2 keine Zukunftsfrage. Es handelt sich um eine aktuelle gesetzliche Verpflichtung, und die Bestimmungen zur Lieferkette erweitern ihren Geltungsbereich weit über die direkt genannten Einrichtungen hinaus.

Dieser Leitfaden konzentriert sich auf die operative Seite der NIS2-Konformität. Was die Richtlinie konkret vorschreibt, für wen sie gilt, wie die Fristen für die Meldung von Vorfällen in der Praxis funktionieren und wie IT-Teams und MSPs ein tragfähiges Konformitätsprogramm aufbauen können. Für einen umfassenderen Blickwinkel auf die Governance auf Vorstandsebene, einschließlich der persönlichen Haftung der Führungskräfte, lesen Sie den Artikel „Ob Sie nun in der EU ansässig sind oder nicht: NIS2 ist ein Thema auf Vorstandsebene“.

Erfüllen Sie die NIS2-Anforderungen, bevor Ihre Aufsichtsbehörde Sie dazu auffordert.

Compliance Manager GRC Ihre Kontrollmaßnahmen mit den zehn Sicherheitsmaßnahmen der NIS2 Compliance Manager GRC , verfolgt den Fortschritt der Abhilfemaßnahmen und erstellt die von den Aufsichtsbehörden geforderten Nachweise – und zwar für alle Kundenumgebungen.

Was ist NIS2?

NIS2 (Richtlinie EU 2022/2555) ist die aktualisierte Cybersicherheitsrichtlinie der EU, die im Dezember 2022 veröffentlicht wurde und von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss. Sie ersetzt die ursprüngliche NIS-Richtlinie (2016) und zeichnet sich durch einen erweiterten Anwendungsbereich, strengere Vorschriften und eine deutlich strengere Durchsetzung aus.

Der Zweck der Richtlinie ist klar und eindeutig: Das allgemeine Sicherheitsniveau im Bereich der Cybersicherheit in der gesamten EU anzuheben, sicherzustellen, dass kritische Dienste Cybervorfällen standhalten und sich davon erholen können, sowie Verantwortlichkeiten auf Führungsebene zu verankern, anstatt Cybersicherheit als rein technisches Anliegen zu betrachten.

Die Erweiterung von NIS1 auf NIS2 ist erheblich. NIS1 umfasste einen begrenzten Kreis wesentlicher Dienste (Energie, Verkehr, Wasser, Gesundheit, digitale Infrastruktur). NIS2 erstreckt sich auf 18 Sektoren, darunter Fertigung, Lebensmittel, Chemie, Postdienste, öffentliche Verwaltung und digitale Diensteanbieter, und erfasst innerhalb jedes Sektors eine viel breitere Palette von Einrichtungen. Nationale Umsetzungsgesetze können über die Mindestanforderungen der Richtlinie hinausgehen, was bedeutet, dass die genauen Compliance-Anforderungen für ein bestimmtes Unternehmen sowohl vom jeweiligen Mitgliedstaat, in dem es tätig ist, als auch von der Richtlinie selbst abhängen.

Für wen gilt die NIS2-Richtlinie?

Die NIS2-Richtlinie unterteilt die betroffenen Organisationen je nach Kritikalität in zwei Stufen, wobei für jede Stufe unterschiedliche Aufsichtsstandards gelten.

Als systemrelevante Einrichtungen gelten Organisationen in besonders kritischen Sektoren. Energie (Strom, Öl, Gas, Fernwärme, Wasserstoff), Verkehr (Luft, Schiene, Wasser, Straße), Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur (Internet-Knotenpunkte, DNS, TLD-Registrien, Cloud-Anbieter, Rechenzentren, CDNs, Vertrauensdienstleister), IKT-Dienstmanagement (managed services Managed Security Services), öffentliche Verwaltung und Raumfahrt.

Zu den wichtigen Einrichtungen zählen Organisationen in anderen kritischen Sektoren. Dazu gehören Post- und Kurierdienste, Abfallwirtschaft, die Herstellung kritischer Produkte (Chemikalien, Arzneimittel, Medizinprodukte, Computer, Elektronik, Fahrzeuge), die Lebensmittelproduktion und -verteilung, digitale Anbieter (Online-Marktplätze, Suchmaschinen, soziale Netzwerke) sowie Forschungseinrichtungen.

Größenkriterien spielen eine Rolle. Die NIS2 gilt im Allgemeinen für mittelständische Unternehmen (mit 50 oder mehr Beschäftigten oder einem Jahresumsatz von mindestens 10 Millionen Euro) und große Unternehmen in den erfassten Sektoren. Kleinst- und Kleinunternehmen sind in der Regel ausgenommen, es sei denn, sie erbringen bestimmte Dienste von hoher Kritikalität; in diesem Fall schützt sie ihre Größe nicht.

MSPs sind ausdrücklich erfasst. NIS2 nennt „Anbieter von managed servicesund „Anbieter von Managed Security Services“ als betroffene IKT-Dienstleistungsunternehmen und erkennt damit das Lieferkettenrisiko an, das eine Kompromittierung von MSPs für die von ihnen betreuten Kunden mit sich bringt. Das Risiko in der Lieferkette wirkt auch in die andere Richtung. Selbst eine Organisation, die selbst nicht zu einem erfassten Sektor gehört, kann durch vertragliche Weitergabeklauseln indirekten NIS2-Verpflichtungen unterliegen, wenn sie Dienstleistungen oder Produkte an erfasste Stellen liefert.

Was NIS2 vorschreibt: die zehn Kernmaßnahmen

Artikel 21 der NIS2 verpflichtet betroffene Stellen dazu, „angemessene und verhältnismäßige technische, betriebliche und organisatorische Maßnahmen“ zur Bewältigung von Cybersicherheitsrisiken zu ergreifen. Die Richtlinie nennt zehn Mindestbereiche, auf die sich diese Maßnahmen beziehen müssen:

1. Risikoanalyse und Richtlinien zur Informationssicherheit. Dokumentierte Risikomanagementprozesse und Sicherheitsrichtlinien, die regelmäßig überprüft und aktualisiert werden.

2. Vorfallbearbeitung. Dokumentierte Verfahren zur Erkennung, Reaktion und Wiederherstellung mit festgelegten Rollen und Kommunikationsabläufen.

3. Geschäftskontinuität. Backup-Management, Notfallwiederherstellung und Krisenmanagement – die Fähigkeit, kritische Funktionen nach einem Vorfall aufrechtzuerhalten oder rasch wiederherzustellen.

4. Sicherheit in der Lieferkette. Bewertung und Management von Sicherheitsrisiken durch Lieferanten und Dienstleister, einschließlich der in Lieferantenverträgen festgelegten Sicherheitsanforderungen. Diese Klausel bezieht sich ausdrücklich auf MSP-Beziehungen.

5. Sicherheit bei der Beschaffung, Entwicklung und Wartung von Netzwerk- und Informationssystemen. Praktiken zur sicheren Entwicklung, Umgang mit Sicherheitslücken und Sicherheitstests.

6. Richtlinien und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Cybersicherheits-Risikomanagement. Überprüfung, ob die bestehenden Kontrollmechanismen tatsächlich funktionieren. Audits, Tests und Leistungskennzahlen.

7. Maßnahmen zur Cybersicherheit und Schulungen. Sensibilisierung und Schulung der Mitarbeiter auf allen Ebenen, nicht nur in der IT-Abteilung.

8. Richtlinien und Verfahren zur Verwendung von Kryptografie und gegebenenfalls Verschlüsselung. Verschlüsselung von Daten während der Übertragung und im Ruhezustand , sofern die Sensibilität dies rechtfertigt.

9. Personalsicherheit, Richtlinien zur Zugriffskontrolle und Anlagenverwaltung. Hintergrundüberprüfungen, das Prinzip der geringsten Berechtigungen und eine vollständige Bestandsaufnahme der Anlagen.

10. Multi-Faktor-Authentifizierung, kontinuierliche Authentifizierung und gesicherte Kommunikation. MFA für kritische Systeme und Konten sowie gesicherte Sprach-, Video- und Textkanäle.

Die zehn Bereiche stellen Mindestanforderungen dar, keine Obergrenze. Der Ausdruck „angemessen und verhältnismäßig“ in Artikel 21 bedeutet, dass ein betroffenes Unternehmen jedes wesentliche Cybersicherheitsrisiko angehen muss, auch wenn es nicht eindeutig in eine der zehn Kategorien fällt. In den nationalen Umsetzungsgesetzen wird dies manchmal noch präskriptiver formuliert als in der Richtlinie.

Meldung von Vorfällen: die 24-Stunden-Regel

Die Meldepflicht für Vorfälle ist in praktischer Hinsicht der Teil der NIS-2-Richtlinie, der Organisationen am ehesten überrumpeln dürfte. Der Zeitplan ist gestaffelt und straff.

Ein schwerwiegender Vorfall, der als ein Vorfall mit erheblichen Auswirkungen auf die Dienstleistungserbringung definiert ist, muss in drei Stufen gemeldet werden. Innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls muss das betroffene Unternehmen eine Frühwarnung an das zuständige nationale CSIRT (Computer Security Incident Response Team) oder die zuständige Behörde senden. Dies ist eine Erstmeldung. Sie erfordert keine vollständige Untersuchung, setzt jedoch voraus, dass das Unternehmen über den Vorfall informiert ist und über einen Prozess verfügt, um die Frühwarnung schnell genug einzureichen, um die Frist einzuhalten.

Innerhalb von 72 Stunden muss die Organisation eine ausführlichere Meldung des Vorfalls nachreichen, die die Art, den Schweregrad und die eingeschätzten Auswirkungen sowie etwaige erste Anzeichen für eine Kompromittierung oder verfügbare Informationen zur Grundursache enthält.

Innerhalb eines Monats muss ein Abschlussbericht vorgelegt werden, der eine umfassende Beschreibung des Vorfalls, der Grundursache, der ergriffenen Maßnahmen sowie etwaiger grenzüberschreitender Auswirkungen enthält.

Die 24-Stunden-Frühwarnung ist der Punkt, der für Organisationen ohne Rund-um-die-Uhr-Überwachung die betriebliche Realität sprengt. Bedenken Sie, was diese Regel tatsächlich verlangt: Ein Ransomware-Angriff, der an einem Samstagmorgen um 03:00 Uhr beginnt, wird erst am Montag um 09:00 Uhr, wenn das Büro wieder öffnet, entdeckt und eingestuft. Um 09:00 Uhr am Montag sind bereits 30 Stunden der Frühwarnfrist abgelaufen, das Unternehmen hat die Frist bereits um 6 Stunden überschritten. Die 24-Stunden-Regel ist im Grunde eine Anforderung an die kontinuierliche Überwachung, die durch eine behördliche Frist und nicht durch Kontrollbestimmungen durchgesetzt wird. Unternehmen, die sich auf eine Erkennung nur während der Geschäftszeiten oder auf eine Alarmweiterleitung verlassen, bei der Meldungen über Nacht in einer Warteschlange verbleiben können, werden diese Anforderung nicht zuverlässig erfüllen.

Durchsetzung und Sanktionen

Das Durchsetzungssystem von NIS2 ist wesentlich strenger als das von NIS1, wobei sich der Unterschied am deutlichsten in drei Bereichen zeigt.

Die Höhe der Geldbußen richtet sich nach der Art des Unternehmens. Für „wesentliche Unternehmen“ drohen Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für „wichtige Unternehmen“ drohen Geldbußen von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Da sich die Obergrenze nach dem weltweiten Umsatz und nicht nach den EU-Einnahmen richtet, kann auch ein multinationales Unternehmen mit geringer Präsenz in der EU mit einer erheblichen Geldbuße belegt werden.

Führungskräfte können persönlich zur Verantwortung gezogen werden. Die Mitgliedstaaten können bestimmten Personen vorübergehend die Ausübung von Führungsaufgaben untersagen, wenn festgestellt wird, dass sie ihre NIS2-Verpflichtungen durch grobe Fahrlässigkeit verletzt haben. Dies stellt eine bedeutende Abkehr von der Betrachtung der Cybersicherheit als reines IT-Problem dar; die konkreten Auswirkungen auf die Unternehmensführung werden jedoch in dem begleitenden Beitrag zum Thema „Warum NIS2 ein Anliegen auf Vorstandsebene ist“ behandelt.

Die Aufsichtsbefugnisse sind weitreichend. Die nationalen zuständigen Behörden können Prüfungen durchführen, Informationen und Nachweise anfordern, formelle Verwarnungen aussprechen und konkrete Abhilfemaßnahmen zur Sicherheit verlangen. Wesentliche Einrichtungen unterliegen einer regelmäßigen proaktiven Aufsicht. Wichtige Einrichtungen werden in der Regel reaktiv beaufsichtigt, d. h. als Reaktion auf Vorfälle oder Hinweise auf Verstöße.

Wie sich NIS2 in DSGVO, ISO 27001 und DORA einfügt

NIS2 steht nicht für sich allein. Es überschneidet sich mit anderen Rechts- und Normenrahmen, auf deren Einhaltung Organisationen, die in der EU tätig sind, oft bereits hinarbeiten.

DSGVO

Sowohl NIS2 als auch DSGVO für Organisationen, die personenbezogene Daten in der EU verarbeiten, und beide befassen sich mit der Reaktion auf Vorfälle sowie mit der organisatorischen Sicherheit. Die 24-Stunden-Frist für die Frühwarnung nach NIS2 ist strenger als die 72-Stunden-Frist für die Meldung von Datenschutzverletzungen DSGVO, und wenn ein Vorfall sowohl personenbezogene Daten als auch eine Störung eines betroffenen Dienstes betrifft, laufen beide Fristen parallel. Die Koordination zwischen dem Datenschutzbeauftragten und dem Verantwortlichen für die Reaktion auf Vorfälle ist entscheidend, da derselbe Vorfall innerhalb zweier unterschiedlicher Fristen an zwei verschiedene Aufsichtsbehörden gemeldet werden muss.

ISO 27001

Die Norm ISO 27001 deckt sich in Bezug auf Risikomanagement, Vorfallbearbeitung und Geschäftskontinuität weitgehend mit NIS2 ab. Eine Zertifizierung bedeutet nicht automatisch die Einhaltung der NIS2-Vorschriften, insbesondere was branchenspezifische Anforderungen und die 24-Stunden-Meldefrist betrifft, bietet jedoch eine solide Grundlage. Bereits zertifizierte Organisationen können in der Regel den Großteil ihrer bestehenden ISMS-Kontrollen den zehn Maßnahmen von NIS2 zuordnen und die verbleibenden Lücken dokumentieren.

DORA

Unternehmen des Finanzsektors können sowohl der NIS2-Richtlinie als auch dem Digital Operational Resilience Act (DORA) unterliegen. DORA schreibt zusätzliche Anforderungen an das IKT-Risikomanagement vor, die speziell auf Finanzdienstleistungen zugeschnitten sind. Wenn beide Vorschriften gelten, sollten die Kontrollmaßnahmen so gestaltet sein, dass sie beiden Regelwerken gerecht werden, ohne dass dabei doppelter Aufwand entsteht. Ein häufiger Fehler bei der Umsetzung besteht darin, DORA und NIS2 als separate Compliance-Programme zu behandeln, die auf denselben Kontrollmaßnahmen basieren.

Vorbereitung auf die NIS2-Konformität: ein praktischer Leitfaden

Die Arbeit gliedert sich in fünf Phasen.

1. Prüfen Sie die Anwendbarkeit und den Kontext des jeweiligen Mitgliedstaats. Stellen Sie fest, ob die Organisation zu einem betroffenen Sektor gehört, ob sie die Größenkriterien erfüllt und welches Umsetzungsrecht des jeweiligen Mitgliedstaats gilt. Für MSPs, die betroffene Kunden betreuen, ist zu ermitteln, in welchen Kundenverträgen bereits Verpflichtungen zur Weitergabe von NIS2-Anforderungen enthalten sind oder sich daraus ergeben.

2. Führen Sie eine Lückenanalyse anhand der zehn Maßnahmen durch. Ordnen Sie die derzeitigen Kontrollmaßnahmen den zehn Bereichen gemäß Artikel 21 zu. Markieren Sie wesentliche Lücken, insbesondere bei der Fähigkeit zur Erkennung von Vorfällen rund um die Uhr, bei der Bewertung der Lieferkettensicherheit und bei der Abdeckung kritischer Kunden durch den MFA. Dies sind die drei Bereiche, in denen die meisten Organisationen Defizite aufweisen.

3. Schließen Sie zuerst die Lücken mit dem höchsten Risiko. Die Fähigkeit zur Erkennung und Benachrichtigung bei Vorfällen ist in der Regel die dringlichste Lücke im operativen Bereich. Die Einführung der Multi-Faktor-Authentifizierung (MFA) für alle Administrator- und besonders wertvollen Konten ist die Maßnahme, die im Verhältnis zu der damit erzielten Risikominderung am schnellsten umgesetzt werden kann. Die Bewertung der Lieferkette kann zwar etwas zeitaufwändiger sein, sollte jedoch nicht zurückgestellt werden, da das größte NIS2-Compliance-Risiko für viele Unternehmen bei den Lieferanten liegt, die sie noch nicht überprüft haben.

4. Beziehen Sie die Unternehmensleitung offiziell mit ein. Die Bestimmungen der NIS2 zur persönlichen Verantwortung bedeuten, dass die Geschäftsleitung diese Aufgabe nicht an die IT-Abteilung delegieren und davon ausgehen kann, dass sie damit erledigt ist. Informieren Sie den Vorstand über die Verpflichtungen aus der Richtlinie, dokumentieren Sie das Gespräch und holen Sie eine ausdrückliche Zustimmung zum Risikomanagementprogramm ein. Die dokumentierte Einbindung der Unternehmensleitung ist selbst Teil des Nachweises der Compliance.

5. Dokumentieren und belegen Sie kontinuierlich. Die Einhaltung der NIS2-Vorschriften muss nachgewiesen werden – sie wird nicht einfach vorausgesetzt. Risikobewertungen, Sicherheitsrichtlinien, Runbooks für die Reaktion auf Vorfälle, Schulungsunterlagen, Sicherheitsbewertungen von Lieferanten und Nachweise über die Einführung von MFA müssen erfasst und auf dem neuesten Stand gehalten werden. Der Prüfpfad ist genauso wichtig wie die Kontrollmaßnahmen selbst.

Compliance Manager GRC die Lückenanalyse gemäß NIS2 und das kontinuierliche Compliance-Management für alle zehn Maßnahmen des Artikels 21 sowie für weitere Rahmenwerke, auf deren Einhaltung ein Unternehmen wahrscheinlich hinarbeitet (DSGVO, ISO 27001, CIS Controls, branchenspezifische Standards). Entdecken Sie Compliance Manager GRC für die operative Umsetzung eines NIS2-Programms, das mehrere Rahmenwerke gleichzeitig abdeckt.

NIS2 und MSPs: Geltungsbereich, Lieferkette und Vertragsweitergabe

Für MSPs bringt die NIS2 Verpflichtungen in zweierlei Hinsicht mit sich.

Der erste Ansatz ist direkt. Managed services Managed Security Services werden im Rahmen der NIS2 als Kategorien des IKT-Dienstleistungsmanagements bezeichnet. Ein MSP von nennenswerter Größe, der in der EU tätig ist oder Kunden in der EU bedient, gilt je nach seinem Profil selbst als wesentliche oder wichtige Einrichtung und unterliegt denselben zehn Maßnahmen sowie derselben 24-Stunden-Meldepflicht wie seine Kunden.

Der zweite Ansatz erfolgt indirekt über die Lieferkettenklausel. Jeder betroffene Kunde des MSP ist gesetzlich verpflichtet, die Cybersicherheitsrisiken zu bewerten und zu steuern, die von seinen Lieferanten ausgehen. In der Praxis bedeutet dies Sicherheitsfragebögen, Nachweise, Prüfungsrechte in Verträgen und vorgeschriebene Bescheinigungen. MSPs, die betroffene Kunden betreuen, sollten mit einem deutlichen Anstieg der von Kunden geforderten Sicherheitsprüfungen bei Lieferanten rechnen und sich darauf vorbereiten.

Die geschäftliche Chance liegt genau dort, wo auch die Verpflichtung besteht. Kunden, die die Sicherheit ihrer Lieferkette, die Abdeckung durch Multi-Faktor-Authentifizierung (MFA) und ihre Fähigkeit zur Reaktion auf Vorfälle in ihren eigenen Umgebungen nachweisen müssen, benötigen eine Bezugsquelle für diese Dienstleistungen. MSPs, die ihre eigene NIS2-Konformität nachweisen können und managed services anbieten, managed services auf das Zehn-Maßnahmen-Rahmenwerk managed services , sind gut positioniert, um diese Nachfrage zu bedienen. Compliance Manager GRC bietet MSPs in Verbindung mit den Sicherheits- und Dokumentationsfunktionen Kaseya 365 umfassenderen Kaseya 365 eine mandantenfähige Infrastruktur, um NIS2-konforme Dienste bereitzustellen, ohne für jeden Kunden eine eigene Compliance-Praxis aufbauen zu müssen.

Die Einhaltung der NIS2-Richtlinie ist kein Projekt, das einmalig abgeschlossen wird. Die Richtlinie ist nun in Kraft getreten, die nationalen Regulierungsbehörden ermitteln derzeit aktiv den Kreis der betroffenen Einrichtungen, und die 24-Stunden-Meldefrist läuft, unabhängig davon, ob eine Organisation die entsprechenden Kapazitäten aufgebaut hat oder nicht. Die Organisationen, die die erste Welle der Durchsetzungsmaßnahmen unbeschadet überstehen, sind diejenigen, die NIS2 als dauerhafte Veränderung ihres Betriebsmodells und nicht als vorübergehende Compliance-Hürde betrachtet haben. Diejenigen, die dies nicht tun, werden – eher in Gesprächen mit den Regulierungsbehörden als bei internen Audits – feststellen, bei welchen der zehn Maßnahmen sie Defizite hatten.

Das Wichtigste in Kürze

  • Die NIS2-Richtlinie ist seit Ablauf der Umsetzungsfrist am 17. Oktober 2024 EU-weit in Kraft. Sie gilt ausdrücklich für MSPs und Anbieter von Managed Security Services als IKT-Dienstleistungsunternehmen sowie für deren Kunden in kritischen und wichtigen Sektoren.
  • Die zehn Kernmaßnahmen umfassen Risikobewertung, Vorfallbearbeitung, Geschäftskontinuität, Sicherheit der Lieferkette, Multi-Faktor-Authentifizierung, Verschlüsselung, Schulungen und Anlagenverwaltung. Sie stellen ein Mindestmaß dar, nicht eine Obergrenze, und nationale Umsetzungsgesetze können strenger ausfallen.
  • Die 24-Stunden-Frühwarnung bei Vorfällen ist die operativ anspruchsvollste Anforderung. Ohne eine Überwachung rund um die Uhr oder einen MDR-Dienst können Unternehmen diese Anforderung nicht zuverlässig erfüllen.
  • NIS2 überschneidet sich mit DSGVO, ISO 27001 und DORA. Es ist ein häufiger Fehler bei der Umsetzung, diese als separate Programme zu betrachten, die auf getrennten Kontrollmechanismen basieren. Eine einzige Kontrollarchitektur sollte alle relevanten Rahmenwerke abdecken.

Eine umfassende Plattform für IT- und Security

Kaseya 365 die Komplettlösung für die Verwaltung, Absicherung und Automatisierung der IT. Durch die nahtlose Integration wichtiger IT-Funktionen vereinfacht sie den Betrieb, erhöht die Sicherheit und steigert die Effizienz.

Eine Plattform. Alles IT.

Kaseya 365 profitieren von den Vorteilen der besten IT-Management- und Sicherheitstools in einer einzigen Lösung.

Entdecken Sie Kaseya 365

Ihr Erfolg ist unsere Priorität Nr. 1

„Partner First“ steht für flexible Konditionen, Risikoteilung und engagierte Unterstützung für Ihr Unternehmen.

Entdecken Sie Partner First Pledge

Kaseya State of the MSP Report 2026

Kaseya – Bericht zur Lage der MSPs 2026 – Webgrafik – 1200×800 – AKTUALISIERT

Erhalten Sie Einblicke in den MSP-Markt 2026 von über 1.000 Anbietern und erfahren Sie, wie Sie Ihren Umsatz steigern, sich an den Marktdruck anpassen und wettbewerbsfähig bleiben können.

Jetzt herunterladen

Sollen wir mit der Resilienz beginnen und von dort aus rückwärts vorgehen?

Gesponsert von: Kaseya Dies ist ein Gastbeitrag von International Data Corporation (IDC), dem weltweit führenden Anbieter von Marktinformationen, der folgende Informationen teilt:

Blogbeitrag lesen

Vom Datenschutz zur Cyber-Resilienz

Gesponsert von: Kaseya Dies ist ein Gastbeitrag von International Data Corporation (IDC), dem weltweit führenden Anbieter von Marktinformationen, der folgende Informationen teilt:

Blogbeitrag lesen

Was ist SecOps? Sicherheitsoperationen erklärt

In den meisten Unternehmen gibt es zwei Teams, die eigentlich Hand in Hand arbeiten sollten, aber oft in getrennten Welten agieren: der IT-Betrieb,

Blogbeitrag lesen