Start
Leistungen
Regulatorik
Über uns
Medien
Kontakt
Regulatorische Expertise

Alle relevanten EU-Regulatoriken

Die regulatorische Landschaft wird komplexer. Wir kennen jede Anforderung und begleiten Sie durch die Umsetzung – damit kein Bußgeld und kein Reputationsverlust Ihr Unternehmen trifft.

DSGVODORANIS2CRAAI ActISO 27001
In Kraft seit 2018

DSGVO

Datenschutz-Grundverordnung

Die DSGVO ist das Fundament des europäischen Datenschutzrechts. Sie regelt die Verarbeitung personenbezogener Daten durch Unternehmen und Behörden in der EU – und gilt extraterritorial für alle, die Daten von EU-Bürgern verarbeiten.

Kernanforderungen

  • Rechtmäßige Grundlage für jede Datenverarbeitung
  • Transparenz und Informationspflichten gegenüber Betroffenen
  • Datenschutz durch Technikgestaltung (Privacy by Design)
  • Verarbeitungsverzeichnis und Datenschutz-Folgenabschätzung
  • Meldepflicht bei Datenpannen (72-Stunden-Frist)
  • Externer oder interner Datenschutzbeauftragter

Unser Ansatz

Als erfahrene externe Datenschutzbeauftragte übernehmen wir alle DSGVO-Pflichten – von der Dokumentation bis zur Behördenvertretung.

Bußgeldrahmen

Bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes

Zeitplan

Seit Mai 2018 in Kraft

Betroffene Unternehmen

Alle Unternehmen, die personenbezogene Daten verarbeiten

Gültig seit Januar 2025

DORA

Digital Operational Resilience Act

DORA verpflichtet Finanzunternehmen und ihre IKT-Dienstleister zur digitalen operativen Resilienz. Der Fokus liegt auf IKT-Risikomanagement, Incident Reporting, Resilienztests und dem Management von Drittparteienrisiken.

Kernanforderungen

  • IKT-Risikomanagement-Framework
  • Incident Reporting und Klassifizierung
  • Digitale Resilienztests (TLPT für bedeutende Institute)
  • Management von IKT-Drittparteienrisiken
  • Informationsaustausch über Cyberbedrohungen
  • Governance und Verantwortlichkeiten auf Vorstandsebene

Unser Ansatz

Wir begleiten Finanzunternehmen durch die vollständige DORA-Implementierung – von der Gap-Analyse bis zur Zertifizierung.

Bußgeldrahmen

Aufsichtsrechtliche Maßnahmen, Bußgelder nach nationaler Umsetzung

Zeitplan

Seit 17. Januar 2025 anzuwenden

Betroffene Unternehmen

Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister, IKT-Drittanbieter

Umsetzung läuft

NIS2

NIS2-Richtlinie (EU 2022/2555)

NIS2 erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie erheblich. Kritische und wichtige Einrichtungen in 18 Sektoren müssen umfangreiche Cybersicherheitsmaßnahmen implementieren und Vorfälle melden.

Kernanforderungen

  • Risikoanalyse und Sicherheitskonzept
  • Incident Handling und Business Continuity
  • Supply Chain Security
  • Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
  • Schulungen und Cyber-Hygiene
  • Meldepflichten (24h Erstmeldung, 72h Folgemeldung)

Unser Ansatz

Wir analysieren Ihre NIS2-Betroffenheit, erstellen das Sicherheitskonzept und begleiten die vollständige Umsetzung.

Bußgeldrahmen

Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (wichtige Einrichtungen), bis zu 7 Mio. € oder 1,4 % (wesentliche Einrichtungen)

Zeitplan

Nationale Umsetzung in Deutschland läuft (NIS2UmsuCG)

Betroffene Unternehmen

Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Umsatz in kritischen Sektoren

In Kraft, Übergangsfristen laufen

CRA

Cyber Resilience Act

Der CRA stellt erstmals horizontale Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen auf dem EU-Markt auf. Hersteller, Importeure und Händler müssen Sicherheitsanforderungen über den gesamten Produktlebenszyklus nachweisen.

Kernanforderungen

  • Security by Design und Security by Default
  • Schwachstellenmanagement über den Produktlebenszyklus
  • Sicherheitsupdates für mindestens 5 Jahre
  • CE-Kennzeichnung für Cybersicherheit
  • Konformitätsbewertung und technische Dokumentation
  • Meldepflichten bei aktiv ausgenutzten Schwachstellen

Unser Ansatz

Wir unterstützen Hersteller bei der CRA-Konformität: von der Produktbewertung über die Dokumentation bis zur CE-Kennzeichnung.

Bußgeldrahmen

Bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes

Zeitplan

Ab Dezember 2027 vollständig anwendbar

Betroffene Unternehmen

Hersteller, Importeure und Händler von Produkten mit digitalen Elementen (IoT, Software, Hardware)

In Kraft, gestaffelte Anwendung

AI Act

EU Artificial Intelligence Act

Der EU AI Act ist der weltweit erste umfassende Rechtsrahmen für künstliche Intelligenz. Er klassifiziert KI-Systeme nach Risikoklassen und stellt abgestufte Anforderungen an Transparenz, Konformität und menschliche Aufsicht.

Kernanforderungen

  • Risikoklassifizierung aller eingesetzten KI-Systeme
  • Konformitätsbewertung für Hochrisiko-KI
  • Transparenzpflichten gegenüber Nutzern
  • Menschliche Aufsicht und Kontrollmechanismen
  • Technische Dokumentation und Protokollierung
  • Registrierung in der EU-KI-Datenbank

Unser Ansatz

Wir begleiten Sie durch die KI-Inventarisierung, Risikoklassifizierung und Implementierung aller AI-Act-Anforderungen.

Bußgeldrahmen

Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes (verbotene KI), bis zu 15 Mio. € oder 3 % (Hochrisiko-KI)

Zeitplan

Gestaffelt: Verbote ab August 2024, Hochrisiko-KI ab 2026

Betroffene Unternehmen

Alle Unternehmen, die KI-Systeme entwickeln, einsetzen oder importieren

Internationaler Standard

ISO 27001

ISO/IEC 27001 & BSI IT-Grundschutz

ISO 27001 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Der BSI IT-Grundschutz bietet den deutschen Pendant mit detaillierten Maßnahmenkatalogen. Beide dienen als Basis für eine systematische Sicherheitsstrategie.

Kernanforderungen

  • Aufbau eines ISMS (Informationssicherheits-Managementsystem)
  • Risikobeurteilung und Risikobehandlung
  • Statement of Applicability (SoA)
  • Interne Audits und Management-Reviews
  • Kontinuierliche Verbesserung (PDCA-Zyklus)
  • Zertifizierung durch akkreditierte Stelle

Unser Ansatz

Wir begleiten den gesamten Aufbau Ihres ISMS – von der Gap-Analyse über die Implementierung bis zur erfolgreichen Zertifizierung.

Bußgeldrahmen

Kein gesetzliches Bußgeld, aber Voraussetzung für viele Ausschreibungen und Geschäftsbeziehungen

Zeitplan

Freiwillig, aber zunehmend Marktstandard

Betroffene Unternehmen

Unternehmen, die Zertifizierung für Ausschreibungen oder Geschäftspartner benötigen

Nicht sicher, welche Regulatoriken Sie betreffen?

In einer kostenlosen Erstberatung analysieren wir Ihre Betroffenheit und zeigen Ihnen den effizientesten Weg zur Compliance.