77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
NIS-2 für KMU: Schwellenwert, Ausnahmen und der operative Pfad für Mittelstand
IT-Sicherheit & NIS-2

NIS-2 für KMU: Schwellenwert, Ausnahmen und der operative Pfad für Mittelstand

19. Juli 202614 Min. LesezeitVon Lena Vogt
CIVAC

Nicht jedes KMU ist NIS-2-betroffen, aber der Schwellenwert von 50 Mitarbeitern und 10 Mio. Euro Jahresumsatz greift in elf sensiblen Sektoren bereits ab Mittelstand. Diese Analyse ordnet Sektoren, Pflichten, Fristen und die operative Umsetzung mit CIVAC.

Das Gesetz zur Umsetzung der NIS-2-Richtlinie in Deutschland (NIS2UmsuCG) wurde am 17. Oktober 2024 verabschiedet und richtet sich an rund 29.500 Unternehmen, deutlich mehr als die rund 2.000 KRITIS-Betreiber unter dem alten NIS-1-Regime. Die häufigste Frage in Aufsichtsräten und Geschäftsführungen mittelständischer Firmen lautet 2026 nicht mehr ob, sondern wann genau die NIS-2-Pflicht greift und welche Anforderungen aus § 30 ff. BSI-Gesetz konkret bei einem Unternehmen mit 80, 120 oder 240 Mitarbeitern umgesetzt werden müssen.

Dieser Beitrag konzentriert sich nicht auf das Regime im Allgemeinen, denn dafür existiert die CIVAC NIS-2-Primer-Seite. Er beantwortet die KMU-spezifische Frage: Wie kombinieren sich der Schwellenwert von 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz mit der Sektorenliste, wann ist ein KMU wichtige oder wesentliche Einrichtung, welche Ausnahmen gibt es, welche Pflichten entstehen ab dem ersten Tag, und wie sieht der operative Pfad aus, ohne dass ein 200-Personen-Mittelständler eine eigene Cybersecurity-Abteilung aufbauen muss. CIVAC operiert als Compliance-Plattform und Officer-as-a-Service.

Auf einen Blick

  • NIS-2 erfasst KMU ab 50 Mitarbeitern und 10 Millionen Euro Jahresumsatz in elf sensiblen Sektoren; die Klein-Ausnahme nach Art. 2 Abs. 2 NIS-2 greift nur unterhalb dieses Schwellenwerts und nicht für Anbieter öffentlicher elektronischer Kommunikation oder Vertrauensdienste.
  • Wesentliche Einrichtung droht ab 250 Mitarbeitern oder 50 Mio. Euro Umsatz mit Bußgeldern bis 10 Mio. Euro oder 2 % Konzernumsatz; wichtige Einrichtung mit bis zu 7 Mio. Euro oder 1,4 %.
  • Der 24/72-Meldepfad nach § 32 BSI-Gesetz, die Risikoanalyse nach § 30 und die Pflichtschulung der Geschäftsleitung sind ab Tag 1 verpflichtend, ohne Übergangsfrist für die Anforderungen selbst.

Schwellenwert und Sektorenliste: Wer ist tatsächlich erfasst

Der Anwendungsbereich der NIS-2-Richtlinie und ihrer deutschen Umsetzung im BSI-Gesetz richtet sich nach zwei Kriterien, die kumulativ erfüllt sein müssen. Erstens muss das Unternehmen einem der in Anhang I oder Anhang II der NIS-2-Richtlinie genannten Sektoren angehören, in Deutschland abgebildet in § 28 BSI-Gesetz. Zweitens muss der Mitarbeiter- und Umsatzschwellenwert nach Art. 2 Abs. 1 NIS-2 i.V.m. der KMU-Empfehlung 2003/361/EG überschritten werden: mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Jahresumsatz und Jahresbilanzsumme.

Die Sektorenliste umfasst Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, öffentliche Verwaltung, Weltraum sowie unter den wichtigen Einrichtungen Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Verarbeitendes Gewerbe (mit Untergruppen wie Medizinprodukte, Maschinenbau, Elektrotechnik, Kraftfahrzeuge), digitale Anbieter und Forschungseinrichtungen. Damit sind elf Sektoren als wesentliche Einrichtung definiert und sechs als wichtige Einrichtung; die Aufteilung hat direkte Bußgeldfolgen.

Mittelständische Maschinenbauer, Medizinproduktehersteller, Chemiebetriebe, IT-Dienstleister und Lebensmittelproduzenten fallen ab 50 Mitarbeitern in den Anwendungsbereich, sofern sie 10 Mio. Euro Umsatz und Bilanzsumme überschreiten. Eine KMU-Klein-Ausnahme nach Art. 2 Abs. 2 NIS-2 gilt nur unterhalb dieses Schwellenwerts und nicht für Anbieter öffentlicher elektronischer Kommunikation, Vertrauensdienste, Top-Level-Domain-Registries, DNS-Dienste oder die alleinigen Diensteanbieter eines Mitgliedstaats; diese sind unabhängig von Größe erfasst.

Wesentlich vs. wichtig: Die zwei Kategorien und ihre Folgen

NIS-2 teilt Einrichtungen in zwei Kategorien. Wesentliche Einrichtungen nach Anhang I sind in den Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement (B2B), öffentliche Verwaltung und Weltraum tätig und überschreiten in der Regel die mittlere Größenklasse (250 Mitarbeiter, 50 Mio. Euro Umsatz oder 43 Mio. Euro Bilanzsumme). Wichtige Einrichtungen nach Anhang II umfassen die übrigen Sektoren plus alle wesentlichen Einrichtungen unterhalb der mittleren Größenklasse.

Die Konsequenz steht im Bußgeldrahmen. Wesentliche Einrichtungen können nach § 60 BSI-Gesetz mit Bußgeldern bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes belegt werden, wichtige Einrichtungen mit bis zu 7 Millionen Euro oder 1,4 Prozent. Daneben tritt die persönliche Verantwortung der Geschäftsleitung: § 38 BSI-Gesetz verlangt, dass Mitglieder der Geschäftsleitung Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und an Schulungen teilnehmen. Verletzungen dieser Aufsichtspflicht können nach § 130 OWiG zusätzlich gegen die Geschäftsleitung persönlich geahndet werden.

Die Aufsicht ist asymmetrisch verteilt. Wesentliche Einrichtungen unterliegen einer proaktiven Aufsicht durch das BSI mit Vor-Ort-Kontrollen, Sicherheitsaudits und Anweisungsbefugnissen. Wichtige Einrichtungen unterliegen einer reaktiven Aufsicht, das BSI wird tätig auf Hinweis oder bei Meldungen. Die Registrierungspflicht nach § 33 BSI-Gesetz besteht für beide Kategorien gleichermaßen und musste bis zum Ablauf der Übergangsfrist erfolgt sein. Die ISB-Rolle bei CIVAC ist auf diese Asymmetrie zugeschnitten.

Pflichten nach § 30 BSI-Gesetz im Detail

§ 30 BSI-Gesetz definiert die Mindestmaßnahmen für das Risikomanagement, die jede betroffene Einrichtung umsetzen muss. Die Liste umfasst zehn Themenfelder: Konzepte für Risikoanalyse und Sicherheit in der Informationstechnik, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs einschließlich Backup-Management und Krisenmanagement, Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu Anbietern und Diensteanbietern, Sicherheit beim Erwerb, der Entwicklung und Wartung von Netz- und Informationssystemen.

Weiter: Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagement-Maßnahmen, grundlegende Cyberhygiene und Schulungen, Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung, Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Asset-Management, sowie der Einsatz von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung, gesicherter Sprach-, Video- und Textkommunikation sowie gesicherter Notfallkommunikationssysteme.

Für ein KMU mit 80 bis 250 Mitarbeitern lassen sich diese Pflichten praktisch nur über ein strukturiertes Informationssicherheitsmanagementsystem (ISMS) abbilden, idealerweise nach ISO/IEC 27001:2022 mit ihren 93 Controls. Der Aufbau aus dem Nichts dauert typischerweise 12 bis 18 Monate. Mit dem CIVAC-Workspace, der die 93 Controls als vorkonfigurierte Module mit Audit-Vorlagen liefert, verkürzt sich der Aufbau auf 4 bis 6 Monate. Audit-fest, dokumentiert, § 30-fest.

Der 24/72-Meldepfad nach § 32 BSI-Gesetz

§ 32 BSI-Gesetz schreibt einen dreistufigen Meldepfad bei erheblichen Sicherheitsvorfällen vor. Stufe eins: eine Frühwarnung an das BSI ohne unangemessene Verzögerung, spätestens innerhalb von 24 Stunden nach Kenntnis vom Vorfall. Stufe zwei: eine Vorfallmeldung mit Aktualisierung der Informationen, einschließlich einer ersten Bewertung des Vorfalls, seiner Schwere und seiner Auswirkungen, sowie der Indikatoren für Kompromittierung, spätestens 72 Stunden nach Kenntnis. Stufe drei: ein Abschlussbericht spätestens einen Monat nach der Vorfallmeldung.

Frist läuft ab Kenntnis. Der Begriff der Kenntnis ist im § 32 Abs. 6 BSI-Gesetz an den Zeitpunkt geknüpft, ab dem die Einrichtung Kenntnis von einem erheblichen Sicherheitsvorfall im Sinne von § 32 Abs. 5 hat. Erheblich ist ein Vorfall, der eine schwerwiegende Betriebsstörung verursacht hat oder verursachen kann oder finanzielle Verluste verursacht hat oder verursachen kann, oder andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

Der Pfad muss vor dem ersten Vorfall vorhanden sein, nicht im Vorfall geübt werden. CIVAC liefert den 24/72-Meldepfad als Workflow im Workspace mit eskalierenden Frist-Countern, vorgefertigten BSI-konformen Meldevorlagen und Eskalations-Logs an die Geschäftsleitung. Der Prüfer ruft an, der Nachweis liegt bereit. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Geschäftsleitungspflichten nach § 38 BSI-Gesetz

§ 38 BSI-Gesetz verschärft die persönliche Verantwortung der Geschäftsleitung in vier Punkten. Erstens müssen Mitglieder der Geschäftsleitung die zu treffenden Risikomanagement-Maßnahmen im Bereich der Cybersicherheit billigen. Zweitens müssen sie ihre Umsetzung überwachen. Drittens können sie für die Verletzung dieser Pflichten gemäß den anwendbaren rechtlichen Bestimmungen verantwortlich gemacht werden, ohne dass die Verantwortung der juristischen Person berührt wird. Viertens müssen sie regelmäßig an Schulungen teilnehmen und vergleichbare Schulungen für ihre Mitarbeiter anbieten.

Die Schulungspflicht ist kein einmaliger Compliance-Termin. § 38 Abs. 3 verlangt eine wiederkehrende Schulung mit dokumentiertem Nachweis. Die Inhalte umfassen typischerweise die Identifizierung von Risiken, die Bewertung von Cybersicherheits-Risikomanagementpraktiken und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste. Die Aufsichtsbehörde kann nach § 64 BSI-Gesetz anordnen, dass die Geschäftsleitung bei Verstößen vorübergehend von der Wahrnehmung ihrer Leitungsaufgaben ausgeschlossen wird.

Für KMU ist die Konsequenz unbequem: Die Geschäftsführung kann sich nicht hinter einem Informationssicherheitsbeauftragten verstecken. Die ISB-Bestellung ist nicht Voraussetzung für die persönliche Verantwortung, sondern erleichtert sie. CIVAC dokumentiert die Schulungsteilnahme der Geschäftsleitung im Workspace mit Datum, Lernziel und Zertifikat. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Lieferkettensicherheit: Die unterschätzte Pflicht

§ 30 Abs. 2 Nr. 4 BSI-Gesetz verlangt Maßnahmen zur Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu Anbietern und Diensteanbietern. Für KMU bedeutet das eine Risikoanalyse der eigenen Zulieferer und IT-Dienstleister mit Bewertung deren Cybersicherheits-Praktiken. Die Anforderung ist nicht nur konzeptionell, sondern operativ: Verträge müssen Sicherheitsanforderungen enthalten, Audits müssen vereinbart sein, Vorfälle bei Zulieferern müssen in das eigene Meldewesen einfließen.

Die Wechselwirkung mit dem Lieferkettensorgfaltspflichtengesetz (LkSG) ist relevant. LkSG fokussiert auf Menschenrechte und Umwelt, NIS-2 auf Cybersicherheit; beide Regime nutzen ähnliche Instrumente (Risikoanalyse, Vertragsklauseln, Beschwerdesystem, Bericht) und können in einem konsolidierten Prozess abgebildet werden. Mittelständler mit 200 bis 1.000 Mitarbeitern, die ab 2024 unter LkSG fallen, haben hier einen Skalenvorteil.

Konkret bedeutet das: Cybersecurity-Anforderungen in Auftragsverarbeitungsverträgen (Art. 28 DSGVO), in Rahmenverträgen mit IT-Dienstleistern (Microsoft, Salesforce, AWS) und mit OT-Lieferanten (SCADA, MES, ERP). Die Anforderungen müssen messbar sein: Patch-Latenz, Incident-Response-SLA, ISO/IEC 27001:2022-Zertifizierung des Anbieters, Subunternehmer-Transparenz. CIVAC liefert Vorlagen für 37 Audit-Szenarien und eine Lieferanten-Risikomatrix als Modul im Workspace.

Fristen, Registrierung und Übergangsregelungen

Das NIS2UmsuCG sieht keine Übergangsfrist für die materiellen Anforderungen aus § 30 BSI-Gesetz vor. Ab Inkrafttreten gelten die Pflichten. Die Registrierungspflicht nach § 33 BSI-Gesetz musste innerhalb von drei Monaten nach Inkrafttreten erfüllt sein; das BSI hat dafür ein elektronisches Meldeportal eingerichtet. Anbieter von DNS-Diensten, TLD-Registries und vergleichbare digitale Dienste müssen darüber hinaus eine Datenbank ihrer Domainnamenregistrierungsdaten führen.

Die Selbsteinschätzung der Betroffenheit ist Pflicht der Einrichtung. Es gibt keine Liste der erfassten Unternehmen, die das BSI veröffentlicht. Jedes Unternehmen muss anhand der Sektorenliste, des Schwellenwerts und der Tätigkeitsbeschreibung selbst prüfen, ob es betroffen ist, und im Zweifelsfall sicherheitshalber registrieren. Eine Falschregistrierung ist weniger riskant als eine Nicht-Registrierung; letztere ist ein eigenständiger Bußgeldtatbestand.

Konzernstrukturen erschweren die Einschätzung. Tochtergesellschaften werden in der Regel einzeln betrachtet, der Konzern als solcher fällt nur unter NIS-2, wenn er selbst eine Einrichtung im Sinne der Richtlinie ist (etwa als Energieversorger). Für mittelständische Familienunternehmen mit mehreren Tochtergesellschaften ist die Betroffenheitsanalyse pro Tochter durchzuführen. CIVAC bietet diese Analyse als strukturierten Workshop, dessen Ergebnis im Workspace dokumentiert und nachträglich überprüfbar bleibt.

Operative Umsetzung in einem KMU mit 150 Mitarbeitern

Ein typisches Mittelstandsprofil illustriert die Realität: 150 Mitarbeiter, 35 Mio. Euro Umsatz, Maschinenbau, drei Standorte, ein IT-Dienstleister, kein interner ISB. Das Unternehmen ist wichtige Einrichtung nach § 28 BSI-Gesetz und muss alle Pflichten aus § 30 erfüllen, ohne dafür ein eigenes Cybersecurity-Team aufbauen zu können. Die Realität ist: Externer ISB nach § 30 BSI-Gesetz, Workspace für die laufende Dokumentation, Outsourcing der 24/72-Meldepfad-Betreuung in den ersten 12 Monaten.

Der Zeitplan sieht typischerweise so aus: Monat 1 Betroffenheitsanalyse und Registrierung, Monat 2 ISB-Bestellung mit Berichtslinie an die Geschäftsführung, Monate 3 bis 4 Risikoanalyse und Lieferkettenbewertung, Monate 4 bis 6 Aufbau der zehn Themenfelder nach § 30 mit Mapping auf die 93 ISO-Controls, Monat 6 Schulung der Geschäftsleitung, ab Monat 7 laufender Betrieb mit quartalsweisem Steuerungstermin. Die Bestell-SLA bei CIVAC beträgt zwei Werktage, das verkürzt den Start spürbar.

Die Kostenlinie hängt von der Modellwahl ab. Workspace-Lizenz für interne Beauftragte oder Officer-as-a-Service mit externer Bestellung beider Rollen (ISB und DSB) liegen typischerweise im niedrigen fünfstelligen Bereich pro Jahr für ein 150-Personen-KMU. Verglichen mit einem Bußgeld von bis zu 7 Mio. Euro oder 1,4 % Konzernumsatz ist die Investition wirtschaftlich vertretbar; verglichen mit einem internen Aufbau einer 1,5-FTE-Sicherheitsabteilung über 18 Monate ist sie deutlich günstiger und schneller wirksam.

Aus dem Lesen einen Auftrag machen

NIS-2 ist für KMU kein theoretisches Risiko, sondern eine 2026 aktive Pflichtenkette mit dreistufiger Bußgeldhöhe und persönlicher Haftung der Geschäftsleitung. Die Schwelle von 50 Mitarbeitern und 10 Mio. Euro Jahresumsatz in elf sensiblen Sektoren betrifft den klassischen Mittelstand, nicht nur Konzerne. Wer 2026 noch nicht registriert ist, sollte die Betroffenheitsanalyse innerhalb der nächsten Wochen abschließen und die ersten Pflichten aus § 30 BSI-Gesetz umsetzen.

CIVAC operiert als Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Das duale Modell deckt die ISB-Pflicht nach § 30 BSI-Gesetz, das ISMS nach ISO/IEC 27001:2022 mit allen 93 Controls und den 24/72-Meldepfad in einem Tenant ab, mit EU-Datenresidenz und einer Bestell-SLA von zwei Werktagen. 490 Audit-Vorlagen und 25 Beauftragten-Rollen ergänzen die ISB-Funktion um die parallel laufenden Datenschutz-, Geldwäsche-, Hinweisgeberschutz- und AGG-Pflichten.

Aus dem Lesen einen Auftrag machen. Senden Sie eine kurze Beschreibung Ihrer Unternehmensgröße, Ihres Sektors und Ihres aktuellen ISB-Status an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Eine Betroffenheitsanalyse mit schriftlichem Ergebnis ist Teil des Erstgesprächs; die Bestellung des ISB und der Aufbau des Workspace folgen innerhalb des Zwei-Werktage-SLA. Eine vertiefte Sicht zur Rolle liefert die CIVAC ISB-Seite.

FAQ

Ab wie vielen Mitarbeitern fällt ein KMU unter die NIS-2-Pflicht?

Die Schwelle beträgt 50 Mitarbeiter und entweder mehr als 10 Mio. Euro Jahresumsatz oder mehr als 10 Mio. Euro Jahresbilanzsumme, kumulativ mit Sektorzugehörigkeit nach Anhang I oder II der NIS-2-Richtlinie. Anbieter öffentlicher elektronischer Kommunikation, Vertrauensdienste, DNS-Dienste und TLD-Registries sind unabhängig von der Größenklasse erfasst, also auch unterhalb der KMU-Schwelle.

Was ist der Unterschied zwischen wesentlicher und wichtiger Einrichtung?

Wesentliche Einrichtungen nach Anhang I der NIS-2-Richtlinie unterliegen proaktiver BSI-Aufsicht und Bußgeldern bis 10 Mio. Euro oder 2 % Konzernumsatz. Wichtige Einrichtungen nach Anhang II unterliegen reaktiver Aufsicht und Bußgeldern bis 7 Mio. Euro oder 1,4 % Konzernumsatz. Die Kategorisierung hängt von Sektor und Größenklasse ab und wird in § 28 BSI-Gesetz konkretisiert, inklusive der elf wesentlichen und sechs wichtigen Sektoren.

Wie funktioniert die 24/72-Stunden-Meldefrist konkret?

Bei Kenntnis eines erheblichen Sicherheitsvorfalls nach § 32 Abs. 5 BSI-Gesetz muss die Einrichtung innerhalb von 24 Stunden eine Frühwarnung an das BSI absetzen, innerhalb von 72 Stunden eine vollständige Vorfallmeldung mit Bewertung und Indikatoren für Kompromittierung, und innerhalb eines Monats einen Abschlussbericht. Die Frist beginnt mit der positiven Kenntnis, nicht mit dem objektiven Eintritt des Vorfalls. Frist läuft ab Kenntnis.

Muss die Geschäftsführung persönlich an Schulungen teilnehmen?

Ja. § 38 Abs. 3 BSI-Gesetz verpflichtet Mitglieder der Geschäftsleitung zur regelmäßigen Teilnahme an Schulungen zur Cybersicherheit. Die Teilnahme ist dokumentationspflichtig und im Audit nachzuweisen. Die Aufsichtsbehörde kann bei Verstößen nach § 64 BSI-Gesetz anordnen, dass Mitglieder der Geschäftsleitung vorübergehend von ihren Leitungsaufgaben ausgeschlossen werden, was eine erhebliche persönliche Sanktion darstellt.

Ersetzt die ISB-Bestellung die persönliche Verantwortung der Geschäftsführung?

Nein. Die Bestellung eines Informationssicherheitsbeauftragten erleichtert die Pflichterfüllung, ersetzt aber nicht die persönliche Verantwortung der Geschäftsleitung nach § 38 BSI-Gesetz und § 130 OWiG. Der ISB berät, dokumentiert und überwacht; die Billigung der Risikomanagement-Maßnahmen und die Verantwortung für deren Umsetzung verbleiben bei der Geschäftsleitung. Diese Konstruktion ist mit der DSB-Logik nach Art. 24 DSGVO vergleichbar.

Wie schnell kann CIVAC einen externen ISB für ein KMU bestellen?

Das CIVAC-SLA für die Ausstellung der Bestellurkunde und die Einrichtung des Workspace beträgt zwei Werktage nach dem Scoping-Gespräch. Klassische Suche nach einem qualifizierten ISB dauert in der Regel zwei bis sechs Wochen, was angesichts der laufenden Bußgeld- und Aufsichtsrisiken nicht akzeptabel ist. Die Bestellurkunde, die Berichtslinie und der erste Workspace-Aufbau sind Standardlieferumfang.

Unverbindlich

Klingt nach viel Arbeit?

Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.

Aus dem Beitrag ein Mandat machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Weitere Beiträge