MGMSYS ist ein modulares Compliance-Cockpit mit mehr als 70 Fachmodulen fuer DSGVO, ISO 27001, NIS2, TISAX, EU AI Act, CRA, CSRD, BFSG, EntgT, GPSR, ISO 9001, ISO 14001, ISO 50001, DORA, LkSG und weitere Regelwerke. Es ist eine mandantenfaehige SaaS-Plattform mit Hosting in Deutschland.

Kann ich MGMSYS kostenlos testen?

Ja, MGMSYS bietet einen kostenlosen Testzugang mit allen Modulen. Es wird lediglich eine Unternehmens-E-Mail-Adresse benoetigt – keine Kreditkarte, keine Verpflichtung.

Wo werden die Daten gespeichert?

Alle Daten werden ausschliesslich in Deutschland verarbeitet und gespeichert, in einem ISO 27001-zertifizierten Rechenzentrum. Es bestehen keine Abhaengigkeiten von US-Cloud-Anbietern.

Welche Zertifizierungen und Standards werden unterstuetzt?

MGMSYS unterstuetzt unter anderem DSGVO, ISO 27001, ISO 9001, ISO 14001, ISO 50001, NIS2, TISAX, DIN 27076, EU AI Act (KIMS), GPSR und das Hinweisgeberschutzgesetz (HinSchG).

Ist MGMSYS mandantenfaehig?

Ja, MGMSYS ist vollstaendig mandantenfaehig mit strikter PostgreSQL Schema-Isolation. Jeder Mandant arbeitet in einer vollstaendig getrennten Umgebung mit eigenem Branding, eigenen Benutzern und eigener Konfiguration.

Bietet MGMSYS eine API an?

Ja, MGMSYS verfuegt ueber eine vollstaendige externe REST-API mit API-Schluesseln, Scopes (read/readwrite), modulbasierter Zugriffsbeschraenkung, Rate-Limiting und OpenAPI/Swagger-Dokumentation.

Woher weiß ich, ob mein Sektor erfasst ist?

Maßgeblich sind Anhang I und II der NIS2-Richtlinie. Anhang I listet 11 Sektoren hoher Kritikalität, Anhang II 7 weitere kritische Sektoren. Entscheidend ist die tatsächlich erbrachte Tätigkeit, nicht der Gegenstand laut Handelsregister.

Welche Größenschwelle gilt für NIS2?

Grundsätzlich gilt das Mittelstandskriterium: mindestens 50 Beschäftigte oder mindestens 10 Mio. Euro Jahresumsatz bzw. Bilanzsumme. Es genügt, wenn eines der Kriterien erreicht ist. Verbundene Unternehmen sind anteilig zu berücksichtigen.

Kann ich auch unterhalb der Größenschwelle betroffen sein?

Ja. Bestimmte Einrichtungstypen unterliegen NIS2 unabhängig von der Größe, etwa qualifizierte Vertrauensdiensteanbieter, DNS-Diensteanbieter, TLD-Namenregister oder Anbieter öffentlicher Kommunikationsnetze. Außerdem werden Sie über Lieferkettenanforderungen Ihrer Kunden faktisch in die Pflicht genommen.

Muss ich mich aktiv beim BSI registrieren?

Ja. Die Selbstidentifikation und Registrierung liegt in der Verantwortung des Unternehmens. Eine Behörde teilt die Betroffenheit nicht mit. Eine versäumte Registrierung kann selbst mit einem Bußgeld geahndet werden.

Was passiert nach der Betroffenheitsfeststellung?

Steht die Betroffenheit fest, sind die Mindestmaßnahmen nach Art. 21 umzusetzen, Meldewege gegenüber dem BSI einzurichten und die Geschäftsleitung zu schulen. MGMSYS bildet diese Schritte strukturiert ab und führt die Nachweise revisionssicher.

EU-Richtlinie 2022/2555

NIS2-Betroffenheit prüfen – sind Sie betroffen?

Die wichtigste Frage zuerst: Fällt Ihr Unternehmen überhaupt unter NIS2? Anders als bei der alten NIS-Richtlinie entscheidet künftig nicht mehr eine Behörde über die Einstufung – Unternehmen müssen ihre Betroffenheit selbst feststellen, dokumentieren und sich beim BSI registrieren. Die Einordnung hängt von Sektor, Unternehmensgröße und Sonderfällen ab.

Testzugang starten

Unverbindlich testen – keine Verpflichtung, keine automatische Vertragsbindung.

Zwei Klassen

Wesentliche oder wichtige Einrichtung?

NIS2 unterscheidet zwei Kategorien betroffener Unternehmen. Die Einstufung bestimmt die Intensität der Aufsicht und die Höhe möglicher Bußgelder – die Mindestmaßnahmen nach Art. 21 gelten jedoch für beide Klassen.

Wesentliche Einrichtungen

Sektoren hoher Kritikalität (Anhang I)

Großunternehmen in Sektoren wie Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trink- und Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, öffentliche Verwaltung und Weltraum. Es gilt proaktive Aufsicht (Prüfungen auch ohne Anlass) und ein Bußgeldrahmen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.

Wichtige Einrichtungen

Sonstige kritische Sektoren (Anhang II)

Mittlere und große Unternehmen in Sektoren wie Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe (u. a. Medizinprodukte, Maschinenbau, Kfz, Elektronik), digitale Dienste und Forschung. Hier greift reaktive Aufsicht (anlassbezogen) und ein Bußgeldrahmen von bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes.

Drei Prüfschritte

So stellen Sie Ihre Betroffenheit fest

Betroffenheit ergibt sich grundsätzlich aus dem Zusammenspiel von Sektor und Größe. Daneben gibt es Sonderfälle, in denen NIS2 unabhängig von der Größe greift.

1
Sektor zuordnen (Anhang I / II)
Liegt Ihre Tätigkeit in einem der 18 erfassten Sektoren? Maßgeblich ist die tatsächlich erbrachte Leistung – nicht der Eintrag im Handelsregister. Bei Mischbetrieben ist jede Tätigkeit einzeln zu prüfen.
2
Größenschwelle anlegen
Mindestens 50 Beschäftigte ODER mindestens 10 Mio. € Jahresumsatz bzw. 10 Mio. € Bilanzsumme (Mittelstandskriterium nach EU-Empfehlung 2003/361/EG). Verbundene und Partnerunternehmen sind bei der Berechnung anteilig einzubeziehen.
3
Sonderfälle prüfen
Bestimmte Einrichtungstypen sind unabhängig von der Größe betroffen – etwa qualifizierte Vertrauensdiensteanbieter, TLD-Namenregister, DNS-Diensteanbieter, Anbieter öffentlicher elektronischer Kommunikationsnetze sowie Einrichtungen, die einziger Anbieter einer kritischen Dienstleistung in einem Mitgliedstaat sind.

Größenschwelle

≥ 50 MA oder 10 Mio. €

Beschäftigte oder Umsatz/Bilanzsumme – es genügt, wenn eines der beiden Kriterien erreicht ist.

Sektoren

18 Sektoren

11 Sektoren hoher Kritikalität (Anhang I) und 7 sonstige kritische Sektoren (Anhang II).

Registrierung

Pflicht beim BSI

Betroffene Einrichtungen müssen sich aktiv registrieren – eine behördliche Benachrichtigung erfolgt nicht.

Oft übersehen

Lieferketten-Betroffenheit und Registrierungspflicht

Selbst wer formal nicht direkt betroffen ist, wird über die Lieferkette in die Pflicht genommen. Und wer betroffen ist, muss aktiv handeln – Schweigen ist keine Option.

Betroffenheit über die Lieferkette

NIS2-pflichtige Unternehmen müssen die Sicherheit ihrer Lieferkette bewerten und vertraglich absichern. In der Folge geben sie Sicherheitsanforderungen an ihre Dienstleister und Zulieferer weiter – auch an Unternehmen, die selbst nicht direkt unter NIS2 fallen. Wer kritische IT-, Cloud- oder Fertigungsleistungen erbringt, sollte sich daher unabhängig von der eigenen Einstufung auf entsprechende Nachweisanforderungen vorbereiten.

Registrierungspflicht beim BSI

Betroffene Einrichtungen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und Stammdaten sowie Kontaktpunkte aktuell halten. Die Selbstidentifikation liegt in der Verantwortung des Unternehmens – eine Aufsichtsbehörde teilt die Betroffenheit nicht von sich aus mit. Eine versäumte Registrierung ist selbst bußgeldbewehrt.

Sobald Ihre Betroffenheit feststeht, beginnt die eigentliche Arbeit – Risikomanagement, Maßnahmen, Meldewege und Nachweise. Wie MGMSYS die vollständige Umsetzung abbildet, zeigt die NIS2-Hauptseite.

Häufige Fragen

Woher weiß ich, ob mein Sektor erfasst ist?: Maßgeblich sind Anhang I und II der NIS2-Richtlinie. Anhang I listet 11 Sektoren hoher Kritikalität, Anhang II 7 weitere kritische Sektoren. Entscheidend ist die tatsächlich erbrachte Tätigkeit, nicht der Gegenstand laut Handelsregister.
Welche Größenschwelle gilt für NIS2?: Grundsätzlich gilt das Mittelstandskriterium: mindestens 50 Beschäftigte oder mindestens 10 Mio. Euro Jahresumsatz bzw. Bilanzsumme. Es genügt, wenn eines der Kriterien erreicht ist. Verbundene Unternehmen sind anteilig zu berücksichtigen.
Kann ich auch unterhalb der Größenschwelle betroffen sein?: Ja. Bestimmte Einrichtungstypen unterliegen NIS2 unabhängig von der Größe, etwa qualifizierte Vertrauensdiensteanbieter, DNS-Diensteanbieter, TLD-Namenregister oder Anbieter öffentlicher Kommunikationsnetze. Außerdem werden Sie über Lieferkettenanforderungen Ihrer Kunden faktisch in die Pflicht genommen.
Muss ich mich aktiv beim BSI registrieren?: Ja. Die Selbstidentifikation und Registrierung liegt in der Verantwortung des Unternehmens. Eine Behörde teilt die Betroffenheit nicht mit. Eine versäumte Registrierung kann selbst mit einem Bußgeld geahndet werden.
Was passiert nach der Betroffenheitsfeststellung?: Steht die Betroffenheit fest, sind die Mindestmaßnahmen nach Art. 21 umzusetzen, Meldewege gegenüber dem BSI einzurichten und die Geschäftsleitung zu schulen. MGMSYS bildet diese Schritte strukturiert ab und führt die Nachweise revisionssicher.

Klären Sie zuerst, ob NIS2 Sie betrifft

MGMSYS führt Sie von der Betroffenheitsfeststellung über die Registrierung bis zum vollständigen Nachweisstand – strukturiert und dokumentiert. Der Testzugang ist unverbindlich – keine automatische Vertragsbindung.

Jetzt kostenlosen Zugang anfordern