Compliance Compass
Ihr Navigator durch die EU-Regulierungslandschaft

• Die EU harmonisiert Cybersecurity, Datenschutz und digitale Souveränität EU-weit
• Nationale Flickenteppiche werden durch verbindliche Verordnungen ersetzt

• Ihre Kunden – insbesondere im B2B-Bereich – erwarten nachweisbare Compliance
• ISO-Zertifizierungen, DSGVO-Konformität und Exit-Fähigkeit werden zum Standard

• Verstöße gegen GDPR können bis zu 4% des Jahresumsatzes kosten
• NIS-2 sieht persönliche Haftung für Management vor
• CRA fordert kontinuierliche Vulnerability-Disclosure

Seit 2018 in Kraft. Schutz personenbezogener Daten, Betroffenenrechte, Meldepflichten. Betrifft jedes Unternehmen, das Daten von EU-Bürgern verarbeitet. Bußgelder bis 4% des Jahresumsatzes.

Mehr zur GDPR

Anwendbar ab Oktober 2024. Erweitert NIS-1 auf 18 Sektoren. Risikomanagement, Incident-Meldung, Supply-Chain-Security, Management-Haftung. Betrifft wesentliche/wichtige Einrichtungen.

Mehr zu NIS-2

Anwendbar ab Januar 2025. Harmonisiert IKT-Risikomanagement, Testing, Drittparteirisiko. Betrifft Finanzinstitute und ihre IKT-Dienstleister. Lex specialis gegenüber NIS-2.

Mehr zu DORA

Anwendbar ab 2027. Produktsicherheit über gesamten Lifecycle, SBOM, Vulnerability-Disclosure, Update-Pflichten. Betrifft Software/Hardware-Hersteller. CE-Kennzeichnung für kritische Produkte.

Mehr zu CRA

Anwendbar ab September 2025. Datenportabilität, offene APIs, Verhinderung von Vendor Lock-in. Betrifft Cloud-Provider, IoT-Hersteller, Software-Anbieter. Funktionale Äquivalenz und Exit-Runbooks verpflichtend.

Mehr zum Data Act

Beschaffungsrahmen der EU-Kommission. Bewertet Cloud-Dienste nach 8 Souveränitätszielen (SOV-1 bis SOV-8). SEAL-Levels als Mindestschwellen. EU-Präferenz in öffentlichen Ausschreibungen.

Mehr zum Framework

Methodologie für moderne, portable, skalierbare SaaS-Anwendungen. Codebase, Dependencies, Config, Services, Build/Release/Run, Processes, Port-Binding, Concurrency, Disposability, Dev/Prod-Parity, Logs, Admin, Security, Telemetry, API-First.

Mehr zur 15 Factor App

• Bei schweren Verstößen (z.B. mangelnde Rechtsgrundlage, unzureichende Sicherheit): bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist
• Zusätzlich: Reputationsschäden, Kundenabwanderung, Schadenersatzforderungen

• Bußgelder bis 10 Mio. EUR oder 2% des Jahresumsatzes
• Neu: Persönliche Haftung für Leitungsorgane bei Pflichtverletzung
• Aufsichtsbehörden können Unternehmen zur Umsetzung von Maßnahmen zwingen
• Worst Case: Betriebsuntersagung

• Finanzaufsicht (BaFin, EIOPA, etc.) kann Mängel beanstanden, Maßnahmen anordnen, Tätigkeiten einschränken
• Bußgelder bis 10 Mio. EUR oder 5% des Jahresumsatzes für Finanzentitäten
• IKT-Drittanbieter können von Aufsicht “gescreent” und bei Risiken ausgeschlossen werden

• Nicht-konforme Produkte dürfen EU-Markt nicht betreten
• Marktaufsichtsbehörden können Rückruf anordnen, CE-Kennzeichnung verweigern
• Bußgelder bis 15 Mio. EUR oder 2,5% des weltweiten Jahresumsatzes
• Für kritische Produkte: EUCC-Zertifizierung verpflichtend

• Kunden können Verträge mit Lock-in-Klauseln anfechten
• Bußgelder bis 10 Mio. EUR oder 2% des Jahresumsatzes
• Cloud-Provider müssen switching-Gebühren rechtfertigen
• Funktionale Äquivalenz bei Portierung sicherstellen

• Beschaffungsstellen können Mindest-SEAL-Levels festlegen
• Anbieter, die diese nicht erfüllen, werden ausgeschlossen
• EU-Präferenz in Ausschreibungen
• Kein direkter Bußgeldrahmen, aber faktischer Marktausschluss im öffentlichen Sektor

• GDPR gilt seit 25. Mai 2018
• Keine Übergangsfrist mehr
• Wer noch nicht compliant ist: sofortige Maßnahmen erforderlich
• Regelmäßige Audits, DPIAs, Betroffenenrechte-Prozesse müssen etabliert sein
• Dokumentation ist Pflicht

• EU-Verordnung vom 14.12.2022, anwendbar ab 17.10.2024
• Mitgliedstaaten hatten bis 17.10.2024 Zeit für nationale Umsetzung
• Deutschland: Umsetzung läuft, Unternehmen sollten jetzt identifizieren ob sie betroffen sind und Maßnahmen umsetzen

• DORA gilt ab 17.01.2025
• Finanzentitäten und IKT-Drittanbieter hatten seit 16.01.2023 Zeit zur Vorbereitung
• Technische Standards (RTS/ITS) werden sukzessive veröffentlicht
• Frühzeitige Implementierung empfohlen: IKT-Risikomanagement-Framework, Testing-Programme, Drittparteiregister

• CRA wurde Dezember 2024 verabschiedet, anwendbar 36 Monate nach Inkrafttreten (ca. 2027/2028)
• Hersteller sollten jetzt beginnen: SBOM-Prozesse, Vulnerability-Disclosure-Programme, Security by Design in Produktentwicklung integrieren
• Für kritische Produkte: EUCC-Zertifizierung vorbereiten

• Data Act anwendbar ab 12.09.2025 (12 Monate nach Inkrafttreten)
• Übergangsfrist für bestehende Verträge: 24 Monate
• Cloud-Provider müssen Exit-Strategien, offene APIs, Switching-Prozesse etablieren
• Vertragliche Lock-in-Klauseln müssen überarbeitet werden

• Framework veröffentlicht Oktober 2025, sofort anwendbar in EU-Beschaffungen
• Öffentliche Auftraggeber können Mindest-SEAL-Levels festlegen
• Cloud-Provider sollten jetzt ihre Souveränitäts-Positionierung vorbereiten: EU-Standorte, Exit-Fähigkeit, BYOK, Open Standards, EU-basierte Operations

• EU-Datenhaltung (Deutschland), Customer-Managed Keys (BYOK/BYOHSM), Verschlüsselung at rest/in transit
• ISO 27001-zertifiziertes ISMS
• DPA/AVV-ready
• Unterstützung bei DPIAs, Betroffenenrechten, Incident-Response
• Audit-Trails für Nachweisführung

• 24/7 Monitoring & Alerting, strukturierte Incident-Response-Prozesse, BCP/DR-Konzepte
• Supply-Chain-Transparenz (SBOM, CVE-Scanning)
• EU-basierte Operations, MFA/PAM, Vulnerability-Management
• ISO 27001-zertifiziert
• Ideal für wesentliche/wichtige Einrichtungen

• IKT-Risikomanagement-Framework gemäß DORA Art. 6-16
• Dokumentierte Exit-Strategien (Art. 28)
• Drittpartei-Risiko-Management (Art. 28-30)
• TLPT-Readiness (Art. 26)
• Strukturierte Incident-Meldeketten (Art. 19)
• Kontinuierliche Resilience-Tests
• ISO 27001-zertifiziert

• SBOM-Generation für alle Plattform-Komponenten
• CVE-Scanning, Vulnerability-Disclosure-Prozesse
• Signierte Container-Images, Update-Management
• GitOps-basierte Audit-Trails
• Transparente Lieferkette
• Best-Practice-Implementierung für cloud-native Software

• Designed für SEAL-4 (Full Digital Sovereignty) über alle 8 Souveränitätsziele
• EU-basierte Operations (SOV-1/2/4/7), EU-Datenhaltung + BYOK (SOV-3)
• Offene Standards + Exit-Fähigkeit (SOV-4/6)
• Transparente Lieferketten (SOV-5)
• ISO-Zertifizierungen (SOV-7)
• Keine Abhängigkeiten von Nicht-EU-Kontrolle

• Offene APIs (OpenAPI/Kubernetes-Standard)
• Standardisierte Formate (YAML/JSON/Helm/OCI)
• Vollständige Exit-Runbooks, Infrastructure-as-Code-Portierung
• Multi-Cloud/Multi-Provider-fähig
• Keine Egress-Fees
• Funktionale Äquivalenz
• CNCF-zertifiziertes Kubernetes

• Wir helfen Ihnen, Ihre Software nach 15 Factor Prinzipien zu strukturieren: Config-Externalisierung, Stateless Processes, Port-Binding, Disposability, Dev/Prod-Parity, Logs, Telemetry, API-First
• Basis für Compliance-Readiness und Lock-in-Vermeidung

• Gap-Assessment: Wo stehen Sie, was fehlt?
• Roadmap-Entwicklung: Welche Maßnahmen in welcher Reihenfolge?
• Dokumentations-Support: Wie bauen Sie die Nachweisführung auf?
• Wir begleiten Sie von Analyse über Implementierung bis Audit-Readiness

• Wir adressieren GDPR, NIS-2, DORA, CRA, Data Act, Cloud Sovereignty Framework, ISO 27001/9001 systematisch
• Synergien nutzen: ISMS als Basis, Risikomanagement für alle Regulierungen, gemeinsame Incident-Response, zentrale Audit-Trails
• Compliance als Wettbewerbsvorteil

• Welche Regulierungen betreffen Sie?
• Wo sind die größten Lücken?
• Was sind die Quick Wins?

• BYOK, SBOM, Exit-Runbooks, ISO-Zertifizierung – in der Praxis

• ISO-Zertifikate, DORA-Mapping, NIS-2-Gap-Assessment, Cloud Sovereignty Self-Assessment
• Transparent, auditierbar, praxiserprobt