NIS2 und DORA

Hyground unterstützt sie bei der Umsetzung von NIS2 und DORA

Kein einzelnes Tool macht Sie compliant. Hyground macht laufend sichtbar, welche Teile beider Regelwerke in Ihrem Stack liegen, und dokumentiert sie: Incident-Behebung, Risikoanalyse, Überblick über Assets und Lieferkette sowie Zugriffskontrolle. Rein lesend, innerhalb Ihres eigenen Perimeters.

Deep Dive buchen

Abdeckung

Bei diesen Maßnahmen unterstützen wir

NIS2-Artikel 21 nennt zehn Sicherheitsmaßnahmen, und die Säulen von DORA laufen auf denselben operativen Kern hinaus. Die Tabelle zeigt, welche davon Hyground aus dem Live-Zustand Ihrer Systeme belegt, welche es teilweise unterstützt und welche zu anderen Tools gehören.

Maßnahme nach NIS2-Artikel 21(2)	Hyground-Abdeckung	Das bekommen Sie	Bezug zu DORA
(a) Risikoanalyse und Sicherheitsrichtlinien	Vollständig	FMEA-Risikoanalyse: bewertete Fehlermöglichkeitsmatrix, Fehlerbaum, Bericht; Asset-Inventar auf Abruf	Säule 1: IKT-Risikomanagement
(b) Incident-Behebung	Vollständig	Automatisierte Root-Cause-Analyse; pro Incident ein prüfbares Sitzungsprotokoll mit Zeitstempel	Säule 2: Incident-Management
(c) Business Continuity, Backup, Disaster Recovery	Keine	Nicht Hyground: Ihre Tools für Backup und Recovery	Säule 1: IKT-Risikomanagement
(d) Sicherheit der Lieferkette	Vollständig	Stack-übergreifende Erfassung von Abhängigkeiten und Assets; welche laufenden Services ein verwundbares Paket nutzen	Säule 4: Drittparteienrisiko
(e) Sichere Entwicklung und Schwachstellenmanagement	Teilweise	Live-Prüfungen von Angriffsfläche und Konfiguration auf laufenden Services	Säulen 1 und 3
(f) Wirksamkeit der Maßnahmen prüfen	Vollständig	Zeitgesteuerte Untersuchungen nach Cron-Zeitplan; herunterladbare Berichte als Beleg, dass die Prüfungen liefen	Säule 3: Resilienztests
(g) Grundlegende Cyberhygiene und Schulungen	Keine	Nicht Hyground: Ihr Awareness-Programm	Säule 1: IKT-Risikomanagement
(h) Kryptografie und Verschlüsselung	Keine	Nicht Hyground: Ihr Schlüsselmanagement und Ihre Verschlüsselung	Säule 1: IKT-Risikomanagement
(i) Zugriffskontrolle und Asset-Management	Vollständig	Rein lesende Adapter, kurzlebige Tokens pro Umgebung, vollständiger Audit-Trail aller Interaktionen; Asset-Inventar auf Abruf	Säule 1: IKT-Risikomanagement
(j) Multi-Faktor-Authentifizierung und sichere Kommunikation	Keine	Nicht Hyground: Ihr Identity-Provider und Ihre Kommunikation	Säule 1: IKT-Risikomanagement

Scrollen Sie für die vollständige Tabelle

So funktioniert es

Die Funktionen hinter der Matrix

Mit diesen Use-Cases und Funktionen unterstützt Hyground schon heute.

NIS2 21(2)(b) / DORA Säule 2

Incident-Behebung

Die automatisierte Root-Cause-Analyse startet wenige Minuten nach einem Alert und untersucht systemübergreifend Observability, Cloud, Kubernetes, Code und Ticketing. Die strukturierte Diagnose speist Ihre Meldefrist, 24 Stunden nach NIS2 und 4 Stunden bei einem schweren DORA-Incident, und jede Session ist ein prüfbares Incident-Protokoll mit Zeitstempel. Wenn die Aufsichtsbehörde fragt, ob das Management dafür gesorgt hat, dass die Maßnahmen umgesetzt sind und greifen, ist dieses Protokoll Ihr Beleg. Hyground empfiehlt, Ihre Engineers entscheiden.

NIS2 21(2)(a) / DORA Säule 1

Risikoanalyse und Asset-Inventar

Die FMEA-Risikoanalyse von Hyground wendet die Fehlermöglichkeits- und Einflussanalyse auf Ihren Stack an und erzeugt einen Fehlerbaum sowie einen Bericht. Hyground erstellt ein übergreifendes Inventar aus Assets in Ihren Systemen - von Kubernetes über AWS, Azure sowie Datenbanken und Observability, auf Abruf statt von Hand. Zeitgesteuerte Prozesse halten es laufend aktuell, nicht nur einmal im Jahr.

NIS2 21(2)(d)

Software Bill of Materials

Eine Software Bill of Materials (SBOM) im CycloneDX-Format, die wir mit jedem Release veröffentlichen und Kunden zur Verfügung stellen, damit Ihre Lieferantenprüfung unsere Softwareabhängigkeiten nachvollziehen kann.

NIS2 21(2)(e)

Abhängigkeiten und Exposition live

Antworten aus Ihrem tatsächlichen Laufzeitzustand: welche Services ein verwundbares Paket nutzen, welche Abhängigkeiten sich seit dem letzten Release verändert haben und welche Services weiterhin unauthentifizierten Traffic annehmen.

NIS2 21(2)(i)

Zugriffssteuerung und Audit-Trail

Hyground verwaltet Ihre Zugangsdaten zentral und sicher; nicht verstreut auf einzelne Entwickerlaptops mit Rechteeskalation. Unsere Integrationen sind standardmäßig rein lesend und werden beim Start verifiziert, jeder Zugriff ist einer Umgebung zugeordnet und nutzt kurzlebige Tokens, und jede Interaktion zwischen Agent und System wird protokolliert. Das ist die Art von Kontrollnachweis, die eine Beschaffungsabteilung prüfen kann.

NIS2 21(2)(f) / DORA Säule 3

Wirksamkeits- und Drittparteienprüfung

Zeitgesteuerte Untersuchungen führen Ihre Prüfungen per Cron aus und erzeugen herunterladbare Berichte: Belege, dass Ihre Maßnahmen laufen, nicht nur, dass sie auf dem Papier stehen. Dieselbe Überwachung gilt auch für Dritte: ob Service-Level-Objectives eingehalten werden, ob Datenflüsse dem Vertrag entsprechen und ob die Konfiguration von Komponenten driftet, die jemand anderes betreibt.

Drittparteienrisiko

Compliance by Design

Hyground läuft in Ihrer Umgebung und liest, statt zu schreiben, sodass Sie Betreiber Ihrer eigenen Data Plane bleiben. Das hält den Dokumentationsaufwand zum Drittparteienrisiko gering, und on-premises verschwindet er fast vollständig.

Ihr Perimeter, Ihre Zugangsdaten

Adapter sind standardmäßig rein lesend und werden beim Start verifiziert. Zugangsdaten liegen in Ihrer Umgebung und verlassen sie nie, und jede Interaktion zwischen Agent und System wird protokolliert, jeweils einer Umgebung zugeordnet.

Wo Ihr Modell läuft

In Ihrer eigenen Cloud kombinieren Sie Hyground mit einem Managed-Modell in einer europäischen Region, etwa Amazon Bedrock oder Azure OpenAI, sodass Prompts und Antworten in Ihrem Tenant bleiben. Wo Sie US-Anbieter ausschließen müssen, nutzen Sie einen europäischen Modellanbieter; on-premises mit lokalem Modell verlässt überhaupt nichts Ihre Umgebung.

Bereit für Ihr DORA-Register

Für Ihr Informationsregister: Ort der Datenverarbeitung ist Ihr eigener Tenant, die Austauschbarkeit beruht auf Standard-Kubernetes und ist modellunabhängig, und der Ausstieg erfolgt auf Ihrer eigenen Infrastruktur, mit Ihren eigenen Daten. Der einzige Unterauftragsverarbeiter, den Sie erfassen müssen, ist das Modell, mit dem Sie sich verbinden, in der Regel ein Managed-Modell in einer europäischen Region von AWS oder Azure, und on-premises gibt es keinen.

Koordinierte Schwachstellenoffenlegung

Melden Sie ein Sicherheitsproblem an security@hyground.ai. Unsere schriftliche Offenlegungsrichtlinie nennt einen festen Ansprechpartner mit definierten Zeiten für Eingangsbestätigung und Triage.

Was Hyground nicht leistet

Genau zu benennen, wo die Grenzen liegen, gehört dazu, um ein Lieferant zu sein, den Sie ohne Fußnote in ein DORA-Register eintragen können. Hyground ist die operative Schicht; es ersetzt nicht die Tools drumherum und ist kein Zertifikat.

Kein SIEM, SOAR oder GRC-Tool

Ihr SIEM (Security Information and Event Management) sammelt weiter, und Ihr Governance-Tooling führt weiter das Register. Hyground liegt darunter und beantwortet, was im Stack gerade tatsächlich zutrifft; es orchestriert keine Behebung und verwaltet nicht Ihre Kontrollen.

Kein Backup, kein MFA, kein Scanner

Wir übernehmen kein Backup und kein Failover, bieten weder Multi-Faktor-Authentifizierung noch Identity-Management und ersetzen weder Ihre Code- und Dependency-Scanner noch Ihr Cloud-Posture-Tooling.

Bewusst lesend statt schreibend

Hyground untersucht und berichtet; es verändert Ihre Systeme nicht von selbst. Schreibzugriffe beschränken sich auf Ticketkommentare, eine Sandboxed-Shell und die eigene Wissensbasis.

Zertifizierung läuft

Die ISO-27001-Zertifizierung läuft, und CycloneDX-Dateien für die Software Bill of Materials (SBOM) gibt es pro Release schon heute. Wenn Ihr Einkauf heute ein ausgestelltes Zertifikat braucht, sagen wir Ihnen genau, wo wir stehen, statt mehr anzudeuten.

Deployment

Selbst gehostet, in der Stufe, die zu Ihren Auflagen passen

Hyground ist in jeder Stufe selbst gehostet. Die Stufe, die Sie wählen, ist damit Ihr Compliance-Argument.

Ihre Cloud

Hyground läuft in Ihrem eigenen AWS-, Azure- oder StackIT-Tenant, und Ihre Zugangsdaten verlassen ihn nie. Kombinieren Sie es mit einem Managed-Modell in einer europäischen Region, etwa Amazon Bedrock oder Azure OpenAI, sodass Prompts in Ihrem Tenant bleiben.

EU-souverän

EU-Cloud wie StackIt, Hetzner, IONOS oder OVHcloud, kombiniert mit einem Modell eines europäischen Anbieters, ohne US-Anbieter im Pfad. Die stärkste Aufstellung für DORA, NIS2 und Schrems II, auf die sich auch ein von der BaFin (der deutschen Finanzaufsicht) beaufsichtigter Kunde berufen kann.

On-premises, Air-Gap optional

Nichts verlässt Ihre Umgebung, und mit einem lokalen Modell gibt es überhaupt keinen Unterauftragsverarbeiter zu erfassen. Dieses Modell ist wichtig für Verteidigung, kritische Infrastruktur per Air-Gap getrennte Umgebungen.

Sie bleiben der Betreiber

Hyground ist ein Bring-your-own-Chart-Deployment und sendet keine Daten an uns zurück. Der Geltungsbereich seiner Informationssicherheit schließt Ihre Produktivumgebung, Ihre Modell-Accounts und Ihre Daten bewusst aus, sodass die Data Plane Ihre bleibt.

Die Regeln in Kürze

Zwei Regelwerke, zwei Meldefristen

Beide Regelwerke erreichen Softwareanbieter über deren Kunden: Kunden im Geltungsbereich geben die Anforderungen entlang der Lieferkette weiter (NIS2-Artikel 21(2)(d), DORA-Artikel 30), sodass die Frist auch dann bei Ihnen anlaufen kann, wenn Sie selbst nicht direkt im Geltungsbereich sind.

NIS2

Richtlinie (EU) 2022/2555, ein horizontaler Mindeststandard für Cybersicherheit. Die Meldung erheblicher Incidents erfolgt gestaffelt nach 24 Stunden, 72 Stunden und einem Monat, bei persönlicher Haftung der Geschäftsleitung. In Deutschland gilt sie seit dem 6. Dezember 2025 über das novellierte BSI-Gesetz.

DORA

Verordnung (EU) 2022/2554, anwendbar seit dem 17. Januar 2025, das detaillierte Resilienz-Regelwerk für den Finanzsektor. Fünf Säulen; die Meldung schwerwiegender Incidents erfolgt gestaffelt nach 4 Stunden, 72 Stunden und einem Monat, gerechnet ab dem Zeitpunkt, an dem Sie den Incident einstufen.

In der Praxis

Belege und verwandte Use Cases

Proof of Concept bei der Deutschen Bahn

Ein Proof of Concept in der eigenen VPC der Deutschen Bahn: rein lesende Zugriffspfade, von Menschen gesteuerte Aktionen und eine um bis zu 85 % kürzere mittlere Lösungszeit.

Fallstudie lesen

Incident-Analyse

Automatisierte Root-Cause-Analyse über Ihren Observability-, Cloud- und Ticketing-Stack hinweg: die Engine hinter der Zeile zur Incident-Behebung oben.

Mehr erfahren

CVE-Blast-Radius-Mapping

Welche laufenden Services ein verwundbares Paket nutzen, am Tag, an dem ein CVE auftaucht, über Ihren gesamten Bestand hinweg ermittelt: Lieferkettentransparenz in der Praxis.

Mehr erfahren

Hyground auf Ihr NIS2- oder DORA-Programm abbilden

Bringen Sie Ihre Pflichten und Ihren Stack mit. Wir zeigen Ihnen an Ihrer eigenen Umgebung, welche Maßnahmen Hyground belegen kann und welche nicht.

Deep Dive buchen Whitepaper lesen Mehr zur Sicherheit