Wir setzen die Maßnahmen von Artikel 21 freiwillig um, indem wir Reglyze (das Produkt) sowohl als Gegenstand als auch als Werkzeug verwenden. Das ist Dogfooding, keine regulatorische Pflicht. Wir veröffentlichen diese Seite, damit Sie sehen können, wie eine mit KI gebaute NIS2-Evidenzbasis tatsächlich aussieht, bevor Sie kaufen.
Jede Richtlinie, jeder Schulungsnachweis, jeder Lieferanteneintrag und jeder Wirksamkeits-KPI unten wurde innerhalb von Reglyze (dem Produkt) durch den Gründer von Reglyze (dem Unternehmen) auf demselben Plan generiert, bewertet und geprüft, den unsere zahlenden Kunden nutzen.
Wir haben unsere gesamte NIS2-Evidenzbasis dokumentiert in weniger als 1 Stunde.
Manuelle Berater-Schätzung zum Vergleich: 80–120 Stunden.
Wall-Clock-Minuten aus dem Dogfooding-Timing-Log (docs/research/self-compliance-timing.md). Inklusive KI-Generierung, Cyrils Bearbeitung und Review-Paket. Ohne die 36-stündige Wand-Pause zwischen den Phasen.
Die manuelle Baseline ist die Untergrenze typischer EU-NIS2-Beratungsmandate für KMU (5–25 Mitarbeitende): 10–15 Tage Senior-Berater zu 80–100 €/Stunde. Quelle: Marktangebote aus den Netzwerken von CLUSIF, Clusit und APDC (2025–2026).
19. Mai 2026
19. Aug. 2026
Vierteljährliches Selbst-Audit gemäß Artikel 21(2)(f). Der Zyklus Q2-2026 fand am 19. Mai 2026 statt — 5 KPIs überprüft, 4 "am Ziel" + 1 "über dem Ziel", keine Abweichungen "unter dem Ziel". Der Zyklus ersetzt die vorherigen PDFs auf dieser Seite in-place; Metrik und Termine werden mit jedem Zyklus aktualisiert.
Reglyze (Rechtsträger) ist ein 5-Personen-Unternehmen mit Umsatz unter 10 Mio. € — explizit unterhalb der Kleinunternehmens-Schwelle, mit der Artikel 2(1) NIS2 Entitäten in den Anwendungsbereich bringt. Wir könnten nicht einmal eine Artikel-23-Vorfallmeldung beim BSI einreichen, wenn wir wollten; wir liegen außerhalb des Geltungsbereichs der Richtlinie. Die ehrlichen Gründe, warum wir die Evidenzbasis auf dieser Seite trotzdem veröffentlichen:
Die 14 Artefakte unten decken die zehn Maßnahmen zum Cyber-Risikomanagement aus Artikel 21(2) sowie die Schulung des Leitungsorgans (Artikel 20(2)) und die Wirksamkeitstests (Artikel 21(2)(f)) ab. Jede Zeile verweist auf das geschwärzte PDF, sobald veröffentlicht; Karten mit Nur Zusammenfassung tragen das Abstract, bis Cyril den PDF-Schwärzungslauf abschließt.
Übergeordnete Richtlinie: Risikoanalyse, Governance, Rollen und Verantwortlichkeiten. Von Cyril (einziges Mitglied des Leitungsorgans) für die Reglyze-Entität genehmigt.
Erkennung → Triage → Eindämmung → Beseitigung → Wiederherstellung → Lessons Learned. Der Behörden-Meldepfad ist für Reglyze freiwillig (außerhalb des Geltungsbereichs gemäß Artikel 2(1)), aber dennoch dokumentiert.
RTO/RPO-Ziele pro Serviceebene, Failover-Pfade (Hetzner primär + Google Drive Cold-Backup) und Tabletop-Übungsrhythmus für den Reglyze-SaaS selbst.
Tägliche PostgreSQL-Dumps via rclone nach Google Drive; 7-Tage-Rotation auf der Maschine; Wiederherstellungsübung in deploy-rollback.md. Dimensioniert auf die Reichweite eines einzelnen Gründers.
Lieferanten-Due-Diligence-Checkliste, AVV-Erwartungen, Meldekette bei Verstößen. Gilt für den SaaS-Stack mit 7 Anbietern (Cloudflare, Hetzner, Anthropic, Stripe, GitHub, Resend, Google Drive).
Least-Privilege-Modell, MFA an jeder SaaS-Oberfläche, Onboarding-/Move-/Offboarding-Ablauf (bei 5 Personen formal trivial, aber dokumentiert). Setzt die Richtliniengrenze für zukünftige Einstellungen.
TLS 1.3 in Transit, AES-256 in Ruhe (PostgreSQL, MinIO, GDrive-Backup), Schlüssel-Rotationsrhythmus, keine selbstgebaute Krypto. Wo zutreffend von SaaS-Anbietern geerbt.
Inventar-Geltungsbereich (Laptop + Cloud-Konten), Kennzeichnung, Lebenszyklus und Außerbetriebnahme. Im Solo-Maßstab selbst attestiert; vierteljährlich überprüft.
Onboarding-Sicherheitscheckliste, NDA-Vorlage, Schulungsanforderung und Schritte zum Entzug von Zugriffsrechten beim Ausscheiden. Auf die erste Einstellung dimensioniert; aktueller Stand selbst attestiert.
Dependabot + GitHub Security Alerts als Eingangskanal; SLA nach Schweregrad (kritisch < 7 Tage, hoch < 30 Tage); Patch-Nachweis in der Commit-Historie.
MFA an jeder SaaS-Oberfläche erzwungen; bevorzugte Authenticator-App (kein SMS-Fallback); Matrix sicherer Kanäle für sensible Kommunikation (Signal für Vorfälle, GitHub für Code).
Vierteljährlicher Selbst-Audit-Rhythmus, KPI-Definitionen (heute: Mean Time To Detect < 2 Tage), Prüfnachweise neben dem Letzt-Audit-Zeitstempel dieser Seite gespeichert.
Jährliches Schulungscurriculum für das Leitungsorgan (Artikel 20(2)) und das Personal (Artikel 21(2)(g)). Bei 5 Personen ist das Cyril; bei der nächsten Einstellung für Drittvalidierung gekennzeichnet.
Cyril hat die Reglyze-Leitungsorganschulung am 17.05.2026 abgeschlossen (selbstgesteuert, selbst attestiert). Gültig bis 17.05.2027. Ehrlich bezüglich der Solo-Maßstab-Einschränkung.
Das Leitungsorgan von Reglyze hat die Schulung nach Artikel 20(2) am 17. Mai 2026 im Produkt abgeschlossen. Bei 5 Mitarbeitenden mit einem einzigen Gründer besteht das Leitungsorgan aus einer Person; wir weisen ehrlich auf diese Solo-Maßstab-Einschränkung hin, die bei der nächsten Einstellung eine durch Dritte validierte Schulung auslösen wird.
NIS2 Article 20(2) — Management-Body Training
Solo-Maßstab, selbstgesteuert, selbst attestiert. Drittvalidierung für die nächste Einstellung markiert.
Reglyze läuft auf einem SaaS-Stack mit 7 Anbietern. Das Register erfasst geteilte Daten, Restrisiko-Bewertung und Überprüfungsrhythmus pro Lieferant. Wir nennen Lieferanten offen — die Trust-Seite zeigt die Live-Ansicht.
| Anbieter | Service | Kritikalität |
|---|---|---|
| Cloudflare | CDN, DNS, WAF, TLS-Terminierung | Kritisch |
| Hetzner Online GmbH | Cloud-Infrastruktur / Hosting | Kritisch |
| Anthropic | KI / LLM (Claude API für Dokumentgenerierung) | Kritisch |
| Stripe | Zahlungsabwicklung und Rechnungsstellung | Kritisch |
| GitHub | Quellcode-Hosting und CI/CD | Kritisch |
| Google Workspace + Drive (via rclone) | Off-Site-Backup-Ziel | Hoch |
| Resend | Transaktionale E-Mail-Zustellung | Mittel |
Das vollständige Register inklusive Restrisiko-Bewertungen und Überprüfungsdaten lebt im Produkt. Die Kritikalitätsklassifizierung oben entspricht dem Feld audit_classification (kritisch / wichtig / standard), das vom Lieferanten-Erinnerungs-Cron verwendet wird.
Der Zyklus Q2-2026 (das erste vierteljährliche Audit nach Artikel 21(2)(f)) hat 5 Wirksamkeits-KPIs gegen ihre Ziele erfasst: Mean Time To Detect (MTTD), Mean Time To Restore (MTTR), Einhaltung der SLA für kritische Patches, Durchführung von Wiederherstellungs-Übungen und Aktualität der Lieferantenüberprüfungen. Die KPI-Anzahl wächst mit neuen Richtlinien — das Skelett steht.
| KPI | Unter-Kontrolle Artikel 21(2)(f) | Ziel | Beobachtet Q2-2026 | Status |
|---|---|---|---|---|
Mean Time To Detect (MTTD) Zeit zwischen einem Sicherheitsereignis und dessen Erkennung durch Reglyze. Hetzner-Uptime-Monitor + Docker-Healthchecks im Solo-CTO-Maßstab; kein SOC/SIEM. | nis2.21.2.f.1 | < 2 Tage | 0 Vorfälle | Am Ziel |
Mean Time To Restore (MTTR) Zeit zwischen Erkennung und vollständiger Wiederherstellung. Pre-Deploy-Backup + Auto-Rollback in zwei Übungen im Mai 2026 in unter 3 Min. Wall-Clock validiert. | nis2.21.2.f.2 | < 4 Stunden | 0 Vorfälle | Am Ziel |
Einhaltung SLA für kritische Patches Anteil der innerhalb 7 Tagen gemergten kritischen/hochstufigen Dependabot-PRs. Q2-2026: 3/3 (drizzle-orm, Next.js, @xmldom/xmldom). | nis2.21.2.f.3 | 100 % | 100 % | Am Ziel |
Wiederherstellungs-Übung Erfolgreiche Wiederherstellungs-Übungen pro Quartal. Staging-Restore am 2026-05-03 + Auto-RESTORE_DB-bei-Smoke-Fehlschlag validiert am 2026-05-15. | nis2.21.2.f.4 | ≥ 1 / Quartal | 2 Übungen | Über dem Ziel |
Aktualität der Lieferanten-Überprüfung Anteil der Lieferanten mit aktueller Überprüfung. 7/7 Anbieter tragen next_review_due_at in der Zukunft zum Audit-Datum. | nis2.21.2.f.5 | 100 % | 100 % | Am Ziel |
Pro-KPI-Feststellungen und Korrekturmaßnahmen sind in effectiveness_reviews auf der Produktivdatenbank gespeichert (idempotent, append-only). Nächster Zyklus auf den 19. August 2026 festgelegt.
Nicht getestete KPIs (MTTD, MTTR, Lieferanten-Überprüfungs-Rhythmus) sind ehrliche Dogfooding-Artefakte — Reglyze hatte im Q2-2026 keinerlei Cybersicherheitsvorfälle, sodass die Erkennungs- und Wiederherstellungs-Kontrollen nicht empirisch validiert werden konnten. Patch-SLA und Wiederherstellungs-Übung sind quantitativ validiert.
Eine einzelne audit_logs-Zeile markiert den Abschluss des Zyklus. Die Unterschrift des Prüfers ist digital — das Dogfooding-Versprechen: das Leitungsorgan ist Cyril, der einzige Admin, der jeden Bildschirm angeklickt hat.
Reglyze liegt gemäß Artikel 2(1) außerhalb des NIS2-Geltungsbereichs; dieses Audit ist freiwillig. Vierteljährlicher Rhythmus festgelegt — dieselbe Empfehlung, die wir zahlenden Kunden geben.
Diese Seite ist Teil der Reglyze-Website, wird als statische Next.js-Route ausgeliefert, und die geschwärzten PDFs liegen daneben in der Versionskontrolle. Jeder kann die Chronologie überprüfen:
Starten Sie ein kostenloses Scoping in fünf Minuten. Wenn Sie wie wir gemäß Artikel 2(1) außerhalb des Geltungsbereichs liegen, können Sie die freiwillige Evidenzbasis dennoch im Free-Plan aufbauen. Liegen Sie im Geltungsbereich, deckt der Pro-Plan von Reglyze die volle Artikel-21-Oberfläche mit KI-Dokumentgenerierung, Lieferantenregister und vierteljährlichen Audits ab.