E-Mail-Compliance 2026 — NIS2, DSGVO, BSI und DORA in der DACH-Praxis
Diese strategische Synthese richtet sich an Geschäftsführer, CISOs und Datenschutzbeauftragte — nicht an die Person, die SPF-Records konfiguriert, sondern an die Person, die das Compliance-Risiko trägt. Sie ordnet alle elf Kapitel dieses Email-Security-Ratgebers den geltenden Regulatorien zu: NIS2UmsuCG (BGBl. I 2025/301, in Kraft seit 6. Dezember 2025, OHNE Übergangsfrist), §38 BSIG-neu mit PERSÖNLICHER Geschäftsführerhaftung (nicht delegierbar, Verzicht nichtig), NISG 2026 Österreich (BGBl. I Nr. 94/2025, in Kraft 1. Oktober 2026, Bundesamt für Cybersicherheit), DSGVO Art. 32 + 5(2) + 33, DORA EU 2022/2554 seit 17. Januar 2025 mit Microsoft Ireland Operations als CTPP seit 18. November 2025, Schweizer revDSG seit 1. September 2023, BSI TR-03108 (Transport) und TR-03182 (Authentifizierung) als komplementäre Standards, ISO 27001:2022, PCI DSS 4.0.1 mit Req 5.4.1 und CA/B Forum SC-081v3 (beschlossen 11. April 2025) plus SC-085v2.
Warum E-Mail-Compliance keine Kür mehr ist, sondern Geschäftsführerhaftung
Compliance bedeutet nicht, Maßnahmen umzusetzen — sondern beweisen zu können, dass Sie sie umgesetzt haben, wann Sie es getan haben und wer dafür verantwortlich ist. Diese Verschiebung ist seit dem 6. Dezember 2025 keine theoretische mehr. Mit dem Inkrafttreten des NIS2UmsuCG (BGBl. I 2025/301) gilt §38 BSIG-neu: Geschäftsführer haften für die Umsetzung und Überwachung der Cybersicherheits-Risikomanagement-Maßnahmen mit ihrem Privatvermögen — nicht delegierbar, ein Verzicht ist nichtig, ein vertraglicher Haftungsausschluss explizit verboten. Pflicht-Schulungen alle drei Jahre. Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Eine fehlende DMARC-Konfiguration, die einen Phishing-Angriff auf Kunden ermöglicht, ist damit kein IT-Versäumnis mehr — sie ist ein dokumentiertes Geschäftsleitungs-Versagen.
Dieses Kapitel ordnet die elf Vorgängerkapitel des Email-Security-Ratgebers den geltenden Regulatorien zu. Es ist bewusst für Nicht-Techniker geschrieben — die regulatorischen Anforderungen treffen die Unternehmensleitung direkt. Die Cross-Welle-Synthese in Sektion 10 ist der zentrale Audit-Vorbereitungs-Beleg: Sie zeigt, welches Kapitel auf welchen Artikel welcher Regulierung einzahlt — von SPF/DKIM/DMARC (BSI TR-03182, DSGVO Art. 32 Abs. 1 lit. b, NIS2 Art. 21 Abs. 2 lit. j) über MTA-STS/DANE (BSI TR-03108, NIS2 Art. 21 Abs. 2 lit. h) bis zu BIMI, ARC und der Alias-Strategie als datenschutz-motivierte Maßnahme nach DSGVO Art. 32.
Die drei Compliance-Dimensionen — eine begriffliche Klärung
Compliance ≠ Implementierung ≠ Konfiguration. Die drei Begriffe werden in der Praxis häufig vermengt — eine saubere Trennung ist die Voraussetzung für ein belastbares Compliance-Programm.
| Dimension | Was sie ist | Wer trägt sie |
|---|---|---|
| Konfiguration | Der DNS-TXT-Record für SPF, der DKIM-Selector, die DMARC-Policy. Technische Artefakte. | IT-Administrator / DNS-Verwalter |
| Implementierung | Der Prozess, mit dem die Konfiguration entstand: Migration p=none → p=quarantine → p=reject, dokumentiert mit Reports. | IT-Security / CISO |
| Compliance | Die Dokumentation und der Nachweis gegenüber Aufsichtsbehörden, dass die Implementierung den Regulierungen entspricht — und seit wann. | Geschäftsführung / DSB / Compliance-Officer |
Dieses Kapitel adressiert die dritte Dimension. Die ersten beiden finden Sie in den Vorgängerkapiteln (technisch) und in der Wolf-Agents-Scanner-Historie (prozessual). Die Synthese in Sektion 10 zeigt das vollständige Bild.
Regulatorische Timeline 2023–2029 — die 20 Stichtage Ihrer Roadmap
Zwischen März 2026 und März 2029 kumulieren sich regulatorische Fristen wie nie zuvor. Unternehmen, die jetzt nicht handeln, riskieren parallele Compliance-Verstöße in mehreren Regelwerken gleichzeitig — NIS2-Registrierung, BAIT-Vollaufhebung, NISG-Inkrafttreten Österreich, SC-081v3 Zertifikatslaufzeiten und der NIS2-Maßnahmennachweis fallen in dasselbe Fenster. Die folgende Timeline ist die direkte Grundlage Ihrer Compliance-Roadmap.
Regulatorische Timeline 2023-2029 — 20 Stichtage Ihrer Compliance-Roadmap
Horizontale Timeline mit 20 zeichengenauen Stichtagen verteilt auf 4 Phasen: A 2023-2024 CH/EU/BSI-Vorlauf, B 2025 DORA + NIS2UmsuCG, C 2026 NIS2-Registrierung + CA/B + NISG, D 2027-2029 Maßnahmennachweis + CA/B-Final. NIS2UmsuCG 6.12.2025 + NISG 2026 1.10.2026 + CH ISG 1.1.2024 als Primär-Treiber.
20 Stichtage 2023-2029 — die Pflicht-Roadmap für DACH-Unternehmen
| Datum | Ereignis | Impact |
|---|---|---|
| 09/2023 | CH revDSG / DSG (Stand 1.9.2023) in Kraft | Datenschutz-Pflichten für CH-Unternehmen, Bußen bis CHF 250.000 auf natürliche Personen |
| 01/2024 | CH ISG (Informationssicherheitsgesetz) in Kraft | KRITIS-Pflichten in der Schweiz, BACS als Aufsichtsbehörde |
| 02/2024 | BSI TR-03182 E-Mail-Authentifizierung publiziert | SPF/DKIM/DMARC als verbindlicher BSI-Standard für sendende und nicht-sendende Domains |
| 02/2024 | Google/Yahoo Sender Authentication Enforcement | SPF + DKIM + DMARC für Bulk-Sender (über 5.000 Mails/Tag) Pflicht |
| 01/2025 | DORA EU 2022/2554 verbindlich anwendbar (17.1.2025) | 22.000 EU-Finanzunternehmen + 20 Typen + IKT-Drittdienstleister; ersetzt VAIT/ZAIT/KAIT |
| 01/2025 | BaFin hebt VAIT/ZAIT/KAIT auf (17.1.2025) | DORA übernimmt — BAIT bleibt für Nicht-DORA-Institute bis 31.12.2026 gültig |
| 03/2025 | PCI DSS 4.0.1 Future-Dated Requirements aktiv (31.3.2025) | 51 zuvor "Future-Dated" Requirements verbindlich, darunter Req 5.4.1 Anti-Phishing |
| 04/2025 | CH ISG Meldepflicht aktiv (1.4.2025) | 24-Stunden-Meldung an BACS bei Cyberangriffen auf kritische Infrastrukturen |
| 05/2025 | Microsoft 365 Sender Enforcement | Permanente 550 5.7.515-Rejects bei fehlendem SPF/DKIM/DMARC für Bulk-Sender |
| 10/2025 | CH ISG Bußen aktiv (1.10.2025) | Bußen bis CHF 100.000 bei Verstoß gegen ISG-Meldepflicht |
| 10/2025 | ISO 27001:2013 Übergangsfrist endet (31.10.2025) | Migration auf ISO 27001:2022 muss abgeschlossen sein, sonst Zertifikatsverlust |
| 11/2025 | Microsoft Ireland Operations CTPP-Listung (18.11.2025) | ESAs listen Microsoft als kritischen IKT-Drittdienstleister unter DORA |
| 12/2025 | NIS2UmsuCG Deutschland in Kraft (6.12.2025) | BGBl. I 2025/301 — 29.500 Unternehmen betroffen, OHNE Übergangsfrist, §38 BSIG-neu Geschäftsführerhaftung |
| 01/2026 | BSI-Portal aktiv (portal.bsi.bund.de seit 6.1.2026) | NIS2-Registrierungsportal über Mein Unternehmenskonto (MUK) ELSTER-Zertifikate |
| 03/2026 | NIS2-Registrierungsfrist für besonders wichtige Einrichtungen (6.3.2026) | Spätester Eintrag in portal.bsi.bund.de für Essential Entities |
| 03/2026 | CA/B Forum SC-085v2 DNSSEC-Pflicht (15.3.2026) | Certificate Authorities müssen DNSSEC validieren — fehlerhafte DNSSEC verhindert TLS-Zertifikate |
| 10/2026 | NISG 2026 Österreich in Kraft (1.10.2026) | BGBl. I Nr. 94/2025 — 4.000 Organisationen + Bundesamt für Cybersicherheit + Registrierungsfrist 31.12.2026 |
| 12/2026 | BAIT-Vollaufhebung (31.12.2026) | Vollständiger Übergang von BAIT zu DORA für ALLE Institute, auch Nicht-DORA |
| 12/2027 | NIS2-Maßnahmennachweis fällig (24 Monate nach Inkrafttreten) | Nachweis aller Sicherheitsmaßnahmen gegenüber Aufsichtsbehörde BSI |
| 03/2029 | CA/B Forum SC-081v3 — 47-Tage-Zertifikate (15.3.2029) | Manuelle Zertifikatsverwaltung praktisch unmöglich, ACME-Automatisierung Pflicht |
Praxisregel: Behandeln Sie alle Stichtage von 2026 als Pflicht-Roadmap, nicht als Empfehlung. Drei der Stichtage sind PRIMÄR-RISIKO-Treiber, weil sie ohne Übergangsfrist auslösen: NIS2UmsuCG (6.12.2025), NISG 2026 (1.10.2026) und ISO 27001:2013-Ende (31.10.2025). Die CA/B Forum-Termine (SC-085v2 ab 15.3.2026, SC-081v3 mit Stufenplan 200 Tage ab 15.3.2026, 100 Tage ab 15.3.2027 und 47 Tage ab 15.3.2029, beschlossen 11. April 2025) sind SEKUNDÄR-Treiber — sie wirken sich indirekt auf die E-Mail-Sicherheit aus, weil TLS-Zertifikate für MTA-STS und DANE betroffen sind. Vergleichen Sie Ihre internen Patch-/Renewal-Zyklen gegen diese Daten.
NIS2: NIS2UmsuCG (DE) + NISG 2026 (AT) — die zentrale Cybersicherheits-Säule
Die NIS2-Richtlinie EU 2022/2555 ist die zentrale EU-Cybersicherheitsregulierung. Sie wurde in Deutschland durch das NIS2UmsuCG umgesetzt — in Kraft seit 6. Dezember 2025 (BGBl. I 2025/301) OHNE Übergangsfrist — und in Österreich durch das NISG 2026 (BGBl. I Nr. 94/2025), in Kraft ab 1. Oktober 2026. Für vertiefende Details inklusive zeichengenauer Wiedergabe aller zehn Buchstaben von Art. 21 Abs. 2, der Geschäftsführerhaftung nach §38 BSIG-neu und der BSI-Registrierung Schritt für Schritt siehe Deep-Dive 2: NIS2UmsuCG + NISG 2026 + §38 BSIG-neu.
NIS2 in DACH — kompakte Übersicht (zeichengenaue Quellen)
| Land | Gesetz | Inkrafttreten | Betroffene | Bußgelder |
|---|---|---|---|---|
| Deutschland | NIS2UmsuCG (BGBl. I 2025/301) | 6. Dezember 2025 (KEINE Übergangsfrist) | 29.500 Unternehmen | essential 10 Mio. EUR / 2 % — important 7 Mio. EUR / 1,4 % weltweiter Jahresumsatz |
| Österreich | NISG 2026 (BGBl. I Nr. 94/2025) | 1. Oktober 2026 (Registrierungsfrist bis 31.12.2026) | 4.000 Organisationen | EU-Rahmen 10 Mio. EUR / 2 % weltweiter Jahresumsatz |
| Schweiz | nicht direkt anwendbar — stattdessen ISG seit 1.1.2024 + Supply-Chain-Indirektion über NIS2 Art. 21 Abs. 2 lit. d | ISG-Meldepflicht seit 1.4.2025, Bußen seit 1.10.2025 | indirekt über EU-Kunden | CHF 100.000 bei ISG-Meldepflicht-Verstoß |
NIS2 Art. 21 Abs. 2 E-Mail-Relevanz-Mapping (vier von zehn Buchstaben sind E-Mail-relevant):
| Buchstabe | Originaltext (deutsche Sprachfassung) | E-Mail-Relevanz |
|---|---|---|
| lit. a | Risikoanalyse-Konzepte und Sicherheit von Informationssystemen | Dokumentierte E-Mail-Security-Policy, BIMI als Marken-Risikoanalyse, ARC-SEG als Bedrohungserkennung |
| lit. e | Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen | DNSSEC, Patch-Management, DKIM-Schlüsselrotation, Wartungs-Audits, externe Anbieter-Verträge (Alias-Anbieter, SEG) |
| lit. h | Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung | TLS 1.2+, MTA-STS, DANE, DKIM-Signaturen, S/MIME |
| lit. j | Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation | SPF/DKIM/DMARC als Domain-Authentifizierung, MFA auf E-Mail-Konten, S/MIME-Signaturen |
Quelle: buzer.de/21_NIS2.htm (Abruf 25. Mai 2026). Die vollständige Wiedergabe aller zehn Buchstaben (a) bis (j) mit E-Mail-Praxis-Beispielen finden Sie in Deep-Dive 2: NIS2 + NISG 2026.
DSGVO: Art. 32 + Art. 5 Abs. 2 + Art. 33 + Art. 34 — die unverzichtbare Querschnittsregulierung
Die DSGVO betrifft jedes Unternehmen, das personenbezogene Daten verarbeitet — unabhängig von Sektor und Größe. E-Mail-Kommunikation enthält fast immer personenbezogene Daten. Die Anforderungen an die E-Mail-Sicherheit ergeben sich vor allem aus Art. 32 (Sicherheit der Verarbeitung), Art. 5 Abs. 2 (Rechenschaftspflicht), Art. 33 (Meldepflicht binnen 72 Stunden) und Art. 34 (Benachrichtigung Betroffener). Für vertiefende Details inkl. zeichengenauer Wiedergabe, DSGVO-Enforcement-Cases (H&M Hamburg 35,3 Mio. EUR, BayLDA 2014-Massenprüfung, OVG Münster 2024) und der CH-Anwendung (revDSG) plus AT-Anwendung (DSG) siehe Deep-Dive 1: DSGVO + revDSG + AT-DSG.
DSGVO-Hauptartikel für E-Mail-Sicherheit (zeichengenauer Originaltext)
| Artikel | Originaltext (Auszug) | E-Mail-Praxis |
|---|---|---|
| Art. 32 Abs. 1 — Sicherheit der Verarbeitung | "...geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten...": (a) Pseudonymisierung und Verschlüsselung; (b) Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme auf Dauer sicherstellen; (c) Verfügbarkeit nach Zwischenfall rasch wiederherstellen; (d) regelmäßige Überprüfung der Wirksamkeit | SPF + DKIM + DMARC = (b); MTA-STS + DANE + TLS = (a); MX-Redundanz + Backup = (c); Quartals-Scans = (d) |
| Art. 5 Abs. 2 — Rechenschaftspflicht | "Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können" | KRITISCH: Nicht nur umsetzen, sondern nachweisen. Wolf-Agents-Scan-Historie + DNS-Record-Inventar + Wartungslog sind die Nachweise |
| Art. 33 Abs. 1 — Meldepflicht 72 Stunden | "...meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde..." an die Aufsichtsbehörde | Phishing-Welle über Ihre Domain, BEC-Vorfall mit Datenabfluss, DNS-Hijacking — 72h-Uhr läuft ab Kenntnis |
| Art. 34 — Benachrichtigung Betroffener | Bei hohem Risiko für die Rechte und Freiheiten natürlicher Personen ist auch die direkte Benachrichtigung der Betroffenen erforderlich | Reputationsschaden + Vertrauensverlust; Vorbereitung von Kommunikationsvorlagen ist Pflicht-Bestandteil des Incident-Response-Plans |
Praxisregel — Art. 5 Abs. 2 ist der schwerste: Eine korrekte SPF/DKIM/DMARC-Konfiguration nützt im Audit nichts, wenn Sie sie nicht nachweisen können. Die Aufsichtsbehörden bewerten zunehmend, ob zumutbare technische Maßnahmen umgesetzt wurden — und der BayLDA-Massenprüfung 2014 (2.236 bayerische Unternehmen automatisiert auf STARTTLS und Perfect Forward Secrecy geprüft, 772 fehlerhaft) zeigt, dass E-Mail-Sicherheit seit über einem Jahrzehnt aktiver Prüfgegenstand ist. Quelle: enforcementtracker.com für DSGVO-Bußgeldspiegel — höchste Strafe Meta Platforms Ireland 1,2 Mrd. EUR (DPC Mai 2023), kumulativ 5,88 Mrd. EUR seit 2018.
Schweiz: revDSG + ISG — die unterschätzte Doppel-Compliance für DACH-Unternehmen
Schweizer Unternehmen unterliegen einer doppelten Anforderung. Datenschutzrechtlich gilt das revidierte Datenschutzgesetz (revDSG, offiziell "DSG, Stand 1. September 2023") — Bußen bis CHF 250.000 wirken auf natürliche Personen und nicht auf Unternehmen, was das persönliche Haftungsrisiko erhöht. Cybersicherheits-rechtlich gilt das Informationssicherheitsgesetz (ISG, seit 1. Januar 2024), das eine Meldepflicht seit 1. April 2025 und Bußen bis CHF 100.000 seit 1. Oktober 2025 implementiert.
Eine Cross-Welle-Klarstellung: Die R4-Wellen dieses Ratgebers (BIMI, ARC-SEG, Alias-Strategie) verwenden konsistent "revDSG" als Bezeichnung. Die offizielle Kurzbezeichnung im Bundesblatt lautet schlicht "DSG (Stand am 1. September 2023)"; die Begriffe "revDSG" (revidiertes DSG, juristisch verbreitet) und "nDSG" (neues DSG, medial verbreitet) sind beide korrekt. Dieses Kapitel folgt der Cross-Welle-Etabliertheit und verwendet "revDSG".
CH-Compliance-Matrix — was Schweizer Unternehmen jetzt umsetzen müssen
| Regelwerk | Anwendung E-Mail-Sicherheit | Sanktion |
|---|---|---|
| revDSG Art. 7 — Privacy by Design und Default | E-Mail-Authentifizierung als Standard-Sicherheitsmaßnahme (SPF, DKIM, DMARC + TLS) | Bußen bis CHF 250.000 (auf natürliche Personen!) |
| revDSG Art. 8 — Datensicherheit | Angemessene technische Maßnahmen — TLS 1.2+, MTA-STS, DANE | Bußen bis CHF 250.000 |
| revDSG Art. 24 — Meldepflicht bei Verletzungen | Meldung an EDÖB "so rasch wie möglich" bei hohem Risiko | Bußen bis CHF 250.000 |
| ISG (Informationssicherheitsgesetz) | KRITIS-Pflichten: dokumentierte Sicherheitsmaßnahmen, Incident-Response-Pläne | CHF 100.000 bei Verstoß gegen Meldepflicht (seit 1.10.2025) |
| NIS2 Art. 21 Abs. 2 lit. d — Lieferkettensicherheit (indirekte CH-Betroffenheit) | EU-Auftraggeber müssen die Sicherheit ihrer Schweizer Lieferanten nachweisen — faktische NIS2-Anwendung | EU-Bußgeld 10 Mio. EUR / 2 % trifft den EU-Auftraggeber, der die Anforderung weitergibt |
Praxisregel für Schweizer Unternehmen mit EU-Kunden: Eine ISG-konforme E-Mail-Sicherheit reicht in der Praxis nicht aus — durch die Supply-Chain-Indirektion über NIS2 Art. 21 Abs. 2 lit. d (Lieferkettensicherheit) müssen Sie faktisch die NIS2-Standards erfüllen, weil Ihre EU-Auftraggeber das von Ihnen verlangen werden. SPF + DKIM + DMARC + TLS + MTA-STS + DANE als BSI-Stand-der-Technik bilden den gemeinsamen Nenner zwischen revDSG Art. 8, ISG und NIS2 — eine einmalige Implementierung deckt alle drei ab.
BSI: TR-03108 + TR-03182 + IT-Grundschutz APP.5.3 + C5 — die deutschen Fachstandards
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die deutschen Fachstandards für E-Mail-Sicherheit in vier komplementären Säulen organisiert. Die saubere Scope-Trennung zwischen TR-03108 (Transport) und TR-03182 (Authentifizierung) ist eine der häufigsten Fehlerquellen in Audit-Dokumentationen — beide Richtlinien sind komplementär, NICHT überlappend.
Die vier BSI-Säulen für E-Mail-Sicherheit (Scope-Klarheit Pflicht!)
| Standard | Scope | Aktuelle Anforderungen 2026 |
|---|---|---|
| BSI TR-03108 — Sicherer E-Mail-Transport | Transport-Verschlüsselung — TLS, DANE, MTA-STS, STARTTLS, TLS-RPT, Zertifikatsanforderungen | STARTTLS Minimum, TLS 1.2+ Standard, TLS 1.3 empfohlen, MTA-STS Enforce + DANE empfohlen für Stufe "Erweitert" |
| BSI TR-03182 — E-Mail-Authentifizierung (Februar 2024) | Authentifizierung — SPF, DKIM, DMARC; sendende UND nicht-sendende Domains | SPF Hard Fail (-all) MUSS, DKIM RSA 2048 MUSS, DMARC p=reject SOLL, DMARC-RUA MUSS, Quartalsweise DKIM-Rotation SOLL |
| BSI IT-Grundschutz APP.5.3 — E-Mail-Server (Baustein im IT-Grundschutz-Kompendium) | Mailserver-Härtung — sichere Konfiguration, Spam-/Schadsoftware-Prüfung, Zugriffskontrolle | Anforderungen A1-A4 (Basis-Anforderungen, Standard-Anforderungen, erhöhter Schutzbedarf) |
| BSI C5:2020 — Cloud Computing Compliance Criteria Catalogue | Cloud-E-Mail — Microsoft 365, Google Workspace, deutsche Cloud-Hoster | 17 Kontrollbereiche, davon CO Communications, IDM Identitätsmanagement, KRY Kryptografie relevant für E-Mail |
| BSI KdA — Kriterienkatalog der Angriffserkennung (135 Controls, aktualisiert 2024) | KRITIS-Angriffserkennung — auch E-Mail-Monitoring als Anomalie-Erkennung | Empfohlen für KRITIS-Betreiber; DMARC-Reporting + SMTP-Log-Analyse + Alerting bei Anomalien |
| BSI RUN-Reifegradmodell v1.0 (Januar 2025) | Selbstbewertung — Mapping auf ISO 27001:2022, NIS2 und C5:2020 | Pre-Audit-Selbstbewertung, hilft bei der NIS2-Maßnahmennachweis-Vorbereitung (12/2027) |
| BSI OH SzA — Orientierungshilfe zu Systemen zur Angriffserkennung | SIEM-/SOC-Konzepte — auch für E-Mail-Systeme | Definiert SOLL-Anforderungen an Erkennung, Alerting und Reaktion |
Scope-Klarheit TR-03108 ≠ TR-03182: SPF, DKIM und DMARC werden ausdrücklich in TR-03182 behandelt, NICHT in TR-03108. Eine Audit-Dokumentation, die "SPF nach TR-03108" oder "DMARC nach TR-03108" zitiert, ist fachlich falsch und führt zu Rückfragen des Auditors. Wer die Anforderungen beider Richtlinien auf der Stufe "Erweitert" erfüllt (SPF -all + DKIM RSA 2048 + DMARC p=reject + MTA-STS Enforce + DANE + DNSSEC), hat eine starke Argumentationsgrundlage für die NIS2-Compliance — eine Wolf-Agents-Note A oder besser signalisiert genau diese Stufe.
DORA: EU 2022/2554 — der Finanzsektor mit eigenem Regime seit 17.1.2025
Der Digital Operational Resilience Act (EU 2022/2554) ist seit dem 17. Januar 2025 verbindlich anwendbar und ersetzt für DORA-pflichtige Institute die nationalen Regelwerke VAIT, ZAIT und KAIT vollständig. BAIT bleibt nur für Nicht-DORA-Institute bis zum 31. Dezember 2026 gültig. Rund 22.000 Finanzunternehmen in der EU sind betroffen, plus deren kritische IKT-Drittdienstleister. Als EU-Verordnung gilt DORA direkt in allen Mitgliedstaaten ohne nationale Umsetzungsgesetzgebung.
DORA-Strukturartikel mit E-Mail-Relevanz
| DORA-Artikel | Anforderung | E-Mail-Praxis |
|---|---|---|
| Art. 5-15 | IKT-Risikomanagement | E-Mail-Infrastruktur als kritisches IKT-System identifizieren — Leitungsorgan trägt persönliche Verantwortung |
| Art. 9 | Verschlüsselungskonzepte für Daten in Ruhe und in Übertragung | TLS 1.2+ Pflicht, MTA-STS, DKIM-Signaturen, S/MIME für sensible Kommunikation |
| Art. 9 Abs. 4 lit. c | Multi-Faktor-Authentifizierung | MFA auf allen E-Mail-Konten, insbesondere Admin- und Führungskräfte-Konten |
| Art. 17-23 | Incident-Reporting — schwerwiegende IKT-Vorfälle | 4-Stunden-Erstmeldung bei BEC mit Datenverlust, 72h-Zwischenmeldung, 1-Monat-Abschlussbericht |
| Art. 24-27 | Resilience-Tests + TLPT (Threat-Led Penetration Testing) alle 3 Jahre | Jährliche E-Mail-Sicherheits-Tests; TLPT muss E-Mail-Vektoren mit abdecken (Phishing, BEC) |
| Art. 28-44 | Drittanbieter-Management mit Register of Information | Microsoft Ireland Operations + Google Cloud EMEA + andere E-Mail-Provider müssen im Register erfasst sein; Exit-Strategien Pflicht |
Microsoft Ireland Operations Limited als CTPP seit 18. November 2025: Die europäischen Aufsichtsbehörden (ESAs — EBA, ESMA, EIOPA) haben am 18.11.2025 die erste Liste kritischer IKT-Drittdienstleister (Critical Third-Party Providers, CTPPs) veröffentlicht. Microsoft Ireland Operations Limited ist als CTPP gelistet — für Finanzunternehmen, die Microsoft 365 / Exchange Online als E-Mail-Plattform nutzen, bedeutet das verschärfte Dokumentationspflichten, verpflichtende Exit-Strategien und ein Register of Information über den Drittanbietervertrag. Nicht-EU-IKT-Provider müssen zudem eine EU-Tochtergesellschaft gründen, um weiterhin Dienste erbringen zu dürfen. Sanktionen nach DORA: Finanzunternehmen bis 2 % weltweiter Jahresumsatz oder 1 % durchschnittlicher Tagesumsatz; kritische IKT-Drittdienstleister (CTPPs) bis 5 Mio. EUR plus tägliche Geldbußen; natürliche Personen bis 1 Mio. EUR.
International: PCI DSS 4.0.1 + ISO 27001:2022 + CA/B Forum SC-081v3/SC-085v2
Internationale Standards ergänzen die EU- und nationalen DACH-Regulierungen — PCI DSS für Zahlungskartendaten, ISO 27001:2022 als ISMS-Standard und das CA/B Forum für die Zertifikats-Infrastruktur. Drei Termine sind 2026 unmittelbar relevant: PCI DSS 4.0.1 Req 5.4.1 seit 31.3.2025 verbindlich, ISO 27001:2013-Übergang endete 31.10.2025 (nur noch :2022-Zertifizierungen gültig), CA/B Forum SC-085v2 DNSSEC-Pflicht ab 15.3.2026.
Drei internationale Standards mit E-Mail-Wirkung
| Standard | Stand | E-Mail-Anforderung |
|---|---|---|
| PCI DSS 4.0.1 (Juni 2024 Limited Revision) | Alle 51 Future-Dated Requirements verbindlich seit 31.3.2025 | Req 5.4.1 verlangt automatisierte Mechanismen gegen Phishing — DMARC, SPF, DKIM explizit genannt. Security-Awareness-Training allein reicht NICHT MEHR. p=none ist unzureichend; p=quarantine / p=reject Pflicht. Strafgebühren $5.000-$100.000/Monat. |
| ISO/IEC 27001:2022 | :2013-Übergang endete 31.10.2025 — nur :2022 noch gültig | A.5.14 Information Transfer (MTA-STS, DANE, TLS-RPT); A.8.12 DLP (E-Mail-Outbound-Filter); A.8.16 Monitoring (DMARC-Reports); A.8.20 Network Security (SMTP-Firewall); A.8.24 Cryptography (TLS, DKIM, DANE) |
| CA/B Forum SC-081v3 (Zertifikats-Lifecycle, beschlossen 11. April 2025) | 200 Tage ab 15.3.2026 — 100 Tage ab 15.3.2027 — 47 Tage ab 15.3.2029 | Manuelle Zertifikatsverwaltung wird praktisch unmöglich. ACME-Automatisierung Pflicht — wirkt direkt auf MTA-TLS-Zertifikate |
| CA/B Forum SC-085v2 (DNSSEC-Pflicht für CAs) | Ab 15.3.2026 verbindlich | Certificate Authorities müssen DNSSEC validieren. Fehlerhafte DNSSEC-Konfiguration verhindert TLS-Zertifikatsausstellung — direkter Impact auf MTA-STS, DANE und STARTTLS-Zertifikate. Siehe Kapitel 09 DNS-Sicherheit |
Regulatorische Konvergenz — der ROI-Punkt: Eine einmalige Implementierung von SPF mit -all, DKIM mit RSA 2048+, DMARC p=reject mit RUA-Reporting, TLS 1.2+ erzwungen, MTA-STS Enforce und DANE/TLSA erfüllt die technischen E-Mail-Anforderungen von NIS2, DSGVO Art. 32, PCI DSS Req 5.4.1, ISO 27001:2022 A.5.14/A.8.24 und DORA Art. 9 GLEICHZEITIG. Die Wolf-Agents-Note-A-Konfiguration ist damit nicht nur ein Sicherheits-, sondern ein Compliance-Hebel — die gleiche technische Maßnahme bewirkt fünf regulatorische Nachweise.
Branchenspezifisch: Gesundheit (KIM), Finanz (DORA), KRITIS (BSI KdA/RUN/OH SzA)
Über die sektorübergreifenden Regulierungen hinaus existieren branchenspezifische Anforderungen mit zusätzlichen Pflichten für die E-Mail-Sicherheit. Die drei wichtigsten Branchen mit eigenen Standards sind Gesundheitswesen (KIM in der Telematik-Infrastruktur, BSI APP.5.3, DSGVO Art. 9 für besondere Kategorien), Finanzsektor (DORA seit 17.1.2025) und KRITIS-Betreiber (BSI KdA mit 135 Controls plus RUN-Reifegradmodell plus OH SzA).
Branchenspezifische E-Mail-Compliance-Anforderungen
| Branche | Standard | Spezifische Anforderung |
|---|---|---|
| Gesundheitswesen | KIM (Kommunikation im Medizinwesen) — Telematik-Infrastruktur der gematik | Mandatiertes sicheres E-Mail-System für Ärzte, Krankenhäuser, Apotheken. S/MIME + PKI über die gematik-PKI. Verpflichtend für alle Leistungserbringer im SGB-V-Bereich. |
| Gesundheitswesen (außerhalb KIM) | BSI IT-Grundschutz APP.5.3 + DSGVO Art. 9 | Vollständiger SPF/DKIM/DMARC/TLS-Stack erforderlich. Ende-zu-Ende-Verschlüsselung für besondere Kategorien personenbezogener Daten (Art. 9 DSGVO — Gesundheitsdaten, biometrische Daten etc.). |
| Finanzsektor | DORA EU 2022/2554 seit 17.1.2025 (siehe Sektion 7) | 4h-Erstmeldung bei BEC, Register of Information über alle ICT-Drittanbieterverträge, Exit-Strategien, BAIT-Vollaufhebung 31.12.2026 |
| KRITIS — Energie, Verkehr, Gesundheit, Wasser, Digital | BSI-KritisV + NIS2UmsuCG + BSI KdA + BSI RUN + BSI OH SzA | 135 Controls aus KdA für Angriffserkennung — E-Mail-Anomalie-Erkennung explizit. RUN-Reifegradmodell als Vorbereitungs-Tool für BSI-Audits. |
| Bildung, Forschung, Hochschulen | NIS2UmsuCG ("Forschungseinrichtungen" als wichtige Einrichtungen) + DSGVO | SPF/DKIM/DMARC nach BSI TR-03182 + dokumentierte Incident-Response-Pläne |
| Öffentliche Verwaltung | NIS2UmsuCG + Onlinezugangsgesetz (OZG) + BSI IT-Grundschutz | portal.bsi.bund.de Pflicht-Registrierung; Mein Unternehmenskonto (MUK) ELSTER-Zertifikat als Voraussetzung |
Praxisregel — die Doppel- und Dreifach-Regulierung im Gesundheitswesen: Krankenhäuser sind sowohl KRITIS-Betreiber (BSI-KritisV) als auch NIS2-besonders-wichtig (NIS2UmsuCG) und KIM-pflichtig (gematik). Eine konsolidierte Compliance-Roadmap, die alle drei Regelwerke gleichzeitig adressiert, ist Pflicht. Die saubere Trennung zwischen KIM-Kommunikation (Patientendaten innerhalb der TI) und Standard-E-Mail (Verwaltung, Lieferanten) muss in der Policy explizit dokumentiert sein — sonst entstehen Compliance-Lücken in der Übergangs-Zone.
Compliance-Konvergenz-Hebel — eine technische Implementierung deckt fünf Regulatorien ab
Der zentrale ROI-Hebel für CFOs und Geschäftsführungen: Die gleiche SPF/DKIM/DMARC-Implementierung erfüllt fünf Regulator-Anforderungen gleichzeitig — NIS2 + DSGVO + BSI + PCI DSS + DORA. Eine einmalige technische Maßnahme zwischen 5.000 und 15.000 EUR Jahreskosten löst fünf regulatorische Nachweis-Pflichten gleichzeitig aus. Die folgende Mapping-Tabelle macht den Konvergenz-Hebel explizit — pro Email-Security-Maßnahme zeigt sie alle gleichzeitig erfüllten Regulator-Anker.
Konvergenz-Mapping — SPF/DKIM/DMARC + TLS/MTA-STS/DANE + DNSSEC × fünf Regulatorien
| Technik-Maßnahme | NIS2 Art. 21 Abs. 2 | DSGVO Art. 32 Abs. 1 | BSI | PCI DSS 4.0.1 | DORA EU 2022/2554 |
|---|---|---|---|---|---|
SPF mit -all + DKIM RSA 2048+ + DMARC p=reject | lit. j MFA + gesicherte Kommunikation | lit. b Integrität | TR-03182 (E-Mail-Authentifizierung, Februar 2024) | Req 5.4.1 Anti-Phishing seit 31.3.2025 | Art. 9 Verschlüsselungs- und Authentifizierungskonzepte |
| TLS 1.3 + MTA-STS Enforce + DANE/TLSA | lit. h Kryptografie + Verschlüsselung | lit. a Verschlüsselung + Pseudonymisierung | TR-03108 (Sicherer E-Mail-Transport) | Req 4.2.1 starke Verschlüsselung im Transit | Art. 9 Verschlüsselung im Transit |
| DNSSEC + DKIM-Schlüssel-Rotation alle 3 Monate + Patch-Management | lit. e Erwerb + Entwicklung + Wartung + Schwachstellenmanagement | lit. d regelmäßige Überprüfung der Wirksamkeit | TR-03108 DNSSEC für Stufe Erweitert | Req 6.2 Verfahren zur Schwachstellen-Behebung | Art. 5-15 IKT-Risikomanagement |
| DMARC-Aggregate-Reports (RUA) + Wirksamkeitsprüfung quartalsweise | lit. f Bewertung der Wirksamkeit + lit. b Bewältigung von Sicherheitsvorfällen | lit. d regelmäßige Überprüfung + Art. 33 Meldepflicht 72h | TR-03182 RUA MUSS | Req 10 Logging + Monitoring | Art. 17-23 IKT-Incident-Reporting (4h-Erstmeldung) |
| BIMI v14 + VMC (visuelles Marken-Logo) | lit. a Risikoanalyse (Marken-Identitäts-Risiko + Erstvertrauen) | lit. a Pseudonymisierung (visuelle Marken-Verankerung) | nicht explizit BSI-normiert | kein direkter PCI DSS-Bezug | Art. 5-15 IKT-Reputationsrisiken |
| ARC + SEG (eingehend) für komplexe Mail-Pfade | lit. a + lit. b Bewältigung von Sicherheitsvorfällen | lit. b Integrität (ARC) + lit. a Verschlüsselung (SEG) | APP.5.3 A4 (TR-03108/TR-03182 normieren ARC NICHT) | Req 5.4.1 Anti-Phishing-Mechanismen | Art. 17-23 BEC-Schutz |
ROI-Argumentation für CFOs (Geschäftsführungs-Pitch): Die direkten Implementierungskosten einer kompletten SPF/DKIM/DMARC/MTA-STS/DANE/DNSSEC/BIMI-Konfiguration liegen für KMU realistisch zwischen 5.000 und 15.000 EUR im ersten Jahr (DNS-Konfiguration + DKIM-Key-Rotation + MTA-STS-Hosting + BIMI-VMC durch Sectigo/DigiCert/GlobalSign + initiales Audit + Schulungen). Ab dem zweiten Jahr fallen nur Wartungskosten (~2.000-5.000 EUR/Jahr) an. Demgegenüber stehen Bußgeldrisiken von 10 Mio. EUR oder 2 % Welt-Umsatz pro Regulatorie — bei DSGVO sogar bis 20 Mio. EUR oder 4 % bei besonders schweren Verstößen. Das Vodafone-Bußgeld von 45 Mio. EUR im Jahr 2025 (größte deutsche DSGVO-Strafe 2025) zeigt: ein einziger Vorfall übersteigt die Implementierungs-Kosten um den Faktor 3.000:1. Quellen: dsgvo-portal.de + enforcementtracker.com.
Indirekter Konvergenz-Hebel für DACH-Konzerne: Die gleichen technischen Maßnahmen erfüllen zusätzlich revDSG Art. 8 (Schweiz), AT-DSG §7 (Österreich) und ISO/IEC 27001:2022 A.5.14/A.8.12/A.8.16/A.8.20/A.8.24 — eine zentrale Implementierung deckt die Compliance für drei Rechtsräume und einen internationalen Standard zusätzlich ab. Empirik-69-Hinweis: Die Lieferketten-Sicherheit nach NIS2 Art. 21 Abs. 2 lit. d (NICHT lit. e!) ist der separate Mehrhebel — Audit-Vorbereitung für Lieferanten muss explizit als eigenes Maßnahmen-Cluster dokumentiert sein. Die Cross-Welle-Synthese-Tabelle in Sektion 10 zeigt die vollständige Kapitel-Zuordnung.
Konvergenz-Hebel — eine SPF/DKIM/DMARC-Implementierung erfüllt 5 Regulatorien
Venn-Diagramm mit 5 Regulator-Kreisen: NIS2 Art. 21 Abs. 2 lit. j + DSGVO Art. 32(1)(b) + BSI TR-03182 + PCI DSS Req 5.4.1 + DORA Art. 9. Im Schnittpunkt liegen die drei zentralen technischen Maßnahmen SPF, DKIM und DMARC mit Enforcement. ROI-Faktor 3.000:1 (45 Mio. EUR Vodafone-Strafe vs 5-15k EUR/Jahr Implementierung).
Cross-Welle-Synthese: alle elf Vorgängerkapitel direkt auf Regulatorien gemappt
Diese Synthese ist der zentrale USP dieses Compliance-Kapitels: Sie ordnet jedes der elf Vorgängerkapitel — von der Einführung über SPF/DKIM/DMARC bis zur Alias-Strategie — direkt den geltenden Regulatorien zu. Ein Audit-Vorbereitungs-Beleg, den kein einzelnes Vorgängerkapitel allein liefern kann. Für jeden Kapitel-Anker zeigen die Spalten die zugeordneten Artikel aus NIS2 EU 2022/2555, DSGVO und die einschlägigen BSI-Richtlinien. Eine Wolf-Agents-Note A oder besser über alle Kapitel hinweg signalisiert flächendeckende Stand-der-Technik-Compliance.
Cross-Welle-Synthese-Matrix R1-R11 × NIS2 × DSGVO × BSI
Heatmap-Matrix mit 12 Kapitel-Zeilen (R0-R11) und 4 Standards-Spalten (NIS2 Art. 21 Abs. 2 lit. a-j / DSGVO Art. 32 + 5(2) / BSI TR-03108/TR-03182 / Weitere). Coverage-Color-Coding: direkt-normiert (grün) / indirekt-Bezug (gelb) / cross-reference (blau). Kritischer Audit-Vorbereitungs-Beleg für 11-Kapitel-Compliance-Mapping.
11-Kapitel-Compliance-Mapping — der zentrale Audit-Beleg
| Kapitel | NIS2 Art. 21 Abs. 2 | DSGVO Art. 32 Abs. 1 | BSI-Standard | Weitere |
|---|---|---|---|---|
| 00 Einführung — SMTP-Architektur, Bedrohungslage | lit. a Risikoanalyse + lit. f Bewertung der Wirksamkeit | kein direkter Artikel — Risiko-Grundlage | BSI Lagebericht (Hintergrund) | NIST SP 800-177 Rev. 1 — Trustworthy Email |
| 01 MX-Records & Infrastruktur | lit. c Aufrechterhaltung des Betriebs + lit. e Wartung | lit. b Verfügbarkeit + Belastbarkeit | BSI APP.5.3 — Mailserver-Härtung | RFC 5321 SMTP |
| 02 SPF | lit. j Authentifizierung | lit. b Integrität | BSI TR-03182 Pflicht -all | PCI DSS Req 5.4.1; DORA Art. 9 |
| 03 DKIM | lit. j Authentifizierung + lit. e Schlüsselrotation | lit. b Integrität | BSI TR-03182 RSA 2048 MUSS | RFC 6376; ISO 27001 A.8.24 |
| 04 DMARC | lit. j Authentifizierung | lit. b Integrität + lit. d regelmäßige Überprüfung (RUA-Reports) | BSI TR-03182 RUA MUSS + p=reject SOLL | PCI DSS Req 5.4.1 explizit; RFC 7489 |
| 05 DMARC-Enforcement | lit. j + lit. f Bewertung der Wirksamkeit (Migration p=none → reject) | lit. d regelmäßige Überprüfung | BSI TR-03182 p=reject SOLL | Google/Yahoo Sender-Anforderungen |
| 06 MTA-STS & TLS-RPT | lit. h Kryptografie | lit. a Verschlüsselung | BSI TR-03108 Enforce-Modus für Stufe Erweitert | RFC 8461; ISO 27001 A.5.14 |
| 07 SMTP-TLS & Zertifikate | lit. h Kryptografie | lit. a Verschlüsselung | BSI TR-03108 TLS 1.2+ Standard | PCI DSS Req 4.2.1; CA/B SC-081v3 ab 03/2026 (200/100/47 Tage Stufenplan) |
| 08 BIMI & VMC | lit. a Risikoanalyse (Marken-Identitäts-Risiko) | lit. a Pseudonymisierung (visuelle Marken-Verankerung) | nicht explizit BSI-normiert | BIMI v14 (1.5.2026); VMC durch Sectigo/DigiCert/GlobalSign |
| 09 DNS-Sicherheit | lit. e Wartung + Schwachstellenmanagement (DNSSEC) | lit. b Integrität (DNS als Vertrauensanker) | BSI TR-03108 DNSSEC für Stufe Erweitert | CA/B SC-085v2 DNSSEC-Pflicht ab 15.3.2026 |
| 10 ARC, SEG & Erweiterte Sicherheit | lit. a Risikoanalyse + lit. b Bewältigung von Sicherheitsvorfällen | lit. b Integrität (ARC) + lit. a Verschlüsselung (SEG) | BSI APP.5.3 A4 Spam- und Schadsoftware-Prüfung — TR-03108/TR-03182 normieren ARC NICHT | RFC 8617 (in Reklassifizierung zu Historic); DKIM2 v02 |
| 11 Alias-Strategie | lit. d nur Lieferketten-Aspekt für externe Alias-Anbieter (NICHT lit. b!) | Art. 6 + 7 + 17 + 32 (Pseudonymisierung als TOM, Recht auf Löschung) | kein direkter BSI-Standard | RFC 2142 Dave Crocker IMC Mai 1997 |
| Bedrohungs-Cluster (11 Deep-Dives) | lit. a Risikoanalyse + lit. g Cyber-Hygiene + Schulungen | lit. d regelmäßige Überprüfung der Wirksamkeit | BSI Lagebericht + KdA Anomalie-Erkennung | MITRE ATT&CK; FBI IC3 |
Lese-Anleitung der Tabelle: Eine Zeile entspricht einem Kapitel des Email-Security-Ratgebers. Die Spalten zeigen die zugeordneten Artikel, Buchstaben und Standards. Ein Audit-Auditor benötigt für jede Zeile einen Nachweis aus Ihrer Wolf-Agents-Scan-Historie plus den dokumentierten Konfigurations-Stand. Das DNS-Record-Inventar (siehe Wartungsplan unten) ist das zentrale Konsolidierungs-Artefakt. Die Alias-Strategie ist KEINE NIS2-Pflichtmaßnahme im engeren Sinn — der Bezug ist primär DSGVO-getrieben (Pseudonymisierung als TOM nach Art. 32) mit nur indirektem NIS2-Anker über lit. d Lieferkettensicherheit bei externen Alias-Anbietern. Diese Trennung sollten Sie in Ihrer TOM-Dokumentation explizit kommunizieren.
§38 BSIG-neu — Geschäftsführerhaftung PERSÖNLICH, nicht delegierbar
Mit dem NIS2UmsuCG vom 6. Dezember 2025 ist §38 BSIG-neu in Kraft. Geschäftsführer und Leitungsorgane haften persönlich mit ihrem Privatvermögen für die Umsetzung und Überwachung der Cybersicherheits-Risikomanagement-Maßnahmen — nicht delegierbar, ein Verzicht ist nichtig, ein vertraglicher Haftungsausschluss explizit verboten. Pflicht zur persönlichen Schulung in Cybersicherheit mindestens alle drei Jahre. Diese Norm verändert die Haftungsrealität fundamental — Cybersicherheit ist seit dem 6.12.2025 keine IT-Funktion mehr, sondern eine Geschäftsleitungs-Pflicht im engsten Wortsinn.
§38 BSIG-neu — was sich für die Geschäftsleitung konkret ändert
| Aspekt | Regelung nach §38 BSIG-neu | Praxis-Konsequenz für GF |
|---|---|---|
| Haftungsumfang | Persönlich mit Privatvermögen — Umsetzung UND Überwachung | Direkter Zugriff auf das Privatvermögen bei Verstoß; D&O-Versicherung muss um NIS2-Deckungsbaustein erweitert werden |
| Delegationsmöglichkeit | Nicht delegierbar — die Pflicht bleibt beim Leitungsorgan | Eine Delegation an CISO/IT-Leitung entlastet NICHT — die GF bleibt verantwortlich für die Überwachung |
| Verzicht / Haftungsausschluss | Verzicht ist nichtig — vertraglicher Haftungsausschluss explizit verboten | Klauseln im Geschäftsführervertrag, die die NIS2-Haftung ausschließen, sind unwirksam |
| Schulungspflicht | Persönliche Schulung in Cybersicherheit mindestens alle drei Jahre | Schulungsbestätigungen dokumentieren (Datum, Schulungs-Inhalte, Schulungsanbieter); Refresh-Termine im Kalender setzen |
| Sanktionen | Sanktionen sowohl gegen das Unternehmen (bis 10 Mio. EUR / 2 %) als auch gegen die Person | Persönliche Bußgelder und Strafzahlungen sind möglich; die Unternehmens-Sanktion entlastet die GF nicht |
Konkretes Beispiel mit E-Mail-Bezug: Eine Domain ohne DMARC-Enforcement (p=none oder fehlend) wird von Angreifern für eine Phishing-Welle gegen Ihre Kunden missbraucht. Ein Kunde überweist 250.000 EUR auf ein Betrüger-Konto, klagt Sie wegen mangelnder Sorgfalt und meldet den Vorfall an die Aufsichtsbehörde. Die Aufsichtsbehörde stellt fest: Die Schutzmaßnahme DMARC p=reject ist seit Jahren bekannt, kostenlos (DNS-Record) und in BSI TR-03182 als Pflicht-Empfehlung dokumentiert. Das BSIG-neu §38 greift — die Geschäftsführung haftet persönlich für die Nicht-Umsetzung einer dokumentierten Stand-der-Technik-Maßnahme. Eine D&O-Versicherung deckt diesen Fall nur, wenn der NIS2-Deckungsbaustein vereinbart ist; ohne erstreckt sich die Haftung auf das Privatvermögen. Für die vollständige Behandlung der Geschäftsführerhaftung inkl. BSI-Registrierung Schritt für Schritt siehe Deep-Dive 2: NIS2 + §38 BSIG-neu.
6-Monats-Compliance-Roadmap für KMU — realistisch mit ein bis zwei IT-Personen umsetzbar
Die meisten KMU-Geschäftsführungen scheitern nicht am Wollen, sondern an der Frage „Womit fange ich an?“. Diese Roadmap übersetzt die regulatorische Pflicht-Cascade aus Sektion 2 in eine sechsmonatige, sequenzielle Umsetzungs-Strategie — pro Monat ein dominantes Thema mit klaren Lieferobjekten. Die Roadmap ist realistisch für Unternehmen mit ein bis zwei IT-Personen plus regelmäßiger Geschäftsführungs-Beteiligung (Aufwand ca. 8-16 IT-Stunden plus 2-4 Geschäftsführungs-Stunden pro Monat). Sie endet im Monat 6 mit der Audit-Vorbereitungs-Reife für DSGVO Art. 5(2)-Rechenschaftspflicht und NIS2-Registrierung.
6-Monats-Compliance-Roadmap für KMU (Gantt-Style, 1-2 IT-Personen)
Swim-Lane-Diagramm mit 6 Monaten × 4 Pflicht-Lanes (Scan/Doku, DNS-Records, DSGVO, NIS2). Realistisch für KMU mit 1-2 IT-Personen + 2-4h Geschäftsleitungs-Zeit pro Monat. Von IST-Scan in Monat 1 über DMARC-Enforcement in Monat 4-5 bis zur NIS2-Registrierung in Monat 6.
Hardening-Pfad — 4 Phasen vom Fundament zur Compliance-Strategie
Horizontale 4-Phasen-Roadmap für Email-Security-Hardening: Phase 1 Fundament (SPF + DKIM) → Phase 2 Enforcement (DMARC + MTA-STS) → Phase 3 Erweitert (DANE + DNSSEC + BIMI) → Phase 4 Strategie (Audit + NIS2-Registrierung + DSGVO-Nachweis).
6-Monats-Roadmap — sequenzielle Implementierungs-Lieferobjekte
| Monat | Dominantes Thema | Lieferobjekte | Compliance-Anker |
|---|---|---|---|
| Monat 1 | IST-Stand + Verzeichnis | Wolf-Agents-Scan der Produktiv-Domain + Notenvergabe als Baseline; Verzeichnis von Verarbeitungstätigkeiten (VVT, DSGVO Art. 30) für alle Mail-bezogenen Verarbeitungs-Kategorien; Risikoanalyse der Mail-Infrastruktur als Vorstands-Vorlage | NIS2 lit. a (Risikoanalyse) + DSGVO Art. 30 (VVT) + DSGVO Art. 5(2) (Baseline-Dokumentation) |
| Monat 2 | DMARC-Monitoring + SPF-Hygiene | DMARC p=none mit RUA-Aggregate-Reports an dediziertes Postfach (dmarc-reports@firma.de); SPF-Cleanup (10-Lookup-Limit prüfen, IPs verifizieren, Legacy-Includes entfernen); MX-Inventar dokumentieren | NIS2 lit. j (Authentifizierung) + DSGVO Art. 32 lit. b (Integrität) + BSI TR-03182 RUA MUSS |
| Monat 3 | DKIM-Rotation + Patch-Management-Plan | DKIM-Key auf RSA 2048 Bit Minimum (BSI TR-03182), Rotations-Plan alle drei Monate dokumentiert; Patch-Management-Plan für MTA + Mail-Server + Anti-Spam-Komponenten (NIS2 lit. e Wartung); Wolf-Agents-Scan-Wiederholung als Wirksamkeits-Nachweis | NIS2 lit. e (Wartung + Schwachstellen) + DSGVO Art. 32 lit. b + BSI TR-03182 RSA 2048 MUSS + ISO 27001 A.8.24 |
| Monat 4 | DMARC-Migration + MTA-STS | DMARC p=quarantine mit pct-Stufen-Hochzählung (10 → 25 → 50 → 100); MTA-STS-Policy mode=testing → mode=enforce nach 30 Tagen Beobachtung; TLS-Zertifikate-Renewal-Plan dokumentieren | NIS2 lit. h (Kryptografie) + BSI TR-03108 Enforce-Modus + DSGVO Art. 32 lit. a + DORA Art. 9 |
| Monat 5 | DMARC-Enforcement + DNSSEC | DMARC p=reject als final-Enforcement; DNSSEC für SOA-Zone aktivieren (Provider-Konfiguration); DANE-TLSA-Records publizieren für MTA-Domains; CA/B SC-085v2-Vorbereitung (DNSSEC-Pflicht für CAs ab 15.3.2026) | NIS2 lit. e (DNSSEC) + lit. h (Kryptografie) + BSI TR-03108 DNSSEC + CA/B SC-085v2 |
| Monat 6 | NIS2-Registrierung + Audit-Vorbereitung | NIS2-Registrierung über portal.bsi.bund.de (Essential-Frist war 6. März 2026 — Important nach individuellem Stichtag; AT-Frist 31. Dezember 2026); Wolf-Agents-Scan-Historie konsolidieren als DSGVO Art. 5(2)-Nachweis; Audit-Belegmappe-Vorlage befüllen (siehe Sektion 12b); Geschäftsführungs-Schulung nach §38 BSIG-neu Pflicht alle drei Jahre einplanen | NIS2UmsuCG (DE) + NISG 2026 (AT) + §38 BSIG-neu Schulungspflicht + DSGVO Art. 5(2) Rechenschaftspflicht (Audit-Reife) |
Praxis-Note für KMU mit weniger als ein bis zwei IT-Personen: Die Roadmap kann auf neun Monate gestreckt werden, ohne die regulatorische Konformität zu gefährden — Pflicht ist die Reihenfolge (Baseline vor Enforcement, DMARC-Monitoring vor Reject, DKIM-Rotation vor finaler Migration). Externe Beratung ist sinnvoll für die Monate 1 (VVT-Erstellung) und 6 (NIS2-Registrierung), kann aber für die technische Implementierung in den Monaten 2-5 durch dokumentierte Standard-Verfahren intern abgedeckt werden. Cross-Verweis: Kapitel 5 DMARC-Enforcement für die p=none → quarantine → reject-Migration, Kapitel 6 MTA-STS für die mode=testing → mode=enforce-Migration und Kapitel 9 DNS-Sicherheit für DNSSEC + DANE.
Empirik-69-Hinweis zur Roadmap-Konsistenz: Falls Sie externe Email-Dienstleister einsetzen (Hornetsecurity-Proofpoint seit 8.12.2025, Microsoft Ireland Operations CTPP seit 18.11.2025, SimpleLogin-Proton seit 8.4.2022 oder andere), müssen Sie deren Sicherheit nach NIS2 Art. 21 Abs. 2 lit. d (Lieferkette — NICHT lit. e!) als eigenes Maßnahmen-Cluster im Monat 6 dokumentieren. Die Cross-Welle-Synthese-Tabelle in Sektion 10 mappt das explizit (Alias-Strategie als lit. d-Beispiel).
Wie der Wolf-Agents Scanner die DSGVO-Rechenschaftspflicht (Art. 5 Abs. 2) operationalisiert
Der Wolf-Agents Email Security Scanner ist nicht nur ein Diagnose-, sondern ein Compliance-Nachweis-Instrument. Jedes Scan-Ergebnis dokumentiert den Zustand Ihrer E-Mail-Sicherheit zu einem konkreten Zeitpunkt — das ist die operationalisierte Form der DSGVO-Rechenschaftspflicht (Art. 5 Abs. 2). 165 Prüfpunkte über SPF, DKIM, DMARC, MTA-STS, DANE, BIMI, ARC, DNS-Sicherheit, Alias-Hygiene und mehr.
Wolf-Agents 165-Punkte-Scanner — Pipeline mit 8 Stationen
Horizontale Pipeline: Eingabe-Domain → DNS-Lookup → SPF/DKIM/DMARC-Authentifizierung → MTA-STS/TLS-Transport → DANE/BIMI-Erweitert → 165-Punkte-Score → Report. Plattform-Foundation der Wolf-Agents-USP.
Audit-Belegmappe-Pipeline — vom 165-Punkte-Scan zur 5-Beleg-PDF-Mappe
Pipeline mit Wolf-Agents-Scan → 5 Audit-Belegen → PDF-Export → Auditor-Übergabe: Scan-Historie (DSGVO Art. 5(2)) + DNS-Inventar (NIS2 lit. f) + Change-Log (DSGVO Art. 32(1)(b)) + Wartungs-Protokoll (NIS2 lit. e) + Incident-Response-Test (NIS2 lit. b).
Wolf-Agents-Scanner als Compliance-Mechanik — drei konkrete Anwendungen
| Anwendung | Compliance-Anker | Nachweis-Mechanik |
|---|---|---|
| 1. Vorher-Nachher-Vergleich | DSGVO Art. 5 Abs. 2 — Rechenschaftspflicht | Scan VOR jeder Konfigurations-Änderung speichern, Änderung implementieren, Scan NACH der Änderung — der Vorher-Nachher-Vergleich beweist Due Diligence |
| 2. Quartalsweise Wartungs-Scans | NIS2 Art. 21 Abs. 2 lit. f Bewertung der Wirksamkeit von Risikomanagementmaßnahmen | Vier Scans pro Jahr dokumentieren die Wirksamkeitsprüfung — Pflicht-Bestandteil für NIS2-Maßnahmennachweis 12/2027 |
| 3. BSI-TR-Mapping | BSI TR-03108 (Transport) + TR-03182 (Authentifizierung) | Note A+ signalisiert Stufe Erweitert für beide Richtlinien — direkte Audit-Argumentationsgrundlage für NIS2-Compliance |
| 4. Cross-Welle-Mapping | Alle elf Vorgängerkapitel + Bedrohungs-Cluster auf NIS2/DSGVO/BSI | Die Synthese-Tabelle in Sektion 10 plus die individuelle Wolf-Agents-Note pro Kategorie ergibt einen lückenlosen Audit-Beleg |
Wartungs-Roadmap pro Intervall (NIS2 Art. 21 Abs. 2 lit. f-konform): Wöchentlich DMARC-Reports auswerten. Monatlich TLS-Zertifikate prüfen und Wolf-Agents-Scan durchführen. Quartalsweise SPF-Record prüfen (DNS-Lookups, neue Services einpflegen), DKIM-Schlüssel rotieren und Review-Log führen. Jährlich vollständigen Audit durchführen, E-Mail-Security-Policy aktualisieren und Incident-Response-Plan testen. Diese Routinen sind keine Empfehlung — sie sind die operationalisierte Form der Sorgfaltspflicht nach §38 BSIG-neu und DSGVO Art. 32 Abs. 1 lit. d. Cross-Verweis: Deep-Dive 1 DSGVO + DACH mit Dokumentationsvorlagen (VVT, DSFA, TOM-Liste) und Deep-Dive 2 NIS2 + §38 BSIG-neu mit BSI-Registrierung Schritt für Schritt.
Was der Scanner konkret prüft: 165 Punkte verteilt auf SPF (22), DKIM (22), DMARC (35), MTA-STS (15), SMTP-TLS (5), MX-Infrastruktur (5), DNS-Sicherheit (20), BIMI (10), ARC (5) und SEG (5). Plus Compliance-Anker für NIS2/DSGVO/BSI in jeder Kategorie. Ehrliche Grenze: Compliance-Dokumentation, Personal-Schulungen und Incident-Response-Plan-Tests sind organisatorisch — der Scanner deckt die technische Seite ab, nicht die organisatorische. Diese Trennung ist konzeptionell wichtig: Compliance ≠ Konfiguration. Prüfen Sie Ihre Domain im kostenlosen Email Security Check und nutzen Sie die DSGVO-DACH-Vorlagen + NIS2-Registrierungs-Anleitung für die organisatorische Compliance-Dokumentation.
Audit-Vorbereitungs-Belegmappe — fünf Vorlagen für die operationalisierte Rechenschaftspflicht
Der Wolf-Agents-Scan ist der technische Stand-der-Technik-Nachweis. Die folgenden fünf Vorlagen ergänzen ihn um die operativen Dokumente, die Auditoren in der Praxis sehen wollen — alle direkt aus der DSGVO-Art-32-Pflicht-Cascade plus NIS2 Art. 21 Abs. 2 lit. b/e/f abgeleitet. Die Belegmappe ist die operationalisierte Form der Rechenschaftspflicht — eine konsolidierte Mappe (digital oder physisch), die im Audit ohne weitere Recherche übergabefähig ist.
Fünf Audit-Belege mit konkreten Vorlagen-Strukturen
| Beleg | Inhalt-Pflicht | Compliance-Anker |
|---|---|---|
| 1. Scan-Historie als Stand-der-Technik-Nachweis | Wolf-Agents-Scan-Ergebnisse aus mindestens vier Quartalen, jeweils PDF-Export mit Zeitstempel und Note; Vorher-Nachher-Vergleich bei jeder Konfigurations-Änderung; Konsolidierter Jahres-Bericht als Geschäftsführungs-Anlage zum Jahresabschluss | DSGVO Art. 5(2) (Rechenschaftspflicht) + DSGVO Art. 32 lit. d (regelmäßige Überprüfung) + NIS2 lit. f (Bewertung der Wirksamkeit) |
| 2. DNS-Record-Inventar | Tabelle mit allen produktiven DNS-Records: SPF (TXT, Wer, Stand), DKIM-Selektoren (CNAME oder TXT, Provider, Stand), DMARC (TXT, Policy, RUA-Adresse, Stand), MTA-STS (TXT + Policy-File, mode, Stand), DANE/TLSA (Stand), BIMI (TXT + VMC-URL, Stand), DNSSEC (DS-Records am Registrar, Stand) | NIS2 lit. j (Authentifizierung) + lit. h (Kryptografie) + lit. e (Wartung) + BSI TR-03108 + TR-03182 |
| 3. Change-Log-Template Konfigurationsänderungen | Pro Änderung: Datum, Uhrzeit, Wer (interner Mitarbeiter oder Dienstleister), Was (vorher/nachher), Warum (Anlass: Audit-Finding, Vorfall, Wartung, neue Anforderung), Wer hat genehmigt, Wolf-Agents-Scan-Vorher-Nachher-Vergleich (PDF-Anhang); 7 Jahre Aufbewahrungspflicht | DSGVO Art. 32 lit. b (Integrität) + NIS2 lit. b (Bewältigung von Sicherheitsvorfällen) + ISO 27001 A.5.14 |
| 4. Wartungs-Protokoll-Vorlage | Quartalsweiser DKIM-Key-Rotation-Eintrag mit Selektor-Datum-Stand; TLS-Zertifikate-Renewal-Cycle mit Ablauf-Datum-Trigger-Vorhaltefrist; Patch-Cycle-Protokoll für MTA-Software (Postfix/Exim/Mailcow); Wolf-Agents-Quartals-Scan-Nachweise; jährliche TLS-1.3-Modernisierungs-Prüfung | NIS2 lit. e (Wartung + Schwachstellenmanagement) + DSGVO Art. 32 lit. d + BSI TR-03182 Schlüsselrotation |
| 5. Incident-Response-Test-Vorlage | Mindestens einmal pro Jahr ein dokumentierter Incident-Response-Tabletop (z. B. simulierter Phishing-Vorfall an Geschäftsführer-Adresse mit BEC-Versuch); DMARC-Aggregate-Report-Auswertung als wöchentliche Routine mit Auffälligkeits-Eskalation; konkrete Eskalations-Matrix (IT → CISO → Geschäftsführung → externe Forensik) mit 24h/72h/1-Monat-Meldekette | NIS2 lit. b (Bewältigung von Sicherheitsvorfällen) + lit. f (Wirksamkeitsprüfung) + DSGVO Art. 33 (72h-Meldepflicht) |
Konsolidierungs-Empfehlung — die Belegmappe als digitales Compliance-Dossier: Eine zentral abgelegte Belegmappe (verschlüsselt, mit Zugriffsprotokoll, mindestens 7 Jahre Aufbewahrungspflicht) ist die robusteste Form der Audit-Reife. Format-Empfehlung: ein PDF-Bundle pro Quartal mit allen fünf Belegen plus jahresübergreifende Konsolidierung. Mehrere Aufsichtsbehörden (BSI, BayLDA, EDÖB-Schweiz) akzeptieren PDF-Bundles als Erst-Vorlage im Audit; physische Übergabe kann nachgereicht werden. Die Wolf-Agents-Plattform exportiert die Scan-Historien direkt als PDF mit allen Metadaten — diese können als Anhang 1 in die Belegmappe übernommen werden.
Aufbewahrungs-Pflicht: Mindestens 7 Jahre für DSGVO-Verfahrensdokumentation (analog steuerrechtlicher Aufbewahrungsfristen); NIS2-Maßnahmennachweise bis mindestens 17. Oktober 2027 (erster EU-weiter Maßnahmennachweis-Stichtag) plus zwei weitere Audit-Zyklen; CH-revDSG-Nachweise nach Art. 24 mindestens fünf Jahre. Empfehlung: vereinheitlichte 10-Jahres-Aufbewahrung für alle Audit-Belegmappen-Versionen — das vermeidet rechtsraum-spezifische Sortierung.
Quellen — 33 verifizierte Regulator-, Standard- und Forschungs-Belege (Stand 25. Mai 2026)
Alle URLs wurden am 25. Mai 2026 per WebFetch verifiziert (Abruf-Datum). Die Liste ordnet die Quellen den fünf Säulen NIS2/DSGVO/BSI/DACH/International zu. Stand-Drift-Warnung: Compliance-Quellen ändern Pfade häufig (BSI insbesondere); bei 404 die jeweilige Übersichtsseite konsultieren und nach aktueller Veröffentlichung suchen.
Häufig gestellte Fragen
Was ist das NIS2UmsuCG und wann ist es in Kraft getreten?
Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist die deutsche Umsetzung der NIS2-Richtlinie EU 2022/2555. Es ist am 6. Dezember 2025 als BGBl. I 2025/301 in Kraft getreten und gilt OHNE Übergangsfrist — alle Pflichten gelten sofort. Rund 29.500 Unternehmen in Deutschland sind betroffen (vorher etwa 4.500 unter KRITIS). Aufsichtsbehörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Registrierungsportal portal.bsi.bund.de ist seit dem 6. Januar 2026 aktiv. Besonders wichtige Einrichtungen müssen sich bis zum 6. März 2026 registrieren. Bußgelder reichen bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes — bei wichtigen Einrichtungen bis 7 Mio. EUR oder 1,4 %.
Was bedeutet §38 BSIG-neu für Geschäftsführer persönlich?
Der neue §38 BSIG schreibt die persönliche Haftung der Leitungsorgane für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen fest. Geschäftsführer haften mit ihrem Privatvermögen — diese Haftung ist nicht delegierbar, ein vertraglicher Verzicht ist nichtig und ein Haftungsausschluss explizit verboten. Zusätzlich besteht eine Pflicht zur persönlichen Schulung in Cybersicherheit mindestens alle drei Jahre. Konkretes Beispiel: Wenn eine fehlende DMARC-Konfiguration einen Phishing-Angriff auf Kunden ermöglicht, kann der Geschäftsführer persönlich in Haftung genommen werden. Eine dokumentierte E-Mail-Sicherheitsstrategie ist daher kein IT-Thema mehr, sondern eine Frage der Geschäftsleitungs-Verantwortung.
Wann gilt NISG 2026 in Österreich und wie viele Unternehmen sind betroffen?
Das österreichische NISG 2026 wurde am 12. Dezember 2025 vom Nationalrat beschlossen und am 23. Dezember 2025 als BGBl. I Nr. 94/2025 publiziert. Es tritt am 1. Oktober 2026 in Kraft. Rund 4.000 Organisationen in Österreich sind betroffen. Das neu gegründete Bundesamt für Cybersicherheit mit Sitz in Wien (dem Innenministerium nachgeordnet) übernimmt die Aufsichtsfunktion analog zum BSI in Deutschland. Die Registrierungsfrist beträgt drei Monate nach Inkrafttreten — bis zum 31. Dezember 2026. Bußgelder orientieren sich am EU-Rahmen mit bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes.
Welche DSGVO-Artikel sind für die E-Mail-Sicherheit relevant?
Art. 32 (Sicherheit der Verarbeitung) verlangt technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten — SPF, DKIM, DMARC und TLS gehören zum Mindeststandard. Art. 32 Abs. 1 lit. a-d konkretisiert: (a) Pseudonymisierung und Verschlüsselung, (b) Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit, (c) Wiederherstellbarkeit, (d) regelmäßige Überprüfung. Art. 5 Abs. 2 etabliert die Rechenschaftspflicht — Sie müssen die Einhaltung nicht nur umsetzen, sondern nachweisen können. Art. 33 verlangt die Meldung von Datenschutzverletzungen unverzüglich und möglichst binnen 72 Stunden. Art. 34 regelt die Benachrichtigung der Betroffenen bei hohem Risiko. Verstöße können mit bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes geahndet werden — bei besonders schweren Verstößen sogar 20 Mio. EUR oder 4 %.
Wie unterscheiden sich BSI TR-03108 und BSI TR-03182?
BSI TR-03108 normiert den sicheren E-Mail-Transport: TLS-Verschlüsselung, DANE, MTA-STS, STARTTLS, TLS-RPT und Zertifikatsanforderungen. BSI TR-03182 — publiziert im Februar 2024 — adressiert die E-Mail-Authentifizierung: SPF mit Hard Fail, DKIM mit RSA 2048 Bit Minimum und quartalsweiser Schlüsselrotation, DMARC mit Enforcement und Aggregate-Reporting. Die beiden Richtlinien sind komplementär, nicht überlappend. Achten Sie bei Audits auf die korrekte Zuordnung — SPF/DKIM/DMARC werden ausdrücklich in TR-03182 behandelt, nicht in TR-03108. Beide zusammen bilden die technische Grundlage für die NIS2-Compliance im Bereich E-Mail.
Was ist DORA und wer ist betroffen?
Der Digital Operational Resilience Act (EU 2022/2554) ist seit dem 17. Januar 2025 verbindlich anwendbar und regelt die IT-Sicherheit im EU-Finanzsektor. Rund 22.000 Finanzunternehmen sind betroffen, plus deren kritische IKT-Drittdienstleister. Art. 5-15 regeln das IKT-Risikomanagement, Art. 9 die Verschlüsselungskonzepte, Art. 17-23 das Incident-Reporting (4-Stunden-Erstmeldung bei schwerwiegenden Vorfällen), und Art. 28-44 das Drittanbieter-Management mit Register of Information und Exit-Strategien. Microsoft Ireland Operations Limited ist seit dem 18. November 2025 als kritischer IKT-Drittdienstleister (CTPP) gelistet. DORA hat BAIT, VAIT, ZAIT und KAIT für DORA-pflichtige Institute seit dem 17. Januar 2025 abgelöst; BAIT bleibt nur für Nicht-DORA-Institute bis zum 31. Dezember 2026 gültig.
Müssen Schweizer Unternehmen NIS2 umsetzen?
Die NIS2-Richtlinie gilt für die Schweiz nicht direkt — die Schweiz ist kein EU-Mitglied. Stattdessen gilt das schweizerische Informationssicherheitsgesetz (ISG), das seit dem 1. Januar 2024 in Kraft ist. Seit dem 1. April 2025 besteht eine 24-Stunden-Meldepflicht für Cyberangriffe an das Bundesamt für Cybersicherheit BACS; seit dem 1. Oktober 2025 drohen Bußen bis CHF 100.000 bei Verstoß gegen die Meldepflicht. Indirekt sind Schweizer Unternehmen mit EU-Kunden über die NIS2-Supply-Chain-Anforderungen (Art. 21 Abs. 2 lit. d) faktisch mitbetroffen — EU-regulierte Auftraggeber müssen die Sicherheit ihrer Lieferanten nachweisen. Datenschutzrechtlich gilt das revDSG (offiziell DSG, Stand 1. September 2023) mit Bußen bis CHF 250.000 auf natürliche Personen.
Wie hilft Wolf-Agents bei der Compliance-Dokumentation?
Der Wolf-Agents Email Security Scanner prüft Ihre Domain auf 165 Punkte und liefert ein zeitgestempeltes Scan-Ergebnis. Diese Scan-Historie ist ein konkreter Nachweis für die DSGVO-Rechenschaftspflicht (Art. 5 Abs. 2) — Sie können Auditoren nicht nur den aktuellen Zustand zeigen, sondern eine nachvollziehbare Verbesserungs-Zeitreihe. Das Scanner-Ergebnis bildet die BSI TR-03108- und TR-03182-Anforderungen direkt ab. Eine Note A oder besser signalisiert Übereinstimmung mit der Stufe "Erweitert". Für NIS2-pflichtige Unternehmen liefert der Scanner damit ein zentrales Compliance-Artefakt — Vorher-Nachher-Vergleiche bei Konfigurationsänderungen, Quartals-Scans als Wartungsplan-Nachweis und die Cross-Welle-Mapping-Tabelle dieses Kapitels für die Audit-Vorbereitung.
Wie steht Ihre Domain bei Compliance & Dokumentation?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.