Suchen Kundenbereich
Kostenloses Tool · Compliance

Welche Vorschrift gilt für mich? Finden Sie es in 2 Minuten heraus.

Ein Fragebogen mit 10 Fragen, der Branche, Größe und Tätigkeit Ihres Unternehmens mit ENS, NIS2, DORA, dem AI Act und der DSGVO abgleicht — und Ihnen bereichsweise sagt, ob es gilt, was verlangt wird und wo Sie anfangen sollten.

Kostenlos, ohne Anmeldung Sofortiges Ergebnis Ihre Antworten verlassen nie den Browser
Frage 1 1 / 10

In welcher Branche ist Ihr Unternehmen tätig?

Bestimmt, ob Sie unter die NIS2-Richtlinie fallen (Anhang I und Anhang II).

Wie viele Mitarbeiter hat Ihr Unternehmen?

Die Größe ist entscheidend dafür, wie streng NIS2 oder die DSGVO für Sie ausfallen.

Wie hoch ist der Jahresumsatz oder die Bilanzsumme Ihres Unternehmens?

Wir verwenden den ungünstigeren der beiden Werte (Mitarbeiter oder Umsatz), um Ihre Pflicht nicht zu unterschätzen.

Erbringt Ihr Unternehmen vertraglich Dienstleistungen für eine öffentliche Verwaltung?

Verträge, Ausschreibungen oder öffentliche Aufträge mit Gemeinden, Regionalregierungen, Ministerien oder öffentlichen Einrichtungen.

Ist Ihre Organisation eine Einrichtung des öffentlichen Sektors?

Gemeinde, Landkreis, autonome Einrichtung, öffentliche Universität, eine von einer Verwaltung abhängige Einrichtung…

Ist Ihr Unternehmen ein Finanzunternehmen oder erbringt es IKT-Dienstleistungen für Finanzunternehmen?

Bestimmt, ob DORA, die EU-Verordnung über digitale operationale Resilienz, für Sie gilt.

Entwickeln oder vermarkten Sie Systeme künstlicher Intelligenz?

Nach dem AI Act macht Sie das zu einem „Anbieter" von KI mit verschärften Pflichten.

Nutzen Sie in Ihrer Tätigkeit KI-Systeme Dritter in eigener Verantwortung?

Chatbots, Personalauswahl-Tools, Scoring, Content-Generierung… Das macht Sie zu einem „Betreiber" von KI.

In welchem Bereich wird dieses KI-System eingesetzt?

Einige Anwendungen sind in Anhang III des AI Act als „hochriskant" eingestuft.

Verarbeiten Sie besondere Kategorien personenbezogener Daten oder führen Sie eine systematische, umfangreiche Überwachung von Personen durch?

Gesundheit, Biometrie, Ideologie, sexuelle Orientierung… oder Geolokalisierung, Videoüberwachung, Profiling und Scoring in großem Umfang.

Vorläufiges Ergebnis

Das haben wir für Ihr Unternehmen gefunden

Rechtlicher Hinweis: Dieses Ergebnis ist unverbindlich und wird automatisch aus Ihren Antworten erstellt. Es ersetzt nicht die Beratung durch einen Rechts- oder Compliance-Experten für den konkreten Fall Ihres Unternehmens. Bei Zweifeln zu einer Pflicht mit rechtlichen oder wirtschaftlichen Auswirkungen konsultieren Sie bitte die offizielle Quelle oder vereinbaren Sie einen Termin mit uns.
So funktioniert es

Fünf Schritte, keine gesendeten Daten.

01

Beantworten Sie 10 Fragen

Zu Branche, Größe, Umsatz, Beziehung zur öffentlichen Verwaltung, Finanzsektor und Ihrer Nutzung von KI.

02

Alles läuft in Ihrem Browser

Die Logik ist lokales JavaScript: Keine Antwort wird an einen Server gesendet oder irgendwo gespeichert.

03

Wir gleichen Ihre Antworten ab

Mit den Anwendungskriterien jeder Vorschrift: Branche und Größe für NIS2, Vertragsbeziehung für ENS, finanzielle Tätigkeit für DORA, Rolle für den AI Act.

04

Sie erhalten 5 Ergebnisse

ENS, NIS2, DORA, AI Act und DSGVO: gilt für Sie, gilt nicht oder wahrscheinlich — mit den wichtigsten Pflichten für jede.

05

Bei Bedarf tiefer einsteigen

Jede Karte verlinkt auf den vollständigen Leitfaden zu dieser Vorschrift. Und wenn Sie lieber mit jemandem sprechen möchten, gibt es am Ende einen kostenlosen Termin.

Warum dieses Tool

Fünf Vorschriften, ein einziger Ausgangspunkt.

Zwischen 2022 und 2026 ist das Compliance-Umfeld für spanische und europäische Unternehmen auf einmal dicht geworden. Das spanische Nationale Sicherheitsschema (ENS) verlangt seit 2010 Sicherheitsmaßnahmen von der öffentlichen Verwaltung und ihren Technologiedienstleistern. Die NIS2-Richtlinie erweitert den Umfang der verpflichtenden Cybersicherheit auf ganze Wirtschaftssektoren, mit oder ohne öffentlichen Auftrag. Die DORA-Verordnung tut dasselbe für den Finanzsektor und seine Technologiedienstleister. Der europäische AI Act beginnt, konkrete Pflichten für alle aufzuerlegen, die KI-Systeme entwickeln oder nutzen. Und die DSGVO, die etablierteste von allen, gilt weiterhin für praktisch jedes Unternehmen, das personenbezogene Daten verarbeitet — also für alle.

Das Problem ist nicht der Mangel an Informationen: Es gibt ausführliche Leitfäden zu jeder Vorschrift einzeln. Das Problem ist, dass niemand Ihnen sagt, welche der fünf tatsächlich für Sie gelten und welche nicht — durch den Abgleich Ihrer Branche, Ihrer Größe und Ihrer konkreten Tätigkeit. Ein Fertigungs-KMU mit 80 Mitarbeitern kann unter Anhang II der NIS2 fallen, ohne es zu wissen. Eine 6-köpfige Beratung, die einen Recruiting-Chatbot verkauft, kann nach dem AI Act „Anbieter von Hochrisiko-KI" sein, ohne diesen Begriff je in Betracht gezogen zu haben. Ein Unternehmen, das nie mit einer öffentlichen Verwaltung zu tun hat, kann fälschlicherweise annehmen, dass ENS es nie betrifft — bis es sich an einer Ausschreibung beteiligt.

Was jeder Block des Tests bewertet

ENS — Geregelt durch das Königliche Dekret 311/2022, gilt es für den öffentlichen Sektor und für private Unternehmen, die im Rahmen einer Vertragsbeziehung Technologiedienstleistungen für eine öffentliche Verwaltung erbringen. Wenn Sie nicht mit Behörden zusammenarbeiten, gilt es heute nicht für Sie.

NIS2 — Die EU-Cybersicherheitsrichtlinie klassifiziert Sektoren in zwei Kritikalitätsanhänge und legt die Anwendungsschwelle auf der Ebene mittlerer Unternehmen fest (ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz/Bilanzsumme). In Spanien befindet sich das umsetzende Gesetz — das Gesetz zur Koordinierung und Governance der Cybersicherheit — noch im parlamentarischen Verfahren, aber die materiellen Pflichten werden bereits in der Praxis durchgesetzt.

DORA — Seit dem 17. Januar 2025 unmittelbar anwendbar (keine Umsetzung erforderlich), betrifft es mehr als zwanzig Arten von Finanzunternehmen sowie die IKT-Drittdienstleister, die ihnen kritische Unterstützung leisten.

AI Act — Die Verordnung (EU) 2024/1689 unterscheidet zwischen „Anbietern" (wer KI-Systeme entwickelt oder in Verkehr bringt) und „Betreibern" (wer sie in eigener Verantwortung nutzt) und stuft das Risiko nach Verwendungszweck ein: Systeme aus Anhang III (Personalwesen, Kredit, Gesundheit, Biometrie, Justiz…) gelten als hochriskant. Die allgemeine Anwendung der Verordnung beginnt am 2. August 2026; die spezifischen Pflichten für Hochrisikosysteme aus Anhang III wurden nach dem im Juni 2026 verabschiedeten Digital Omnibus auf den 2. Dezember 2027 verschoben.

DSGVO — Gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet, unabhängig von der Größe. Was variiert, ist die Intensität der Pflichten: ob ein Datenschutzbeauftragter verpflichtend ist, ob das Verzeichnis von Verarbeitungstätigkeiten eine Ausnahme kennt (Unternehmen mit weniger als 250 Mitarbeitern mit gelegentlicher Verarbeitung ohne sensible Daten) und ob vor der Verarbeitung bestimmter Daten eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist.

Wenn der Test zeigt, dass eine der fünf Vorschriften für Sie gilt und Sie nicht wissen, wo Sie anfangen sollen, finden Sie in unserem Angebot zu KI-Audit und -Governance und zur AI-Act-Compliance-Beratung Details dazu, wie jede Vorschrift in der Praxis angegangen wird, mit realen Fristen und Ergebnissen.

Häufig gestellte Fragen

Bevor Sie den Test starten.

Welche Vorschriften bewertet dieses Tool?+

Das spanische ENS (Nationales Sicherheitsschema, Königliches Dekret 311/2022), die NIS2-Richtlinie zur Cybersicherheit, die DORA-Verordnung zur digitalen operationalen Resilienz des Finanzsektors, den europäischen AI Act und die DSGVO zum Datenschutz.

Ist das Testergebnis eine Rechtsberatung?+

Nein. Es handelt sich um eine automatische Einschätzung auf Grundlage Ihrer Antworten, die zeigen soll, wo Sie ansetzen sollten. Sie ersetzt nicht die Analyse eines Rechts- oder Compliance-Beraters für Ihren konkreten Fall.

Werden meine Antworten oder Daten gespeichert?+

Nein. Der Test läuft vollständig in Ihrem Browser mit JavaScript ab: Keine Antwort wird an einen Server gesendet, und nichts wird gespeichert, es sei denn, Sie entscheiden sich am Ende, einen Termin zu buchen.

Mein Unternehmen ist klein — kann es von allem befreit sein?+

Die DSGVO gilt unabhängig von der Unternehmensgröße immer. ENS, NIS2 und DORA hängen von Ihrem Sektor und davon ab, ob Sie mit Behörden oder Finanzunternehmen zusammenarbeiten — ein Kleinstunternehmen kann von NIS2 befreit sein, selten jedoch von der DSGVO. Der AI Act hängt davon ab, ob Sie KI-Systeme entwickeln oder nutzen, nicht von der Größe.

Warum erscheint NIS2 in Spanien als „in Bearbeitung"?+

Spanien hätte die NIS2-Richtlinie bis zum 17. Oktober 2024 umsetzen müssen. Stand Juli 2026 befindet sich das Gesetz zur Koordinierung und Governance der Cybersicherheit, das die Richtlinie umsetzt, noch im parlamentarischen Verfahren, obwohl die materiellen Pflichten bereits in der Praxis von Regulierungsbehörden und europäischen Kunden eingefordert werden.

Möchten Sie das Ergebnis besprechen?

Sollen wir es gemeinsam durchgehen?

Vereinbaren Sie einen kostenlosen 30-minütigen Termin. Wir gehen Ihr Ergebnis durch, klären, welche Vorschrift in Ihrem Fall am wichtigsten ist, und welche konkreten Schritte zuerst zu tun sind.

Kostenlosen Termin vereinbaren →