-
Notifications
You must be signed in to change notification settings - Fork 0
Expand file tree
/
Copy pathscope.json
More file actions
161 lines (161 loc) · 19.6 KB
/
Copy pathscope.json
File metadata and controls
161 lines (161 loc) · 19.6 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
{
"$schema": "./schema/scope.schema.json",
"dataset": "nis2-de-bsig-scope",
"version": "1.0.0",
"jurisdiction": "DE",
"languagePrimary": "de",
"sourceNote": "Extracted from d0_web/src/components/AffectednessTool.astro without legal-content rewrites.",
"specialCases": [
{
"id": "kritis",
"ref": "§28 Abs. 1 BSIG",
"classification": { "type": "fixed", "entityClass": "essential" },
"name": { "de": "Betreiber einer kritischen Anlage (KRITIS)", "en": "Operator of a critical installation (KRITIS)" },
"description": { "de": "Ihre Anlage überschreitet die Schwellenwerte der BSI-KRITIS-Verordnung — z. B. Kraftwerk, Wasserwerk, großes Krankenhaus, zentrales Rechenzentrum.", "en": "Your installation exceeds the thresholds under the BSI KRITIS ordinance, such as a power plant, water utility, large hospital, or central data center." },
"reason": { "de": "Sie betreiben eine kritische Anlage (KRITIS) — §28 Abs. 1 stuft Betreiber kritischer Anlagen unabhängig von der Größe als besonders wichtige Einrichtung ein.", "en": "You operate a critical installation (KRITIS); §28(1) classifies KRITIS operators as essential entities regardless of size." }
},
{
"id": "qtsp",
"ref": "§28 Abs. 1 BSIG",
"classification": { "type": "fixed", "entityClass": "essential" },
"name": { "de": "Qualifizierter Vertrauensdiensteanbieter", "en": "Qualified trust service provider" },
"description": { "de": "Sie stellen qualifizierte elektronische Signaturen, Siegel, Zeitstempel oder Zertifikate für Dritte aus.", "en": "You issue qualified electronic signatures, seals, timestamps, or certificates for third parties." },
"reason": { "de": "Qualifizierte Vertrauensdiensteanbieter gelten unabhängig von der Größe als besonders wichtige Einrichtung (§28 Abs. 1).", "en": "Qualified trust service providers count as essential entities regardless of size (§28(1))." }
},
{
"id": "dns",
"ref": "§28 Abs. 1 BSIG",
"classification": { "type": "fixed", "entityClass": "essential" },
"name": { "de": "TLD-Namensregistrierung oder DNS-Diensteanbieter", "en": "TLD registry or DNS service provider" },
"description": { "de": "Sie betreiben eine Top-Level-Domain oder bieten öffentliche DNS-Auflösung als Dienst an. Nicht gemeint: interner Firmen-DNS.", "en": "You operate a top-level domain or provide public DNS resolution. Not meant: internal company DNS." },
"reason": { "de": "TLD-Namensregistrierungen und DNS-Diensteanbieter gelten unabhängig von der Größe als besonders wichtige Einrichtung (§28 Abs. 1).", "en": "TLD registries and DNS service providers count as essential entities regardless of size (§28(1))." }
},
{
"id": "telco",
"ref": "§28 Abs. 1 / §28 Abs. 2 BSIG",
"classification": { "type": "medium-threshold", "mediumOrAbove": "essential", "belowMedium": "important" },
"name": { "de": "Anbieter öffentlicher Telekommunikationsnetze oder -dienste", "en": "Provider of public telecom networks or services" },
"description": { "de": "Sie verkaufen Telefonie, Internet oder Mobilfunk an Kunden. Nicht gemeint: internes Firmen-WLAN.", "en": "You sell telephony, internet, or mobile connectivity to customers. Not meant: internal Wi-Fi." },
"reasonMediumOrAbove": { "de": "Öffentliche TK-Netze/-Dienste oberhalb der Mittelstandsschwelle gelten als besonders wichtige Einrichtung (§28 Abs. 1).", "en": "Public telecom providers above the medium-size threshold count as essential entities (§28(1))." },
"reasonBelowMedium": { "de": "Öffentliche TK-Netze/-Dienste unterhalb der Mittelstandsschwelle gelten als wichtige Einrichtung (§28 Abs. 2).", "en": "Public telecom providers below the medium-size threshold count as important entities (§28(2))." }
},
{
"id": "tsp",
"ref": "§28 Abs. 2 BSIG",
"classification": { "type": "fixed", "entityClass": "important" },
"name": { "de": "Vertrauensdiensteanbieter (nicht qualifiziert)", "en": "Trust service provider (non-qualified)" },
"description": { "de": "Sie bieten elektronische Signaturen, Siegel, Zeitstempel oder Website-Zertifikate als Dienstleistung für Dritte an.", "en": "You provide electronic signatures, seals, timestamps, or website certificates as a service for third parties." },
"reason": { "de": "Vertrauensdiensteanbieter gelten unabhängig von der Größe als wichtige Einrichtung (§28 Abs. 2).", "en": "Trust service providers count as important entities regardless of size (§28(2))." }
}
],
"sectors": [
{ "id": "energy", "annex": "a1", "annexName": { "de": "Anlage 1 — Sektoren mit hoher Kritikalität", "en": "Annex 1 — high-criticality sectors" }, "name": { "de": "Energie", "en": "Energy" }, "description": { "de": "Stadtwerke, Netzbetreiber, Energiehandel, Fernwärme, Wasserstoff, Ladeinfrastruktur.", "en": "Utilities, grid operators, energy trading, district heating, hydrogen, charging infrastructure." } },
{ "id": "transport", "annex": "a1", "annexName": { "de": "Anlage 1 — Sektoren mit hoher Kritikalität", "en": "Annex 1 — high-criticality sectors" }, "name": { "de": "Transport und Verkehr", "en": "Transport" }, "description": { "de": "Flug, Bahn, Häfen, ÖPNV, Straßenverkehrsbehörden. Klassische Speditionen meist eher Lieferkette.", "en": "Air, rail, ports, public transport, traffic authorities. Classic logistics is often supply-chain rather than direct scope." } },
{ "id": "finance", "annex": "a1", "annexName": { "de": "Anlage 1 — Sektoren mit hoher Kritikalität", "en": "Annex 1 — high-criticality sectors" }, "name": { "de": "Finanz- und Versicherungswesen", "en": "Finance and insurance" }, "description": { "de": "Banken, Handelsplätze, zentrale Gegenparteien. DORA kann als Spezialregelung vorgehen.", "en": "Banks, trading venues, central counterparties. DORA may take precedence as a sector rule." } },
{ "id": "healthcare", "annex": "a1", "annexName": { "de": "Anlage 1 — Sektoren mit hoher Kritikalität", "en": "Annex 1 — high-criticality sectors" }, "name": { "de": "Gesundheitswesen", "en": "Healthcare" }, "description": { "de": "Krankenhäuser, Labore, Pharma, Hersteller kritischer Medizinprodukte. Nicht einzelne Arztpraxen.", "en": "Hospitals, labs, pharma, manufacturers of critical medical devices. Not individual practices." } },
{ "id": "water", "annex": "a1", "annexName": { "de": "Anlage 1 — Sektoren mit hoher Kritikalität", "en": "Annex 1 — high-criticality sectors" }, "name": { "de": "Trinkwasser / Abwasser", "en": "Drinking water / wastewater" }, "description": { "de": "Wasserversorger, Zweckverbände, Kläranlagen.", "en": "Water suppliers, public-purpose associations, wastewater plants." } },
{ "id": "digital-infrastructure", "annex": "a1", "annexName": { "de": "Anlage 1 — Sektoren mit hoher Kritikalität", "en": "Annex 1 — high-criticality sectors" }, "name": { "de": "Digitale Infrastruktur", "en": "Digital infrastructure" }, "description": { "de": "Cloud-Anbieter, Rechenzentren, CDNs, Internetknoten. Nicht der eigene Serverraum.", "en": "Cloud providers, data centers, CDNs, internet exchanges. Not an internal server room." } },
{ "id": "ict-service-management", "annex": "a1", "annexName": { "de": "Anlage 1 — Sektoren mit hoher Kritikalität", "en": "Annex 1 — high-criticality sectors" }, "name": { "de": "Verwaltung von IKT-Diensten (B2B)", "en": "ICT service management (B2B)" }, "description": { "de": "IT-Systemhäuser, MSPs, MSSPs und Fernadministration von Kundenumgebungen.", "en": "IT service providers, MSPs, MSSPs, and remote administration of customer environments." } },
{ "id": "space", "annex": "a1", "annexName": { "de": "Anlage 1 — Sektoren mit hoher Kritikalität", "en": "Annex 1 — high-criticality sectors" }, "name": { "de": "Weltraum", "en": "Space" }, "description": { "de": "Bodeninfrastrukturen für Weltraumdienste.", "en": "Ground infrastructure for space services." } },
{ "id": "manufacturing", "annex": "a2", "annexName": { "de": "Anlage 2 — Sonstige kritische Sektoren", "en": "Annex 2 — other critical sectors" }, "name": { "de": "Verarbeitendes Gewerbe", "en": "Manufacturing" }, "description": { "de": "Maschinenbau, Automotive-Zulieferer, Fahrzeugbau, Elektronik, elektrische Ausrüstung, Medizinprodukte.", "en": "Machinery, automotive suppliers, vehicle manufacturing, electronics, electrical equipment, medical devices." } },
{ "id": "chemicals", "annex": "a2", "annexName": { "de": "Anlage 2 — Sonstige kritische Sektoren", "en": "Annex 2 — other critical sectors" }, "name": { "de": "Chemie", "en": "Chemicals" }, "description": { "de": "Produktion, Herstellung und Handel mit chemischen Stoffen.", "en": "Production, manufacturing, and trade in chemical substances." } },
{ "id": "food", "annex": "a2", "annexName": { "de": "Anlage 2 — Sonstige kritische Sektoren", "en": "Annex 2 — other critical sectors" }, "name": { "de": "Lebensmittel", "en": "Food" }, "description": { "de": "Großhandel und industrielle Produktion/Verarbeitung. Nicht einzelne Restaurants oder Einzelhandel.", "en": "Wholesale and industrial production/processing. Not individual restaurants or retail." } },
{ "id": "postal", "annex": "a2", "annexName": { "de": "Anlage 2 — Sonstige kritische Sektoren", "en": "Annex 2 — other critical sectors" }, "name": { "de": "Post- und Kurierdienste", "en": "Postal and courier services" }, "description": { "de": "Paket-, Brief-, Kurier- und Expressdienste.", "en": "Parcel, letter, courier, and express services." } },
{ "id": "waste", "annex": "a2", "annexName": { "de": "Anlage 2 — Sonstige kritische Sektoren", "en": "Annex 2 — other critical sectors" }, "name": { "de": "Abfallbewirtschaftung", "en": "Waste management" }, "description": { "de": "Entsorgung, Recycling, Sammlung und Behandlung von Abfällen.", "en": "Disposal, recycling, collection, and treatment of waste." } },
{ "id": "digital-services", "annex": "a2", "annexName": { "de": "Anlage 2 — Sonstige kritische Sektoren", "en": "Annex 2 — other critical sectors" }, "name": { "de": "Anbieter digitaler Dienste", "en": "Digital services" }, "description": { "de": "Online-Marktplatz, Suchmaschine oder soziales Netzwerk. Nicht der eigene Webshop.", "en": "Online marketplace, search engine, or social network. Not your own webshop." } },
{ "id": "research", "annex": "a2", "annexName": { "de": "Anlage 2 — Sonstige kritische Sektoren", "en": "Annex 2 — other critical sectors" }, "name": { "de": "Forschung", "en": "Research" }, "description": { "de": "Kommerzielle Auftragsforschung und industrienahe F&E-Institute. Nicht Hochschulen.", "en": "Commercial contract research and industry-near R&D institutes. Not universities." } }
],
"sizeThresholds": {
"employees": [
{ "value": 0, "label": { "de": "unter 50", "en": "under 50" } },
{ "value": 1, "label": { "de": "50-249", "en": "50-249" } },
{ "value": 2, "label": { "de": "250 oder mehr", "en": "250 or more" } }
],
"revenue": [
{ "value": 0, "label": { "de": "bis 10 Mio. EUR", "en": "up to EUR 10m" } },
{ "value": 1, "label": { "de": "über 10-50 Mio. EUR", "en": "over EUR 10-50m" } },
{ "value": 2, "label": { "de": "über 50 Mio. EUR", "en": "over EUR 50m" } }
],
"balanceSheet": [
{ "value": 0, "label": { "de": "bis 10 Mio. EUR", "en": "up to EUR 10m" } },
{ "value": 1, "label": { "de": "über 10-43 Mio. EUR", "en": "over EUR 10-43m" } },
{ "value": 2, "label": { "de": "über 43 Mio. EUR", "en": "over EUR 43m" } }
],
"rules": {
"large": "employees == 2 OR (revenue == 2 AND balanceSheet == 2)",
"medium": "employees >= 1 OR (revenue >= 1 AND balanceSheet >= 1)"
}
},
"classification": {
"annexRules": {
"a1": { "large": "essential", "medium": "important", "below": "chain-check", "ref": "§28 Abs. 1 / §28 Abs. 2 BSIG" },
"a2": { "large": "important", "medium": "important", "below": "chain-check", "ref": "§28 Abs. 2 BSIG" }
},
"reasons": {
"annex1": { "de": "Ihr Sektor \"{sector}\" fällt unter Anlage 1 BSIG.", "en": "Your sector \"{sector}\" falls under Annex 1 BSIG." },
"annex2": { "de": "Ihr Sektor \"{sector}\" fällt unter Anlage 2 BSIG.", "en": "Your sector \"{sector}\" falls under Annex 2 BSIG." },
"annex1Large": { "de": "Ihr Unternehmen überschreitet die Großunternehmens-Schwelle (§28 Abs. 1).", "en": "Your company exceeds the large-company threshold (§28(1))." },
"annex1Medium": { "de": "Ihr Unternehmen liegt im Mittelstandsband — damit wichtige Einrichtung (§28 Abs. 2).", "en": "Your company meets the medium-size threshold, making it an important entity (§28(2))." },
"annex1Below": { "de": "Ihr Unternehmen bleibt unter den Größenschwellen — keine direkte Betroffenheit über die Größe.", "en": "Your company is below the size thresholds; there is no direct scope based on size." },
"annex2Medium": { "de": "Ihr Unternehmen erreicht die Schwelle — damit wichtige Einrichtung (§28 Abs. 2).", "en": "Your company meets the threshold, making it an important entity (§28(2))." },
"annex2Below": { "de": "Ihr Unternehmen bleibt unter den Größenschwellen — keine direkte Betroffenheit.", "en": "Your company is below the thresholds; no direct NIS2 scope." },
"noneSector": { "de": "Ihre Tätigkeit fällt unter keinen Sektor der Anlagen 1 und 2 BSIG — keine direkte NIS2-Betroffenheit.", "en": "Your activity does not fall under Annex 1 or 2 BSIG; no direct NIS2 scope." },
"chainQuestionnaire": { "de": "Sie haben bereits NIS2-Fragebögen oder Vertragsklauseln erhalten.", "en": "You have already received NIS2 questionnaires or contract clauses." },
"chainSupplier": { "de": "Sie beliefern regulierte Kunden; deren Lieferketten-Pflicht kann Sie per Fragebogen erreichen.", "en": "You supply regulated customers; their supply-chain duty can reach you through questionnaires." },
"chainNo": { "de": "Keine regulierten Kunden in der Lieferkette angegeben.", "en": "No regulated customers indicated in the supply chain." }
}
},
"resultDefinitions": {
"essential": {
"badge": "critical",
"badgeLabel": { "de": "Direkt betroffen", "en": "Directly affected" },
"title": { "de": "Besonders wichtige Einrichtung", "en": "Essential entity" },
"summary": { "de": "Ihr Unternehmen unterliegt voraussichtlich der strengsten NIS2-Kategorie — mit aktiver BSI-Aufsicht und regelmäßiger Nachweispflicht.", "en": "Your company likely falls into the strictest NIS2 category, with proactive BSI supervision and evidence duties." },
"dutyIds": ["registration", "risk-management", "incident-reporting", "management", "evidence"],
"infoIds": ["management-liability", "proactive-supervision"],
"next": { "de": "Starten Sie mit der Pflichten-Matrix und strukturieren Sie Ihre §30-Nachweise.", "en": "Start with the obligations matrix and structure your §30 evidence." },
"cta": "matrix"
},
"important": {
"badge": "warn",
"badgeLabel": { "de": "Direkt betroffen", "en": "Directly affected" },
"title": { "de": "Wichtige Einrichtung", "en": "Important entity" },
"summary": { "de": "Ihr Unternehmen fällt voraussichtlich unter NIS2. Die Kernpflichten gelten durchgehend; die BSI-Aufsicht ist anlassbezogen.", "en": "Your company likely falls under NIS2. Core duties apply continuously; BSI supervision is reactive." },
"dutyIds": ["registration", "risk-management", "incident-reporting", "management"],
"infoIds": ["management-liability", "reactive-supervision"],
"next": { "de": "Starten Sie mit der Pflichten-Matrix und priorisieren Sie offene Nachweise.", "en": "Start with the obligations matrix and prioritize missing evidence." },
"cta": "matrix"
},
"chain": {
"badge": "warn",
"badgeLabel": { "de": "Indirekt betroffen", "en": "Indirectly affected" },
"title": { "de": "Nachweispflichtig über die Lieferkette", "en": "Evidence-bound through the supply chain" },
"summary": { "de": "Sie fallen nicht direkt unter NIS2 — aber regulierte Kunden können Nachweise vertraglich von Ihnen verlangen.", "en": "You are not directly in scope, but regulated customers may require evidence by contract." },
"dutyIds": [],
"infoIds": ["contract-requirements"],
"next": { "de": "Ordnen Sie zuerst den Lieferketten-Nachweis ein und bereiten Sie ein knappes Nachweispaket vor.", "en": "Review supply-chain evidence first and prepare a concise evidence pack." },
"cta": "supply"
},
"none": {
"badge": "ok",
"badgeLabel": { "de": "Nicht betroffen", "en": "Not affected" },
"title": { "de": "Derzeit keine NIS2-Betroffenheit erkennbar", "en": "No NIS2 scope currently visible" },
"summary": { "de": "Auf Basis Ihrer Angaben fallen Sie weder direkt unter NIS2 noch sind Lieferketten-Anforderungen erkennbar.", "en": "Based on your answers, neither direct NIS2 scope nor supply-chain requirements are visible." },
"dutyIds": [],
"infoIds": [],
"next": { "de": "Dokumentieren Sie die Einschätzung und prüfen Sie sie bei Wachstum, neuen Sektoren oder regulierten Kunden erneut.", "en": "Document the assessment and revisit it when you grow, enter new sectors, or serve regulated customers." },
"cta": "checklist"
}
},
"resultRows": [
{ "id": "registration", "ref": "§33 BSIG", "title": { "de": "Registrierung beim BSI", "en": "Register with the BSI" }, "deadlineIds": ["registration"] },
{ "id": "risk-management", "ref": "§30 BSIG", "title": { "de": "Risikomanagement umsetzen", "en": "Implement risk management" }, "description": { "de": "10 Mindestmaßnahmen nachweisbar umsetzen.", "en": "Implement and evidence the 10 minimum measures." } },
{ "id": "incident-reporting", "ref": "§32 BSIG", "title": { "de": "Sicherheitsvorfälle melden", "en": "Report security incidents" }, "deadlineGroupId": "incident-reporting" },
{ "id": "management", "ref": "§38 BSIG", "title": { "de": "Geschäftsleitung einbinden", "en": "Involve management body" }, "description": { "de": "Billigung, Überwachung und Schulung der Geschäftsleitung.", "en": "Approval, oversight, and training by management." } },
{ "id": "evidence", "ref": "§39 BSIG", "title": { "de": "Umsetzung nachweisen", "en": "Evidence implementation" }, "description": { "de": "Regelmäßige Nachweise gegenüber dem BSI.", "en": "Regular evidence to the BSI." } },
{ "id": "management-liability", "ref": "§38 Abs. 2", "title": { "de": "Persönliche Haftung", "en": "Personal liability" }, "description": { "de": "Geschäftsleiter haften persönlich für Verstöße gegen Billigungs- und Überwachungspflichten.", "en": "Management can be personally liable for breaches of approval and oversight duties." } },
{ "id": "proactive-supervision", "ref": "Aufsicht", "title": { "de": "Aktive Aufsicht", "en": "Proactive supervision" }, "description": { "de": "Das BSI kann auch ohne konkreten Anlass prüfen.", "en": "The BSI may review without a specific trigger." } },
{ "id": "reactive-supervision", "ref": "Aufsicht", "title": { "de": "Anlassbezogene Aufsicht", "en": "Reactive supervision" }, "description": { "de": "Das BSI prüft bei konkretem Anlass — die Pflichten gelten trotzdem.", "en": "The BSI reviews when there is cause, but duties still apply." } },
{ "id": "contract-requirements", "ref": "Vertrag", "title": { "de": "Kundenanforderungen", "en": "Customer requirements" }, "description": { "de": "NIS2-Fragebögen und Sicherheitsklauseln sind faktisch verbindlich, wenn Kunden sie zur Lieferbedingung machen.", "en": "NIS2 questionnaires and security clauses become practically binding when customers make them a supplier condition." } }
]
}