Wie hilft Meridian Enterprise bei NIS-2-Compliance nach NIS2UmsuCG?

Meridian Enterprise deckt NIS-2 Art. 21 Abs. 2 lit. e (Sichere Entwicklung) vollständig ab — der härteste Maßnahmenbereich für DevSecOps-Teams. Jeder Commit durchläuft einen blockierenden 4-Gate-Prozess, jede Entscheidung wird WORM-gesichert. Der NIS-2-Compliance-Report liefert den Art.-21-Nachweis auf API-Abruf. Ergänzend: Art.23-Incident-Eskalationsflow, SBOM-Gate, ITIL-v4-Change-Management mit OPA-Policy-Engine.

Eignet sich Meridian Enterprise für Systemhäuser und MSPs im DACH-Raum?

Ja. Das Multi-Tenant-Modell ist speziell für MSPs und Systemhäuser entwickelt: jeder Mandant hat isolierte Daten, eigene Policy-Konfiguration und eigene RBAC-Rollen. NIS-2-Reports können mandantenspezifisch generiert werden.

Kann Meridian Enterprise ohne Cloud-Anbindung (Air-Gap) betrieben werden?

Ja, vollständig. LLM-Reviews laufen via lokalem Ollama-Modell ohne Cloud-Endpoint. PII-Tokenisierung via privacy-filter. Relevant für Healthcare-IT, KRITIS-Betreiber und Behörden.

Was unterscheidet Meridian von Semgrep, SonarQube oder GitHub GHAS?

Alle genannten Tools melden Probleme — sie blockieren nicht. Meridian deployt nicht weiter bis ein RFC freigegeben ist. Jeder Deploy ist rückverfolgbar auf einen genehmigten RFC mit Timestamp, Approver und Policy-Begründung im WORM-gesicherten Audit-Log.

Bereitet Meridian Enterprise auf den EU Cyber Resilience Act vor?

Ja. Der SBOM-Gate generiert nach jeder genehmigten Änderung eine CycloneDX-SBOM — die Basis für das EU-CRA-Vulnerability-Reporting-Regime (Pflicht ab September 2026).

NIS-2 · ITIL v4 · DACH · Air-gap

Das Change Gate,
das wirklich
blockiert.

Auditsicher. Weniger Ausfälle. Weniger Aufwand.

Meridian Enterprise gibt Systemhäusern und MSPs im DACH-Raum die Kontrolle zurück: jede Änderung blockierend geprüft, WORM-gesichert und NIS-2-konform dokumentiert — bevor sie Schaden anrichten kann.

Gate-Ebenen

16+

AST-Architekturregeln

100%

NIS-2 lit. e Abdeckung

meridian-gate — RFC-4A7B2F91

$ git push origin main

▶ meridian — analyzing RFC-4A7B2F91 (47 lines)

✓ Gate 1 — Pattern Scan score: 4/20

✓ Gate 2 — AST Architecture (16 rules) 0 violations

✓ Gate 3 — LLM Review (2nd pass) LOW / 0.91

▶ Gate 4 — OPA/NIS-2 (nis2_change_control)

→ CRITICAL change: dual approval required

→ approvers: [k.mueller, j.schmidt] ✓

✓ Gate 4 — AUTHORIZED

RFC-4A7B2F91 — APPROVED

worm: sha256:a4f8e2c1... · 2026-06-03T14:22:01Z

policy: nis2_change_control.four_eyes · NIS-2 Art.21 lit.e

01 / Plattform

Kein Deploy
ohne Freigabe.

Vier aufeinander aufbauende Gates. Jede Status-Änderung landet im WORM-Bucket — manipulationssicher, timestamped, direkt auditierbar. Kein Advisory-Modus. Kein „fix it later".

Gate 1
OSS

Risk Assessment

Pattern-Scan: 26 Risiko-Muster, 14 Secret-Patterns, 10 Vuln-Patterns. Score ≥ 20 → BLOCKED.

BLOCKING

Gate 2
OSS

AST Architecture Check

16 Regeln via Tree-Sitter + Semgrep. Cross-Tenant-Joins, JWT-Decode ohne Verify, Schema-Erase — Violation → BLOCKED.

BLOCKING

Gate 3
OSS

LLM Review (1st + 2nd Pass)

Lokales Modell (Ollama/Qwen) oder Cloud-Fallback. Divergenz-Check im 2nd Pass. HIGH/CRITICAL Confidence → BLOCKED.

BLOCKING

Gate 4
Enterprise

Policy Authorization (OPA/Rego)

NIS-2-Rego-Bibliothek: Change-Windows, Vier-Augen, KRITIS-Flag, Blast-Radius. Entscheidung → WORM-signiert. Change-Manager braucht kein Rego.

BLOCKING

NIS-2 Change Control — Rego

nis2_change_control.rego

# Vier-Augen-Prinzip für CRITICAL

deny[msg] {

input.severity == "CRITICAL"

count(input.approvers) < 2

msg := "NIS-2 lit.e: 2 Approver req."

}

# Change-Window-Enforcement

deny[msg] {

not input.change_window_active

not input.emergency_override_ok

msg := "Change-Window nicht aktiv"

}

WORM-Decision-Log (jede Entscheidung)

{

"rfc": "RFC-4A7B2F91",

"decision": "APPROVED",

"rule": "nis2.four_eyes",

"approvers": ["k.mueller","j.schmidt"],

"worm_hash": "sha256:a4f8..."

}

02 / Standards

Regulatorik
eingebaut.

NIS2UmsuCG, ISO 27001, ITIL v4, EU CRA, BSI IT-Grundschutz — nicht nachgerüstet. Kernbestandteil der Architektur.

Standard	Abdeckung	Was Meridian liefert
NIS-2 Enterprise Directive (EU) 2022/2555 NIS2UmsuCG seit 5.12.2025	lit. a,b,d,e,f,i,j	3-Gate-Pipeline (lit. e vollständig) · OPA-Rego NIS-2-Bibliothek · WORM-Decision-Log als Audit-Nachweis · NIS-2-Report (PDF/JSON) · Art.23-Incident-Flow (24h/72h) · SBOM-Gate (lit. d) · OIDC/MFA-Enforcement (lit. i/j)
ISO 27001:2022 OSS Information Security Management System	A.8.25 · A.8.32	A.8.25 Secure Development Lifecycle (3-Gate-Pipeline) · A.8.32 Change Management (RFC-Lifecycle, WORM) · A.8.15 Logging · ISMS-Bootstrap mit BookStack (7 Bücher vorstrukturiert)
ITIL v4 Enterprise Change Enablement Incident / Problem	vollständig	Standard / Normal / Emergency Change-Typen · CAB-Multi-Approver-Workflow · Change-Windows + Freeze-Perioden · Rollback-Plan-Validator · PIR · Incident-Mgmt (P1–P4 SLA) · Known-Error-DB
EU CRA 2026/2027 Cyber Resilience Act Vulnerability Reporting ab Sep. 2026	vorbereitet	CycloneDX SBOM pro Release nach APPROVED (WORM-gesichert) · SBOM-Diff im RFC sichtbar · VDP-Nachweis via Override-Log · Secure-SDLC-Dokumentation für Declaration of Conformity
BSI IT-Grundschutz OSS Standard 200-2 CON.8 Software-Entwicklung	CON.8 · DER.2	CON.8.A5 Sicherer Entwicklungsprozess (3-Gate) · CON.8.A8 Audit-Trail · ORP.4 Identitäts-/Berechtigungsmanagement (OIDC) · DER.2.1 Incident Management
SOC 2 Type II unterstützt AICPA Trust Services Criteria	CC8.1 · CC7.2	CC8.1 Change Management Controls (RFC-Lifecycle, WORM) · CC7.2 Security Threat Monitoring · Forensischer Audit-Trail-Export (signiert) · SOC-2-kompatibler Report-Export

03 / NIS-2

Art. 21 Abs. 2 —
technisch vollständig.

§ 38 BSIG: Geschäftsleitung haftet persönlich. Bußgelder bis 10 Mio. EUR. Meridian Enterprise macht die technisch adressierbaren Maßnahmen nachweisbar — für Systemhäuser, KRITIS-Betreiber, MSPs.

lit. a	Risikoanalyse & Sicherheitsrichtlinien	● Enterprise
lit. b + Art. 23	Incident Handling + 24h/72h BSI-Meldepflicht	● Enterprise
lit. c	Business Continuity / Backup	— außerhalb Scope
lit. d	Supply-Chain-Sicherheit (SBOM)	● Enterprise
lit. e	Sichere Entwicklung & Schwachstellenhandling	✓ OSS-Kern
lit. f	Wirksamkeitsprüfung der Maßnahmen	● Enterprise
lit. g	Cyber Hygiene & Schulung	◐ teilweise
lit. h	Kryptographie & Verschlüsselung	◐ teilweise
lit. i	Zugangskontrolle & Asset Management	● Enterprise
lit. j	MFA & sichere Kommunikation	● Enterprise

✓ OSS-Kern

● Enterprise-Modul

◐ teilweise

— außerhalb Scope

Der Compliance-Moat

Kein Semgrep, kein SonarQube, kein GHAS liefert das: jede Policy-Entscheidung ist ein kryptographisch signiertes (input, decision)-Paar im WORM-Bucket. Manipulationssicher, timestamped, ohne manuelle Protokolle. Direkter Nachweis für Art. 21 lit. e und lit. f.

Art. 23 Incident-Eskalationsflow

CRITICAL-Violation oder Override-auf-CRITICAL
  → Incident auto-created
  → 24h-Timer  BSI-Frühwarnung
  → 72h-Timer  Detailmeldung
  → 1 Monat   Abschlussbericht
  → BSI-Template aus RFC-Daten vorausgefüllt

NIS-2-Report — Inhalt

POST /api/v1/reports/nis2

→ Gate-Statistiken (APPROVED/BLOCKED/OVERRIDDEN)
→ AST-Rule-Violations pro Kategorie
→ Override-Log mit Begründungen
→ WORM-Signatur-Verifikation
→ Policy-Change-Historie
→ SBOM-Diff-Historie
→ Art.23-Meldungsprotokoll

Export: PDF + JSON · API-Trigger + Cron

04 / Use Cases

Drei Teams.
Eine Plattform.

Typische Szenarien aus dem DACH-Markt — von 300 bis 10.000 Seats.

MSP · Systemhaus DACH

IT-Systemhaus mit 40 NIS-2-betroffenen Mandanten

~600 interne Seats · Managed Services für KMU und Behörden

Das Systemhaus verwaltet Infrastruktur für 12 NIS-2-betroffene Kunden. Jeder Kunde erwartet auditierbare Änderungsnachweise für jeden Auftrag. Bisherig: manuelle Change-Tickets, keine gemeinsame Audit-Plattform. Bei der ersten BSI-Prüfung fehlen 40 % der Nachweise.

Aktive Module

devops-gate itil-change incident-mgmt identity reporting privacy-filter

Multi-Tenant: jeder Mandant isoliert, eigene Policy, eigene RBAC-Rollen. NIS-2-Report mandantenspezifisch auf API-Abruf. Nachweis-Quote: 100 %.

Fertigungsindustrie · KRITIS

Maschinenbau-Konzern mit OT-Umgebung

~3.500 Seats · NIS-2 Wesentliche Einrichtung

Als KRITIS-Betreiber unterliegt der Konzern der BSI-Ex-ante-Aufsicht. Änderungen in der Produktions-IT müssen Vier-Augen-Prinzip und Change-Windows einhalten. Bisherig: Excel-Sheet, E-Mail-CAB, kein auditfähiger Nachweis. BSI-Prüfung in 6 Monaten.

Aktive Module

itil-change policy-engine workflow-mgmt audit-logger cmdb-sync

KRITIS_FLAG=true → Vier-Augen + Change-Window automatisch erzwungen. Blast-Radius via CMDB verhindert Change in laufender Produktion. BSI-Prüfung bestanden.

Healthcare IT · Air-Gap

Klinikverbund mit Medizinsoftware-Eigenentwicklung

~1.200 Seats IT · NIS-2 Wesentliche Einrichtung (Gesundheit)

NIS-2 und EU CRA (ab 2027) verlangen SBOM, Vulnerability-Reporting und nachweisbaren Secure SDLC. Gleichzeitig: Patientendaten dürfen nicht in Cloud-LLMs fließen. Bestehende Tools schicken Diffs an SaaS-Endpunkte.

Aktive Module

devops-gate privacy-filter llm-router reporting nis2-compliance

LLM-Review nur via lokalem Ollama — kein Cloud-Endpoint. PII-Tokenisierung vor jedem Aufruf (DSGVO Art. 25). CycloneDX-SBOM pro Release für EU-CRA. Compliant — ohne Datenschutzkompromisse.

05 / Vergleich

Advisory ist kein
Compliance-Nachweis.

Semgrep, SonarQube, GHAS — alle melden. Keiner blockiert. Keiner liefert einen manipulationssicheren Entscheidungsnachweis.

Merkmal	Meridian Enterprise	Semgrep	GitHub GHAS	SonarQube	Snyk
Hard Gate (blockiert Deploy)	✓	—	—	—	—
RFC-Audit-Trail mit Lifecycle	✓	—	—	—	—
WORM-gesicherter Audit-Log	✓	—	—	—	—
Policy-as-Code (OPA/Rego)	● Enterprise	—	—	—	—
ITIL v4 Change Management	● Enterprise	—	—	—	—
NIS-2 Art. 21 lit. e Nachweis	✓ OSS-Kern	—	—	—	—
NIS-2-Compliance-Report	● Enterprise	—	—	—	—
SBOM-Gate (EU CRA)	● Enterprise	—	teilweise	—	✓
LLM-Review (lokal, kein Cloud)	✓	—	—	—	—
PII-Tokenisierung vor LLM	● Enterprise	—	—	—	—
Air-Gap / vollständig Self-Hosted	✓	—	—	teilweise	teilweise
Multi-Tenant (MSP)	● Enterprise	—	—	begrenzt	—
Lizenz Self-Hosted	Apache-2.0 / proprietary	$23/Dev/Mo	$49/Dev/Mo	$150/Dev/Mo	$25/Dev/Mo

06 / Module

Modular.
ENV-aktiviert.

Kein Rewrite. Kein Migrations-Projekt. Module per MODULES_ENABLED= aktiviert — OSS-Kern bleibt immer unberührt.

devops-gate

3-Gate-Pipeline: Pattern-Scan → AST (16 Regeln) → LLM-Review. Pre-commit Hook + CI-Templates für Forgejo/GitHub/GitLab.

OSS

audit-logger

WORM-Sicherung aller Change-Records (SeaweedFS Object-Lock). Jede Status-Änderung kryptographisch signiert.

OSS

itil-change

ITIL v4: Standard/Normal/Emergency Change, CAB-Multi-Approver, Change-Windows, Rollback-Validator, PIR.

Enterprise

incident-mgmt

P1–P4 SLA-Tracking, Known-Error-DB, NIS-2 Art.23-Eskalationsflow (24h/72h-Timer), BSI-Meldung-Template.

NIS-2

policy-engine

OPA/Rego Gate 4. ITIL v4 + NIS-2-Rego-Bibliothek. Policy-Authoring-UX ohne Rego-Kenntnisse. Decision-Log → WORM.

NIS-2

reporting

NIS-2-, ISO-27001-, SOC-2-Report. PDF + JSON. API-Trigger + monatlicher Cron. Forensischer Audit-Trail-Export.

NIS-2

privacy-filter

PII-Tokenisierung vor LLM-Calls (Firmennamen, Personen, IPs, IBANs). DSGVO Art. 25. Token-Registry verlässt System nie.

Enterprise

identity

OIDC Pflicht (Zitadel/Keycloak/Azure AD). RBAC: viewer/submitter/reviewer/cab-member/change-manager/admin. Multi-Tenant.

Enterprise

NIS-2-Nachweis
auf Knopfdruck.

Kein manuelles Protokoll. Kein Advisory-Report, der ignoriert wird. Meridian Enterprise blockt, dokumentiert und berichtet — automatisch, manipulationssicher, auditierbar.

Open-Source-Kern (Apache-2.0) — kostenlos, self-hosted, kein Account nötig.

oss.kurvenschule.cloud ↗

Enterprise — Self-hosted

Für Systemhäuser, MSPs und Enterprise-IT-Teams (300–10.000 Seats) im DACH-Raum. Self-hosted Deployment, Support-SLA, Onboarding. Kontaktmöglichkeit folgt in Kürze.

Cloud — Waitlist

Managed Hosting, kein Infrastruktur-Aufwand, DACH-Region, DSGVO-konform. In Kürze verfügbar.

Das Change Gate, das wirklich blockiert.

Kein Deployohne Freigabe.

Regulatorikeingebaut.

Art. 21 Abs. 2 —technisch vollständig.

Drei Teams.Eine Plattform.

Advisory ist keinCompliance-Nachweis.

Modular.ENV-aktiviert.

NIS-2-Nachweisauf Knopfdruck.

Das Change Gate,
das wirklich
blockiert.

Kein Deploy
ohne Freigabe.

Regulatorik
eingebaut.

Art. 21 Abs. 2 —
technisch vollständig.

Drei Teams.
Eine Plattform.

Advisory ist kein
Compliance-Nachweis.

Modular.
ENV-aktiviert.

NIS-2-Nachweis
auf Knopfdruck.