KI-Governance · EU AI Act · NIS2AI governance · EU AI Act · NIS2

KI-Governance, die du belegen kannst.AI governance you can prove.

„Haben wir alles dokumentiert?" ist nicht die Frage, die im Ernstfall zählt. Die Frage ist: „Sind wir bereit — und können wir es belegen?" Wir machen KI- und Cyber-Risiko kontrollierbar, auditierbar und nachweisfähig — für EU AI Act und NIS2.

"Did we document everything?" is not the question that counts when it matters. The question is: "Are we ready — and can we prove it?" We make AI and cyber risk controllable, auditable and demonstrable — for the EU AI Act and NIS2.

Erstgespräch buchenBook a call → GARION ansehenSee GARION

Warum jetztWhy now

Zwei Regelwerke, eine Frage: Könnt ihr es belegen?

Two frameworks, one question: can you prove it?

NIS2 ist in Deutschland seit dem 6. Dezember 2025 in Kraft (NIS2-Umsetzungsgesetz) und betrifft rund 29.500 Unternehmen in 18 Sektoren — mit Pflichten zu Risikomanagement, Registrierung beim BSI und Meldefristen (24-Stunden-Frühwarnung, 72-Stunden-Bericht).

NIS2 has been in force in Germany since 6 December 2025 and affects around 29,500 companies across 18 sectors — with duties for risk management, BSI registration and reporting deadlines (24-hour early warning, 72-hour report).

Beim EU AI Act gelten Verbote, die KI-Kompetenzpflicht und die GPAI-Regeln bereits. Die Hochrisiko-Pflichten nach Annex III wurden per „Digital Omnibus" auf den 2. Dezember 2027 verschoben — verschoben, nicht gestrichen. NIS2 ist jetzt akut; AI Act / Annex IV ist das planbare Folgegeschäft.

For the EU AI Act, prohibitions, the AI literacy duty and GPAI rules already apply. The high-risk obligations under Annex III were postponed to 2 December 2027 via the "Digital Omnibus" — postponed, not removed. NIS2 is acute now; the AI Act / Annex IV is the plannable follow-up.

Stand: Juni 2026. Einordnung, kein Rechtsrat. Primärquellen: BSI (NIS2) und EUR-Lex (EU AI Act).As of June 2026. Guidance, not legal advice. Primary sources: BSI (NIS2) and EUR-Lex (EU AI Act).

Was wir darunter verstehenWhat we mean by it

Eine Governance-Schicht über euren Systemen.

A governance layer above your systems.

KI-Governance ist kein weiteres Tool und kein Ersatz für SIEM, SOC oder eure Anwälte. Es ist die Ebene, die die eine Frage des Vorstands beantwortet — „Können wir es heute belegen?". Konkret bauen wir:

AI governance is not another tool and no replacement for SIEM, SOC or your lawyers. It is the layer that answers the board's one question — "Can we prove it today?". Concretely we build:

Lebendiges Risikoregister

Living risk register

KI- und Cyber-Risiken mit benannten Verantwortlichen und Prüfzyklen — statt Tabellen, die niemand pflegt.

AI and cyber risks with named owners and review cycles — instead of spreadsheets nobody maintains.

Nachweistresor

Evidence vault

Nachweise mit Gültigkeits-Lebenszyklus: abgelaufen = sichtbare Lücke, nicht stilles „grün".

Evidence with a validity lifecycle: expired = visible gap, not silent "green".

Meldefristen-Uhren

Reporting clocks

NIS2-Fristen (24h / 72h), die sich selbst belegen — inklusive Eskalation und Protokoll.

NIS2 deadlines (24h / 72h) that document themselves — including escalation and log.

Human Review & Audit-Log

Human review & audit log

Rollen, Freigaben, Fallbacks und ein vollständiges, nachvollziehbares Audit-Log für jede KI-Entscheidung.

Roles, approvals, fallbacks and a complete, traceable audit log for every AI decision.

Erklärbarer Readiness-Index

Explainable readiness index

Eine Zahl, die man verteidigen kann — bis zum einzelnen Nachweis nachvollziehbar, board-tauglich als Report.

A number you can defend — traceable down to the single piece of evidence, board-ready as a report.

Annex-IV-Readiness

Annex IV readiness

Strukturierte Vorbereitung der technischen Dokumentation nach Annex IV — ein mehrmonatiges Projekt, planbar gemacht.

Structured preparation of the Annex IV technical documentation — a multi-month effort, made plannable.

Wir reden nicht nur über Governance. Wir betreiben ein eigenes System.

We don't just talk governance. We run our own system.

GARION ist unser AI-Governance- und Readiness-System: lokal, deterministisch, audit-fähig. Es macht sichtbar, welche KI im Einsatz ist, welche Nachweise fehlen und ob ihr für EU AI Act und NIS2 führungsfähig seid.

GARION is our AI governance and readiness system: local, deterministic, auditable. It shows which AI is in use, which evidence is missing, and whether you are leadership-ready for the EU AI Act and NIS2.

GARION ansehenSee GARION → Erstgespräch buchenBook a call

FAQ

Häufige Fragen zu KI-Governance, EU AI Act & NIS2

Common questions on AI governance, EU AI Act & NIS2

Was ist KI-Governance?What is AI governance?

Die steuernde Ebene über euren KI-Systemen: benannte Verantwortliche, Rollen und Freigaben, Human Review, Logging und Nachweise. Sie beantwortet, ob ihr euer KI- und Cyber-Risiko kontrolliert — und belegen könnt.The steering layer above your AI systems: named owners, roles and approvals, human review, logging and evidence. It answers whether you control your AI and cyber risk — and can prove it.

Bin ich von NIS2 betroffen?Am I affected by NIS2?

Das NIS2-Umsetzungsgesetz gilt in Deutschland seit dem 6. Dezember 2025 und betrifft rund 29.500 Unternehmen in 18 Sektoren. Ob ihr betroffen seid, hängt von Sektor und Größe ab — wir machen Betroffenheit und Nachweisbedarf sichtbar. Einordnung, kein Rechtsrat.Germany's NIS2 implementation act has applied since 6 December 2025 and affects around 29,500 companies across 18 sectors. Whether you are affected depends on sector and size — we make affectedness and evidence needs visible. Guidance, not legal advice.

Was verlangt der EU AI Act aktuell?What does the EU AI Act currently require?

Verbote, die KI-Kompetenzpflicht und die GPAI-Regeln gelten bereits. Die Hochrisiko-Pflichten nach Annex III wurden per Digital Omnibus auf den 2. Dezember 2027 verschoben — verschoben, nicht gestrichen. Stand: Juni 2026.Prohibitions, the AI literacy duty and GPAI rules already apply. High-risk obligations under Annex III were postponed to 2 December 2027 via the Digital Omnibus — postponed, not removed. As of June 2026.

Macht ihr uns „konform"?Do you make us "compliant"?

Nein. Wir ersetzen keine Anwälte oder Prüfstellen. Wir machen Reife sichtbar, bevor sie fehlt — als belastbare Grundlage für eure Konformitätsarbeit.No. We don't replace lawyers or auditors. We make readiness visible before it's missing — as a solid basis for your compliance work.

Wie hängt das mit GARION zusammen?How does this relate to GARION?

GARION ist unser eigenes AI-Governance- und Readiness-System: lokal, deterministisch, audit-fähig. Diese Seite zeigt das Vorgehen — GARION ist der Beweis, dass wir es ausliefern.GARION is our own AI governance and readiness system: local, deterministic, auditable. This page shows the approach — GARION is the proof that we ship it.