npm - @aegis-scan/skills - Versions diffs - 0.5.0 → 0.5.1 - Mend

@aegis-scan/skills 0.5.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (346) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/HGB-AO/audit-relevance.md ADDED Viewed

@@ -0,0 +1,27 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+purpose: HGB + AO Audit-Relevance — GoBD / Aufbewahrung.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+# HGB + AO — Audit-Relevance
+## Auto-Loading-Trigger
+Bei jedem geschaeftlich-betriebenen Anbieter (Steuerpflicht).
+## Pflicht-Surfaces
+| Surface | Norm |
+|---|---|
+| Geschaeftsbriefe-Aufbewahrung 6 Jahre | HGB § 257 |
+| Buchungsbelege-Aufbewahrung 10 Jahre | AO § 147 |
+| Z1/Z2/Z3-Datenzugriff Steuerpruefung | AO § 147 Abs. 6 |
+| Revisionssichere Archivierung | GoBD-BMF-Schreiben |
+## Cross-Reference
+- Strafrecht / GoBD: `strafrecht-steuer.md`
+- HGB-AO paragraphs.md: `gesetze/HGB-AO/paragraphs.md`

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/HinSchG/articles.md ADDED Viewed

@@ -0,0 +1,96 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/hinschg/
+last-checked: 2026-05-02
+purpose: HinSchG (Hinweisgeberschutzgesetz) — interne Meldekanal-Pflicht.
+verification-status: verified
+skill-output-disclaimer: "Top-Layer-verifiziert (gesetze-im-internet.de) — Sanktions-Hoehen + Schwellwerte primaer-verifiziert"
+last-verified: 2026-05-05
+---
+# HinSchG — Audit-relevante Paragraphen
+> Hinweisgeberschutzgesetz, in Kraft seit 02.07.2023.
+> Volltext: https://www.gesetze-im-internet.de/hinschg/
+## Pflicht-Schwellen
+| MA | Pflicht-Status | Stichtag |
+|---|---|---|
+| >= 250 MA | Meldekanal Pflicht | seit 02.07.2023 |
+| 50-249 MA | Meldekanal Pflicht | seit 17.12.2023 |
+| < 50 MA | Keine Pflicht (ausser regulierte Branchen) | -- |
+## §§ 12-21 — Interne Meldekanaele
+### § 12 — Pflicht-Aufbau
+- Meldekanal vertraulich + sicher
+- Erreichbar fuer:
+  - Schriftlich (Email / Form)
+  - Muendlich (Telefon / persoenlich auf Wunsch)
+- Innerhalb 7 Tagen Bestaetigung an Hinweisgeber
+- Innerhalb 3 Monaten Folge-Mitteilung
+### § 13 — Verschwiegenheits-Pflicht
+Identitaet des Hinweisgebers strikt geschuetzt — auch gegenueber dem Vorgesetzten.
+### § 14 — Meldekanal-Aufbau
+- Eigener interner Channel ODER
+- Externer Dienstleister (zertifiziert)
+### § 16 — Anonyme Meldungen
+Sollen entgegengenommen + bearbeitet werden (kein „muss" — aber Best-Practice).
+## § 36 — Schutz vor Repressalien
+Hinweisgeber duerfen nicht benachteiligt werden:
+- Kuendigung
+- Versetzung
+- Gehaltskuerzung
+- Mobbing
+Beweislastumkehr: Bei Repressalien-Vorwurf muss Arbeitgeber beweisen dass Massnahme nicht repressalien-motiviert.
+## § 40 — Bussgeld
+- Verhindern einer Meldung: bis **20.000 EUR**
+- Verstoss gegen Verschwiegenheitspflicht: bis **20.000 EUR**
+- Repressalien: bis **50.000 EUR**
+In Kraft seit 01.12.2023 (verzoegerte Sanktions-Anwendung).
+## Audit-Relevanz fuer Skill
+Wenn Site-Operator > 50 MA hat:
+```
+Pflicht-Surfaces:
+- Internal Channel: /api/hinweis oder externer Provider
+- AGB / Compliance-Doku: Hinweisgeberschutz-Paragraph
+- Mitarbeiter-Information: Pflicht zur jaehrlichen Schulung empfohlen
+- Datenschutz: AVV mit externem Hinweisgeber-Provider
+```
+## Audit-Pattern
+```
+**Finding**: 80-MA-Operator ohne dokumentierten Hinweisgeber-Meldekanal
+**Wahrsch.**: 30% (BfDI-/Bundesamt-Pruefung haeufig nur bei Anlass)
+**§**: § 12 + § 40 HinSchG
+**€-Range**: bis 20.000 EUR + Repressalien-Risiko 50.000 EUR
+**Fix**:
+- Meldekanal aufbauen (intern oder extern)
+- Mitarbeiter-Info-Mail mit Kanal-Beschreibung
+- AGB / Compliance-Handbuch ergaenzen
+- AVV mit Provider falls extern
+```
+## Source
+- [gesetze-im-internet.de — HinSchG](https://www.gesetze-im-internet.de/hinschg/)
+- [IHK Stuttgart — HinSchG-FAQ](https://www.ihk.de/stuttgart/fuer-unternehmen/recht-und-steuern/arbeitsrecht/whistleblowing-5169770)
+- [BMJ HinSchG-Page](https://www.bmj.de/DE/themen/strafrecht/whistleblowing/whistleblowing_node.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/JuSchG-JMStV/articles.md ADDED Viewed

@@ -0,0 +1,86 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/juschg/
+last-checked: 2026-05-02
+purpose: JuSchG + JMStV — Kinder-/Jugendschutz Online.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+# JuSchG + JMStV — Audit-relevante Paragraphen
+> JuSchG (Jugendschutzgesetz): https://www.gesetze-im-internet.de/juschg/
+> JMStV (Jugendmedienschutz-Staatsvertrag): https://medienanstalt-nrw.de/themen/jugendschutz/jugendmedienschutz-staatsvertrag-jmstv.html
+## Anwendungsbereich
+JMStV gilt fuer:
+- Online-Inhalte mit Verbreitung in DE
+- Plattformen die User-Content veroeffentlichen
+- Online-Spiele
+- Streaming-Dienste
+## Pflichten
+### Alters-Kennzeichnung (§§ 5-12 JMStV)
+Inhalte muessen entsprechend Alters-Stufe gekennzeichnet:
+- Alle (ab 0)
+- Ab 6, 12, 16, 18
+### Schutz Minderjaehriger (§§ 4-5 JMStV)
+- Verbot entwicklungsbeeintraechtigender Inhalte
+- Pflicht zur technischen Zugangsbarriere (z.B. AGE-Gate, AVS)
+### Werbung-Beschraenkung (§ 6 JMStV)
+- Verbot Werbung an Kinder die zur Bestellung verleiten
+- Trennungsgrundsatz (klare Werbe-Kennzeichnung)
+### Anbieter-Pflichten (§ 7 JMStV)
+- Beauftragter fuer Jugendmedienschutz (ab bestimmter Anbieter-Groesse)
+- Doku-Pflicht
+- Zusammenarbeit mit Aufsicht (KJM, BzKJ)
+## Kinder-Cookies + DSA Art. 28
+Cross-Layer:
+- DSGVO Art. 8 — Einwilligung Kinder unter 16 Jahre nur durch Eltern
+- DSA Art. 28 — Verbot personalisierter Werbung an Minderjaehrige basierend auf Profiling
+- JMStV — entwicklungsbeeintraechtigende Inhalte mit Zugangsbarriere
+## Audit-Trigger
+Wenn Site Minderjaehrige adressiert:
+- AGE-Gate vorhanden?
+- DSGVO-Einwilligung Eltern bei < 16 Jahre?
+- Trennungsgrundsatz Werbung/Content?
+- DSA Art. 28-Konformitaet (kein Targeting basierend auf Profiling)?
+## Sanktionen (§ 24 JMStV)
+- bis 500.000 EUR pro Verstoss
+- KJM kann Verbreitungs-Verbot
+## Audit-Pattern
+```
+**Finding**: Plattform mit jugendlichem Zielpublikum + Profiling-Werbung
+**Wahrsch.**: 50% (KJM/BzKJ-Pruefungen + DSA-Verbund)
+**§**: DSA Art. 28 + § 6 JMStV + DSGVO Art. 8
+**€-Range**: 50.000-500.000 EUR
+**Fix**:
+- AGE-Gate bei Onboarding
+- Profiling-basierte Werbung deaktivieren fuer < 18-Jaehrige
+- Eltern-Einwilligungs-Flow bei < 16-Jaehrigen
+```
+## Source
+- [gesetze-im-internet.de — JuSchG](https://www.gesetze-im-internet.de/juschg/)
+- [JMStV (Medienanstalt NRW)](https://medienanstalt-nrw.de/themen/jugendschutz/jugendmedienschutz-staatsvertrag-jmstv.html)
+- [BzKJ Bundeszentrale fuer Kinder- und Jugendmedienschutz](https://www.bzkj.de/)
+- [KJM Kommission fuer Jugendmedienschutz](https://www.kjm-online.de/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/KritisDachG/articles.md ADDED Viewed

@@ -0,0 +1,39 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.bbk.bund.de/
+last-checked: 2026-05-02
+purpose: KRITIS-Dachgesetz — physische Sicherheit kritischer Einrichtungen.
+status: skeleton (noch nicht in Kraft)
+---
+# KritisDachG (Skeleton)
+> KRITIS-Dachgesetz. Stand 2026-05: Bundestag-Verfahren — noch nicht in Kraft.
+> Setzt CER-RL (RL 2022/2557) in DE-Recht um.
+## Status
+- CER-RL Umsetzungsfrist 17.10.2024 ueberschritten
+- KritisDachG-Entwurf in Bundestag
+- Stand 2026-05: Inkrafttreten verzoegert
+## Anwendungsbereich (geplant)
+KRITIS-Sektoren — physische Sicherheit:
+- Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, oeffentliche Verwaltung, Raumfahrt, Lebensmittel.
+## Pflichten (gemaess CER-RL)
+- Risk-Assessment (physische + Cyber)
+- Resilienz-Plan
+- Notfall-Plan + Uebung
+- Mitarbeiter-Sicherheitspruefung
+## Defer-Marker
+> **Vollstaendige Bearbeitung wenn KritisDachG in Kraft tritt**.
+## Source
+- [BBK (Bundesamt fuer Bevoelkerungsschutz und Katastrophenhilfe)](https://www.bbk.bund.de/)
+- [CER-RL](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2557)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/LkSG/articles.md ADDED Viewed

@@ -0,0 +1,90 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/lksg/
+last-checked: 2026-05-02
+purpose: LkSG (Lieferkettensorgfalt) — Sorgfaltspflicht in Lieferkette.
+verification-status: verified
+skill-output-disclaimer: "Top-Layer-verifiziert (gesetze-im-internet.de) — Sanktions-Hoehen + Schwellwerte primaer-verifiziert"
+last-verified: 2026-05-05
+---
+# LkSG — Audit-relevante Paragraphen
+> Lieferkettensorgfaltspflichtengesetz, in Kraft seit 01.01.2023.
+> Volltext: https://www.gesetze-im-internet.de/lksg/
+## Anwendungsbereich (§ 1)
+- Seit 2023: >= 3.000 MA mit DE-Sitz
+- Seit 2024: >= 1.000 MA mit DE-Sitz
+- Indirekt: kleinere Unternehmen als Lieferanten betroffen
+## Sorgfaltspflichten (§§ 3-9)
+### Risk-Analyse (§ 5)
+- Mind. jaehrlich
+- Eigenes Geschaeft + direkte Lieferanten
+- Bei Anlass: indirekte Lieferanten
+### Risiken-Felder
+Menschenrechts-Risiken:
+- Kinderarbeit, Zwangsarbeit, Sklaverei
+- Diskriminierung, Loehne unter Mindestlohn
+- Vereinigungsfreiheit
+- Schaedliche Boden-/Wasser-/Luft-Veraenderung
+Umwelt-Risiken:
+- Quecksilber-Konvention, POP-Konvention, Basel-Konvention
+### Risikomanagement (§ 4)
+- Beauftragter benennen
+- Praeventionsmassnahmen
+- Beschwerde-Mechanismus
+- Doku-Pflicht
+### Berichtspflichten (§ 10)
+Jaehrlicher Bericht ans BAFA (Bundesamt fuer Wirtschaft und Ausfuhrkontrolle).
+## § 24 — Bussgeld
+| Verstoss | Hoechstbetrag |
+|---|---|
+| Bestimmte Ordnungswidrigkeiten (§ 24 Abs. 2 Nr. 1) | bis **100.000 EUR** |
+| Andere Ordnungswidrigkeiten (§ 24 Abs. 2 Nr. 2-3) | bis **500.000 EUR** |
+| Praevention/Abhilfe nicht oder nicht rechtzeitig | bis **800.000 EUR** |
+| **Umsatzbasierter Cap** (Unternehmen > 400 Mio. EUR Jahresumsatz) | bis **2% globaler Jahresumsatz** ODER **8 Mio. EUR** (je nachdem was hoeher) |
+- Bei Wiederholung: Vergabe-Sperre fuer oeffentliche Auftraege (§ 22)
+- BAFA-Praxis 2024-2025: Bussgelder vor allem bei schweren Menschenrechts-Verletzungen
+## Verhaeltnis zu CSDDD
+CSDDD (EU-Lieferkettenrichtlinie) ergaenzt LkSG. Umsetzungsfrist 26.07.2027.
+Wahrscheinlich: LkSG wird CSDDD-konform aktualisiert.
+## Audit-Relevanz
+KMU-Vibecoder: nicht direkt anwendbar. Aber als Lieferant grosser Unternehmen:
+- Anfrage-Pflicht zur Selbstauskunft
+- Vertragsklauseln zur Menschenrechts-Compliance
+## Audit-Pattern (KMU als Lieferant)
+```
+**Finding**: SaaS-Provider liefert an > 1.000-MA-Kunden ohne Selbstauskunfts-Doku
+**Wahrsch.**: 25% (typisch in B2B-Vertraegen verlangt)
+**§**: § 5-6 LkSG (indirekte Lieferanten-Pflicht)
+**Fix**:
+- Selbstauskunfts-Form vorbereiten (Quellen + Lieferanten + Risiko-Bereiche)
+- AGB-Klausel: „Wir bestaetigen Einhaltung Menschenrechts-Standards"
+- Jaehrliche Aktualisierung
+```
+## Source
+- [gesetze-im-internet.de — LkSG](https://www.gesetze-im-internet.de/lksg/)
+- [BAFA LkSG-Page](https://www.bafa.de/DE/Lieferketten/Lieferketten/lieferketten_node.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/MedTech/DiGAV.md ADDED Viewed

@@ -0,0 +1,60 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/digav/
+last-checked: 2026-05-02
+purpose: DiGAV — Digitale-Gesundheitsanwendungen-Verordnung.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+# DiGAV — Digitale Gesundheitsanwendungen
+> DiGAV (Digitale-Gesundheitsanwendungen-Verordnung), in Kraft seit 28.04.2020.
+> Volltext: https://www.gesetze-im-internet.de/digav/
+## Konzept DiGA
+DiGA = Digitale Gesundheits-App, die:
+- CE-zertifiziert (Klasse I oder IIa nach MDR)
+- Vom BfArM in DiGA-Verzeichnis aufgenommen
+- Kann durch Krankenkassen erstattet werden (auf Rezept)
+## Aufnahme-Verfahren ($\\S$ 33a SGB V + $\\S$ 139e SGB V)
+### Voraussetzungen
+- CE-Kennzeichnung (MDR Klasse I oder IIa)
+- Sicherheit + Funktionstauglichkeit
+- Datenschutz + Datensicherheit (BSI-Konformitaet, ISO 27001)
+- Versorgungs-Effekt nachgewiesen (Studien, Real-World-Evidence)
+### Verfahren
+- Antrag bei BfArM
+- Pruefung 3-12 Monate
+- Vorlauefige Aufnahme moeglich (12 Monate)
+- Endgueltige Aufnahme nach Versorgungs-Effekt-Nachweis
+## DiGA-Liste
+Aktuelle Liste: https://diga.bfarm.de/
+## Audit-Trigger
+Wenn Site Health-App anbietet:
+- Targetiert sie Kassenpatienten? (typischer KMU-Use-Case)
+- DiGA-Listung erfolgt?
+- Wenn nicht: ist Listung sinnvoll? (Marketing-Vorteil)
+- DSGVO Art. 9 Pflicht-Doku
+## Cross-Reference
+- MDR: `references/gesetze/MedTech/MDR-2017-745.md`
+- Branche Telemedizin: `references/branchenrecht.md`
+## Source
+- [gesetze-im-internet.de — DiGAV](https://www.gesetze-im-internet.de/digav/)
+- [BfArM DiGA-Verzeichnis](https://diga.bfarm.de/)
+- [SGB V § 139e](https://www.gesetze-im-internet.de/sgb_5/__139e.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/MedTech/IVDR-2017-746.md ADDED Viewed

@@ -0,0 +1,51 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32017R0746
+last-checked: 2026-05-02
+purpose: IVDR — In-Vitro-Diagnostika-Verordnung 2017/746.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+# IVDR — VO 2017/746
+> In-Vitro Diagnostic Regulation. Anwendbar seit 26.05.2022.
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32017R0746
+## Geltungsbereich
+In-Vitro-Diagnostika:
+- Reagenzien, Kalibratoren, Kontrollmaterial
+- Analyse-Geraete (z.B. Blutzucker, Schwangerschafts-Test)
+- Software zur Auswertung von In-Vitro-Tests (z.B. Lab-Result-AI)
+## Klassifikation (Art. 47 + Anhang VIII)
+| Klasse | Beispiel |
+|---|---|
+| A | gering — Pufferloesungen |
+| B | mittel — Schwangerschafts-Test |
+| C | hoch — HIV-Test, Tumor-Marker |
+| D | hoechstes — Blutgruppe-Test |
+## Pflichten analog MDR
+- CE-Kennzeichnung
+- Klinische Validierung
+- Vigilanz-Meldung
+- EUDAMED-Listung
+## Audit-Relevanz
+Wenn Site / SaaS:
+- Online-Lab-Tests anbietet
+- AI-basierte Auswertung von In-Vitro-Tests
+- Sample-Booking-System mit Diagnose-Output
+→ IVDR-Compliance pruefen.
+## Source
+- [eur-lex.europa.eu — VO 2017/746](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32017R0746)
+- [BfArM IVDR](https://www.bfarm.de/DE/Medizinprodukte/Aufgaben/IVD/_node.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/MedTech/MDR-2017-745.md ADDED Viewed

@@ -0,0 +1,85 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32017R0745
+last-checked: 2026-05-02
+purpose: MDR — Medizinprodukte-Verordnung 2017/745.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+# MDR — VO 2017/745
+> Medical Device Regulation. Anwendbar seit 26.05.2021 (mit Verlaengerungen fuer Bestandsprodukte).
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32017R0745
+## Klassifikation (Anhang VIII)
+| Klasse | Risiko | Beispiel |
+|---|---|---|
+| I | gering | Brillen, OP-Handschuhe |
+| Is | sterilisiert | Verbandsmaterial |
+| Im | mit Messfunktion | Thermometer |
+| IIa | mittleres Risiko | Hoergeraete, Roentgenfilm |
+| IIb | hohes Risiko | Defibrillator |
+| III | hoechstes Risiko | Implantate, Herzschrittmacher |
+## Software als Medizinprodukt (SaMD)
+DURCH MDR explizit erfasst:
+- Stand-alone Software die Diagnose / Behandlung / Praevention dient
+- Klassifikation analog Hardware (Klasse I bis III)
+- Beispiele: Symptom-Checker mit Diagnose-Output, AI-Diagnose-Tool, Tumor-Erkennung
+## Pflichten
+### CE-Kennzeichnung (Art. 20)
+- Konformitaetsbewertung
+- Benannte Stelle bei Klasse IIa+ erforderlich
+- Konformitaetserklaerung des Herstellers
+### Technische Doku (Anhang II)
+- Produkt-Beschreibung
+- Klinische Bewertung
+- Risiko-Management
+- Qualitaetsmanagement-System
+### Klinische Bewertung (Art. 61)
+Pflicht fuer alle Klassen, intensitaet steigt mit Klasse.
+### Vigilanz (Art. 87-89)
+Schwerwiegende Vorfaelle melden an BfArM (DE).
+### EUDAMED-Datenbank
+Registrierung Pflicht (Art. 33).
+## Sanktionen
+DE-Umsetzung: MPDG (Medizinprodukterecht-Durchfuehrungsgesetz).
+- Bussgeld bis 30.000 EUR pro Verstoss
+- Strafanzeige bei Vorsatz / Gefaehrdung
+## Audit-Trigger fuer Skill
+Wenn Site Software/App anbietet die unter SaMD faellt:
+- CE-Kennzeichnung Pflicht
+- BfArM-Listung
+- Klinische Bewertung
+- Cross-Layer mit DSGVO Art. 9 (Gesundheitsdaten) + AI-Act (wenn AI-basierte Diagnose)
+## Cross-Reference
+- DiGAV: `references/gesetze/MedTech/DiGAV.md`
+- IVDR (In-Vitro): `references/gesetze/MedTech/IVDR-2017-746.md`
+- Branche Telemedizin: `references/branchenrecht.md`
+## Source
+- [eur-lex.europa.eu — VO 2017/745](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32017R0745)
+- [BfArM Medizinprodukte](https://www.bfarm.de/DE/Medizinprodukte/_node.html)
+- [MPDG (DE)](https://www.gesetze-im-internet.de/mpdg/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/NIS2UmsuCG-BSIG/articles.md ADDED Viewed

@@ -0,0 +1,53 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/bsig_2009/
+last-checked: 2026-05-02
+purpose: NIS2UmsuCG (DE-Umsetzung NIS2-RL) + aktuelles BSIG.
+status: skeleton (NIS2UmsuCG noch im Bundestags-Verfahren)
+---
+# NIS2UmsuCG + BSIG (Skeleton)
+> NIS2UmsuCG = NIS2-Umsetzungs- und Cybersicherheitsstaerkungs-Gesetz.
+> Stand 2026-05: Bundestags-Verfahren laufend, Inkrafttreten verzoegert.
+> Bis zum Inkrafttreten gilt das alte BSIG (BSI-Gesetz).
+## Aktueller Status
+| Quelle | Stand |
+|---|---|
+| **NIS2-RL 2022/2555** | EU-Recht, Umsetzungsfrist 17.10.2024 ueberschritten |
+| **NIS2UmsuCG-Entwurf** | Bundestag Stand 2026-05 (Verzoegerung) |
+| **BSIG (alt)** | Subsidiaer in Kraft, deckt KRITIS aber NICHT alle 18 NIS2-Sektoren |
+| **EU-KOM-Vertragsverletzungsverfahren** | Eingeleitet bei verspaeteter Umsetzung |
+## Direkte Wirkung der NIS2-RL
+Trotz fehlender DE-Umsetzung:
+- NIS2-Pflicht-Inhalte koennen ueber Art. 288 AEUV (vertikale Direkt-Wirkung) angewandt werden
+- Aufsichtsbehoerden koennen NIS2-Konformitaet de facto erwarten
+## Pflichten gemaess NIS2-RL (uebernommen)
+Siehe `references/gesetze/EU-Verordnungen/NIS2-2022-2555/articles.md` fuer Details:
+- 18 Sektoren (hochkritisch + andere kritisch)
+- Schwellwerte: wesentliche / wichtige Einrichtung
+- Risikomanagement (10 Mindestmassnahmen)
+- 24h/72h/1M-Meldepflichten
+- Geschaeftsleitung-Haftung
+## Audit-Empfehlung fuer Skill
+Wenn Operator unter NIS2-Sektor faellt + Schwellwert erfuellt:
+- BSIG-alt anwenden + NIS2-konforme Vorbereitung
+- Bei Inkrafttreten NIS2UmsuCG: nahtloser Uebergang
+## Defer-Marker
+> **Vollstaendige Bearbeitung wenn NIS2UmsuCG in Kraft tritt** — voraussichtlich Q4 2026 oder Q1 2027.
+## Source
+- [BSIG (alt)](https://www.gesetze-im-internet.de/bsig_2009/)
+- [BMI NIS2UmsuCG](https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Themen/IT-Cyber/nis2umsucg.html)
+- [BSI NIS2-Page](https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2/nis-2_node.html)