Comquent GmbH Logo
Kostenlose DevOps-Analyse

DevSecOps & Compliance — Security von Anfang an

Sicherheit ist kein nachträglicher Schritt, sondern integraler Bestandteil jeder Pipeline-Stufe. Wir implementieren DevSecOps für IT und OT im DACH-Raum — von Shift-Left bis Runtime-Security.

NIS2-Readiness prüfenSecurity-Checkliste

IEC 62443 · SBOM · POLICY-AS-CODE · ZERO TRUST · NIS2

CCT

Comquent Consulting Team

DevSecOps & Compliance Experten

Shift-Left Security, SBOM-Automatisierung und Policy-as-Code für IT und OT — NIS2, IEC 62443 und Cyber Resilience Act seit 2006.

Veröffentlicht: 15. November 2025Zuletzt aktualisiert: 15. April 2026
Fachlich geprüft auf Basis von NIS2, IEC 62443 und CRA
01
// 01Kurz erklärt

Security.
Nicht am Ende.
In jeder Stufe.

DevSecOps integriert Sicherheit in den gesamten Software-Lebenszyklus — nicht als nachträglichen Prüfschritt, sondern als festen Bestandteil jeder Pipeline-Stufe. Automatisierte Scans (SAST, DAST, SCA), Policy-as-Code, SBOM-Generierung bei jedem Commit.

Für CISO, Compliance-Verantwortliche und Security-Teams in regulierten Branchen, die NIS2, IEC 62443 oder CRA in CI/CD-Pipelines integrieren müssen.

18.500
NIS2: DE-Firmen nicht registriert
24 h
NIS2 / CRA Meldepflicht
11.09.26
CRA-Meldepflicht startet
SL 1–4
IEC-62443 Levels
02
// 02Security als Pipeline-Feature

Nicht mehr Gates.
Bessere Gates.

  • /01

    Shift-Left Security

    Sicherheit darf nicht erst am Ende der Pipeline stehen.

    Security-Checks werden so früh wie möglich integriert. SAST bei jedem Commit, Dependency-Scans auf bekannte Schwachstellen, Container-Images vor dem Deployment gescannt. Schwachstellen werden gefunden, wenn sie noch günstig zu beheben sind — nicht erst in Produktion.

  • /02

    Policy-as-Code

    Compliance als Code: prüfbar, versionierbar, automatisch durchsetzbar.

    Mit Open Policy Agent (OPA), HashiCorp Sentinel oder AWS Config Rules definieren Sie Policies, die automatisch bei jedem Deployment geprüft werden. Für regulierte Branchen: Compliance ist kein manueller Audit mehr, sondern ein automatisierter Quality Gate.

  • /03

    IEC 62443

    Internationaler Standard für industrielle Cybersecurity.

    Security-Maßnahmen entlang der gesamten Norm: Risikobewertung, Zonenmodelle, Zugangskontrollen, Patch-Management. Unsere Pipelines prüfen automatisch, ob Deployments den Security-Levels der Zielzonen entsprechen. IEC 62443-Compliance wird integraler Bestandteil des Entwicklungsprozesses.

  • /04

    Supply Chain Security (SBOM)

    Die Software Bill of Materials wird zum regulatorischen Standard.

    Automatisierte SBOM-Generierung in Pipelines: Jedes Release mit vollständiger Liste aller Abhängigkeiten, Lizenzen, bekannter Schwachstellen. Signierte Artefakte und Provenance-Daten. SLSA-Compliance und Sigstore-Integration.

  • /05

    Compliance-Automatisierung

    PCI-DSS, DSGVO, SOC 2, ISO 27001 — kein manueller Audit mehr.

    Audit-Trails werden automatisch generiert, Konfigurationen kontinuierlich gegen Baselines geprüft, Abweichungen sofort gemeldet. Jederzeit audit-ready — nicht nur einmal im Jahr.

// 03Zielgruppen

Drei Rollen.
Drei Sichten auf Security.

Rolle / 01

CISO & Security-Teams

Schmerzpunkt

Security wird zu spät geprüft. Schwachstellen erreichen Produktion. Manuelle Audits skalieren nicht.

Nutzen

Shift-Left mit automatisierten Scans in jeder Pipeline-Stufe — Schwachstellen in Minuten statt Wochen.

Rolle / 02

Compliance-Verantwortliche

Schmerzpunkt

NIS2 in Vollzug (BSI-Registrierungsfrist 06.03.2026 abgelaufen — ca. 18.500 Firmen in DE nicht registriert), CRA-Meldepflicht ab 11.09.2026, DORA in Kraft — manuell nicht schaffbar.

Nutzen

Policy-as-Code, automatische SBOMs, Audit-Trails — jederzeit audit-ready.

Rolle / 03

Produktionsleitung (OT)

Schmerzpunkt

IEC 62443 erfordert Zonenmodelle und Security-Levels. Umsetzung in bestehende Prozesse ist komplex.

Nutzen

IEC-62443-Compliance als automatisiertes Quality Gate — jedes Deployment wird gegen die Zielzone geprüft.

04
// 04Security in jeder Schicht

Sechs Schichten.
Sechs Gates.

Vom ersten Commit bis zum laufenden System. DevSecOps deckt den gesamten Lebenszyklus ab.

#
Schicht
Werkzeuge & Kontrollen
01
Code
SAST, Code Review, Linting
02
Dependencies
SCA, SBOM, License Check
03
Build
Signed Artifacts, Provenance
04
Container
Image Scan, Base Image Policy
05
Deploy
Policy Gate, IEC 62443 Check
06
Runtime
Monitoring, Anomaly Detection
// 05Pipeline-Beispiel

Wie das konkret
in YAML aussieht.

security-pipeline.yml
# Security Scan Pipeline Stage
security-scan:
  stage: security
  parallel:
    matrix:
      - SCAN_TYPE:
        - sast
        - dependency-check
        - container-scan
  script:
    - |
      case $SCAN_TYPE in
        sast)
          semgrep --config auto ./src
          ;;
        dependency-check)
          trivy fs --severity HIGH,CRITICAL .
          syft . -o cyclonedx-json > sbom.json
          ;;
        container-scan)
          trivy image $CI_REGISTRY_IMAGE
          cosign verify $CI_REGISTRY_IMAGE
          ;;
      esac

policy-check:
  stage: security
  script:
    - opa eval -d policies/ -i scan-results.json
      "data.security.allow"
  allow_failure: false

Automatisierte Security-Checks laufen parallel und liefern Feedback in Minuten statt Tagen. Security ohne Geschwindigkeitsverlust.

Was wir mitbringen
  • 01SAST, DAST und SCA in jeder Pipeline-Stufe
  • 02Container-Image-Scanning mit Trivy und Snyk
  • 03Automatisierte SBOM-Generierung (CycloneDX, SPDX)
  • 04Policy-as-Code mit Open Policy Agent (OPA)
  • 05IEC 62443 Compliance-Checks für industrielle Systeme
  • 06Secret-Management mit HashiCorp Vault
  • 07Automatisierte Audit-Trails und Reporting
  • 08Security-Schulungen und Awareness-Programme
06
// 06Regulatorik 2026

NIS2. DORA. CRA.
Die Fristen laufen.

Neue EU-Regulierungen machen
DevSecOps zur Pflicht.

01
BSI-Frist 06.03.2026 abgelaufen — Vollzug läuft

NIS2-Richtlinie

Die BSI-Registrierungsfrist ist seit dem 06.03.2026 verstrichen. Ca. 18.500 betroffene Unternehmen in Deutschland sind noch nicht registriert. BSI hat die aktive Durchsetzung aufgenommen — Bußgelder und Geschäftsführerhaftung (§38 NIS2UmsuCG) werden wirksam. Betroffen: deutlich mehr Sektoren als unter NIS1 (Energie, Transport, Gesundheit, Fertigung, digitale Infrastruktur).

  • Registrierungspflicht beim BSI überfällig — jetzt sofort nachholen
  • Persönliche, unbegrenzte Haftung der Geschäftsleitung (§38 NIS2UmsuCG)
  • Risikomanagement, Incident-Response und Supply-Chain-Security-Nachweis
  • Meldepflicht innerhalb von 24 Stunden bei Cybervorfällen
  • Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
02
In Kraft seit Januar 2025

DORA

Digital Operational Resilience Act — reguliert die digitale Widerstandsfähigkeit im Finanzsektor. Banken, Versicherungen, Zahlungsdienstleister und deren IT-Dienstleister.

  • ICT-Risikomanagement-Framework
  • Regelmäßige Resilience-Tests (TLPT)
  • Third-Party-Risikomanagement
  • Automatisiertes Incident-Reporting
03
Stufenplan: 11.06.2026 · 11.09.2026 · 11.12.2027

Cyber Resilience Act

Verpflichtet Hersteller digitaler Produkte zu Security-by-Design über den gesamten Lebenszyklus. Besonders relevant für Maschinenbau mit Embedded-Software und IoT-Geräten. Die Umsetzung erfolgt in klar definierten Stufen.

  • 11.06.2026: Konformitätsbewertungsstellen nehmen Arbeit auf (Notifying)
  • 11.09.2026: 24-h-Meldepflicht für Schwachstellen und Vorfälle an ENISA
  • 11.12.2027: CRA vollständig anwendbar — keine CE-Kennzeichnung ohne Cyber-Compliance
  • SBOM-Pflicht, Schwachstellenmanagement über den Lebenszyklus, Security-Updates ≥ 5 Jahre
// 07 — Supply-Chain-Angriffe nehmen zu

SolarWinds.
Log4Shell.
xz-utils.

Angriffe auf Software-Lieferketten zeigen: Die Absicherung eigener Code-Basen reicht nicht mehr. SBOM-Generierung, signierte Artefakte und Provenance-Daten werden zum regulatorischen Standard — in der EU durch CRA, in den USA durch Executive Orders.

Die BSI-Registrierungsfrist für NIS2 ist am 06.03.2026 abgelaufen — der Vollzug läuft. Der CRA-Stufenplan startet am 11.06.2026. Wir helfen Ihnen, die Registrierung nachzuholen und Ihre Software Supply Chain rechtssicher zu machen.

// 08Häufige Fragen

Was Kunden
wirklich fragen.

Q.01
Was ist DevSecOps?
DevSecOps integriert Security in den gesamten DevOps-Lebenszyklus — von Entwicklung über Build bis Betrieb. Statt Security erst am Ende zu prüfen, laufen automatisierte Security-Checks in jeder Pipeline-Stufe.
Q.02
Was ist Shift-Left Security?
Sicherheitsprüfungen so früh wie möglich im Entwicklungsprozess verankern — idealerweise beim Commit. SAST, Dependency-Scans und Container-Scans automatisch. Schwachstellen werden gefunden, wenn sie günstig zu beheben sind.
Q.03
Was bedeutet NIS2 für mein Unternehmen?
Die BSI-Registrierungsfrist ist seit dem 06.03.2026 verstrichen und der Vollzug läuft — ca. 18.500 Firmen in Deutschland sind noch nicht registriert. Betroffene Unternehmen müssen Risikomanagement, Incident-Response, Supply-Chain-Security und 24-h-Meldepflichten nachweisen. Die Geschäftsleitung haftet persönlich und unbegrenzt (§38 NIS2UmsuCG). Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes sind möglich.
Q.04
Was ist ein SBOM?
Software Bill of Materials — eine maschinenlesbare Liste aller Softwarekomponenten, Abhängigkeiten und Lizenzen eines Produkts. Der EU Cyber Resilience Act macht SBOMs ab September 2026 zur Pflicht.
Q.05
Was ist der Cyber Resilience Act?
Der CRA verpflichtet Hersteller digitaler Produkte zu Security-by-Design über den gesamten Lebenszyklus. Der Stufenplan: ab 11.06.2026 nehmen die Konformitätsbewertungsstellen die Arbeit auf, ab 11.09.2026 gilt die 24-h-Meldepflicht für Schwachstellen an ENISA, ab 11.12.2027 ist der CRA vollständig anwendbar und ohne Cyber-Compliance keine CE-Kennzeichnung mehr zulässig. Pflichten: SBOM, Schwachstellenmanagement, Security-Updates für mindestens 5 Jahre.
Q.06
Wie implementiert man Policy-as-Code?
Compliance-Anforderungen als maschinenlesbare Regeln, die automatisch bei jedem Deployment geprüft werden. Tools wie Open Policy Agent (OPA) oder HashiCorp Sentinel — versioniert, testbar, automatisch durchsetzbar.
// +Weiterlesen
DevSecOps: IEC 62443CRA im MaschinenbauSBOM erstellenManaged CI/CD mit Security-GatesIndustrial DevOpsUse Case: Fertigungsindustrie
// Nächster Schritt

Erstgespräch.
Kostenlos.
90 Tage zum Ergebnis.

Wir klären gemeinsam, wie Sie in 90 Tagen die ersten messbaren Industrial-DevOps-Erfolge erzielen.

Erstgespräch buchen
Seit 2006 · 47+ Projekte
Industrie · Automotive · Finance