NIS2, CRA, KRITIS und der 6. März: Jetzt zählt die nachweisbare Umsetzung!

Sicherheit
Die regulatorische Schonfrist ist vorbei. NIS2, der Cyber Resilience Act (CRA) und das KRITIS-Dachgesetz machen Cyberresilienz zur verbindlichen Pflicht, auch für ausländische Leistungserbringer in Deutschland.
Bis zum 6. März 2026 ist die Registrierung beim BSI abzuschliessen. Entscheidend ist jedoch die nachweisbare Umsetzung. Was ist zu tun und wer ist betroffen? Eine Einordnung, Timeline der Fristen und strukturierte Anleitung.

NIS2, CRA und das KRITIS-Dachgesetz greifen auf unterschiedlichen Ebenen, verfolgen jedoch ein gemeinsames Ziel: nachweisbare Resilienz. Ihre Wirkung ist dauerhaft. Sie verlangen keine einmalige Umsetzung, sondern kontinuierliche Weiterentwicklung von Governance, Technik und Prozessen. Wer strukturiert vorgeht, reduziert gleichsam Cyber- wie auch regulatorische Risiken.

NIS2, CRA & KRITIS: Wer ist betroffen?NIS2: Unternehmen in 18 Sektoren

  • Grösse: Ab 50 Mitarbeitenden oder 10 Millionen EUR Umsatz/Bilanzsumme (von verbundenen bzw. von Partner-Unternehmen; in Sektoren wie Energie, Verkehr, Gesundheit, digitale Infrastruktur, Produktion, Abfallwirtschaft).
  • Ausnahmen: Auch kleinere Unternehmen können betroffen sein, wenn sie als «besonders wichtig» eingestuft werden.
  • Ausländische Unternehmen: Gelten als betroffen, wenn sie Dienstleistungen in Deutschland erbringen und die Kriterien erfüllen.

CRA: Hersteller digitaler Produkte

  • Betroffen: Hersteller, Importeure und Distributoren von Hardware/Software mit Internet-/Netzwerkanbindung, die in der EU vermarktet werden.

KRITIS-Dachgesetz und CER-Richtlinie (Critical Entities Resilience)

  • Betroffen: Betreiber kritischer Infrastrukturen (z. B. Energie, Wasser, Transport).

NIS2, CRA & KRITIS: Was ist zu tun?
NIS2: 5 Kernanforderungen

  1. Registrierungspflicht beim BSI: Alle betroffenen Unternehmen müssen sich bis 6. März 2026 im BSI-Portal registrieren (zweistufig: «Mein Unternehmenskonto» + BSI-Portal).
  2. Risikomanagement: Umsetzung von 10 Kernmassnahmen (§ 30 BSIG-neu), z. B.:
    ▪️Incident Response
    ▪️Supply Chain Security
    ▪️Multi-Faktor-Authentifizierung
    ▪️Regelmässige Schulungen für Mitarbeiter
  3. Meldepflichten: Erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI melden.
  4. Dokumentation: Nachweis der Umsetzung (z. B. für Audits).
  5. Persönliche Haftung: Geschäftsführer haften für Verstösse (§ 38 BSIG).

CRA: Pflichten für Hersteller

  • Schwachstellenmeldung: Ab September 2026 über EU-Plattform.
  • Produkt-Compliance: Neu in Verkehr gebrachte Produkte müssen ab Dezember 2027 alle CRA-Anforderungen erfüllen.

KRITIS-Dachgesetz und CER-Richtlinie

  • Physische Resilienz: Schutz vor Sabotage, Terror, Naturkatastrophen.
  • Risikoanalysen: Nationale Behörden identifizieren kritische Einrichtungen bis Juli 2026.

Regulatorische Timeline: Zentrale Fristen im Überblick

NIS2, CRA & KRITIS umsetzen: Vier Massnahmen

  1. Betroffenheitsprüfung (sofort)

    ▪️Tool: BSI-NIS2-Check nutzen, um zu prüfen, ob das Unternehmen betroffen ist.

    ▪️Sektoren: Klären, ob das Unternehmen in einem der 18 regulierten Sektoren tätig ist.

  2. Registrierung beim BSI (bis 6. März 2026)

    ▪️Schritt 1: Account bei «Mein Unternehmenskonto» (MUK) anlegen.

    ▪️ Schritt 2: Registrierung im BSI-Portal (ELSTER-Zertifikat + Passwort) bis 6. März 2026.

  3. Umsetzung der Sicherheitsmassnahmen

    ▪️NIS2: Risikomanagement, technische Schutzmassnahmen, Schulungen.

    ▪️CRA: Schwachstellenprozesse etablieren, Produkt-Compliance vorbereiten.

    ▪️KRITIS: Physische Sicherheitskonzepte erstellen, Risikoanalysen durchführen.

  4. Meldewesen aufbauen

    ▪️NIS2: 24h-Meldeprozess für Sicherheitsvorfälle (BSI-Portal).

    ▪️CRA: Vorbereitung auf Schwachstellenmeldungen ab September 2026.

NIS2, CRA & KRITIS: Vier konkrete Handlungsempfehlungen für Unternehmen

  1. Jetzt handeln: NIS2 Betroffenheitsprüfung durchführen und Registrierung bis 6. März 2026 abschliessen.
  2. Risikomanagement priorisieren: 10 Kernmassnahmen umsetzen, Dokumentation vorbereiten.
  3. Meldeprozesse etablieren: 24h-Meldung für Vorfälle, CRA-Schwachstellenmeldungen ab September 2026.
  4. Schulungen durchführen: Geschäftsführung und Mitarbeitende sensibilisieren.

Ausländische Unternehmen: Prüfen, ob NIS2/CRA-Pflichten aufgrund von Dienstleistungen in Deutschland gelten.

NIS2, CRA & KRITIS: Unser Fazit

NIS2, CRA und das KRITIS-Dachgesetz verlangen keine kurzfristige Reaktion, sondern eine strategische Verankerung. Wer regulatorische Anforderungen konsequent mit der eigenen Sicherheitsstrategie verzahnt, stärkt nicht nur die Compliance, sondern die Resilienz der gesamten Organisation.

Unsere Erfahrung aus zahlreichen Umsetzungsprojekten zeigt: Entscheidend ist ein strukturiertes Vorgehen, das regulatorische Vorgaben mit bestehenden Prozessen, Governance-Strukturen und technischen Massnahmen verbindet. Denn nachhaltige Lösungen entstehen dort, wo regulatorische, organisatorische und technische Aspekte ganzheitlich gedacht und und umgesetzt werden.

Cyber Security Assessment

Firmenkontakt und Herausgeber der Meldung:

InfoGuard AG
Lindenstrasse 10
CH6340 Baar
Telefon: +41 (41) 7491900
https://www.infoguard.ch

Ansprechpartner:
Estelle Ouhassi
Marketing Manager
Telefon: +41 (41) 74919-00
E-Mail: estelle.ouhassi@infoguard.ch
Weiterführende Links
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel