NIS2, CRA, KRITIS und der 6. März: Jetzt zählt die nachweisbare Umsetzung!
(PresseBox) - Die regulatorische Schonfrist ist vorbei. NIS2, der Cyber Resilience Act (CRA) und das KRITIS-Dachgesetz machen Cyberresilienz zur verbindlichen Pflicht, auch für ausländische Leistungserbringer in Deutschland.
Bis zum 6. März 2026 ist die Registrierung beim BSI abzuschliessen. Entscheidend ist jedoch die nachweisbare Umsetzung. Was ist zu tun und wer ist betroffen? Eine Einordnung, Timeline der Fristen und strukturierte Anleitung.
NIS2, CRA und das KRITIS-Dachgesetz greifen auf unterschiedlichen Ebenen, verfolgen jedoch ein gemeinsames Ziel: nachweisbare Resilienz. Ihre Wirkung ist dauerhaft. Sie verlangen keine einmalige Umsetzung, sondern kontinuierliche Weiterentwicklung von Governance, Technik und Prozessen. Wer strukturiert vorgeht, reduziert gleichsamCyber- wie auch regulatorische Risiken.
NIS2, CRA& KRITIS: Wer ist betroffen?NIS2: Unternehmen in 18 Sektoren
Grösse: Ab 50 Mitarbeitenden oder 10 Millionen EUR Umsatz/Bilanzsumme (von verbundenen bzw. von Partner-Unternehmen; in Sektoren wie Energie, Verkehr, Gesundheit, digitale Infrastruktur, Produktion, Abfallwirtschaft).
Ausnahmen: Auch kleinere Unternehmen können betroffen sein, wenn sie als «besonders wichtig» eingestuft werden.
Ausländische Unternehmen: Gelten als betroffen, wenn sie Dienstleistungen in Deutschland erbringen und die Kriterien erfüllen.
CRA: Hersteller digitaler Produkte
Betroffen: Hersteller, Importeure und Distributoren von Hardware/Software mit Internet-/Netzwerkanbindung, die in der EU vermarktet werden.
KRITIS-Dachgesetz und CER-Richtlinie (Critical Entities Resilience)
Betroffen: Betreiber kritischer Infrastrukturen (z. B. Energie, Wasser, Transport).
NIS2, CRA&KRITIS: Was ist zu tun?
NIS2: 5 Kernanforderungen
Registrierungspflicht beim BSI: Alle betroffenen Unternehmen müssen sich bis 6. März 2026 im BSI-Portal registrieren (zweistufig: «Mein Unternehmenskonto» + BSI-Portal).
Risikomanagement: Umsetzung von 10 Kernmassnahmen (§ 30 BSIG-neu), z. B.:
??Incident Response
??Supply Chain Security
??Multi-Faktor-Authentifizierung
??Regelmässige Schulungen für Mitarbeiter
Meldepflichten: Erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI melden.
Dokumentation: Nachweis der Umsetzung (z. B. für Audits).
Persönliche Haftung: Geschäftsführer haften für Verstösse (§ 38 BSIG).
CRA: Pflichten für Hersteller
Schwachstellenmeldung: Ab September 2026 über EU-Plattform.
Produkt-Compliance: Neu in Verkehr gebrachte Produkte müssen ab Dezember 2027 alle CRA-Anforderungen erfüllen.
KRITIS-Dachgesetz und CER-Richtlinie
Physische Resilienz: Schutz vor Sabotage, Terror, Naturkatastrophen.
Risikoanalysen: Nationale Behörden identifizieren kritische Einrichtungen bis Juli 2026.
Regulatorische Timeline: Zentrale Fristen im Überblick
NIS2, CRA&KRITIS umsetzen: Vier Massnahmen
Betroffenheitsprüfung (sofort)
??Tool: BSI-NIS2-Check nutzen, um zu prüfen, ob das Unternehmen betroffen ist.
??Sektoren: Klären, ob das Unternehmen in einem der 18 regulierten Sektoren tätig ist.
Registrierung beim BSI (bis 6. März 2026)
??Schritt 1: Account bei «Mein Unternehmenskonto» (MUK) anlegen.
?? Schritt 2: Registrierung im BSI-Portal (ELSTER-Zertifikat + Passwort) bis 6. März 2026.
Umsetzung der Sicherheitsmassnahmen
??NIS2: Risikomanagement, technische Schutzmassnahmen, Schulungen.
??CRA: Schwachstellenprozesse etablieren, Produkt-Compliance vorbereiten.
??KRITIS: Physische Sicherheitskonzepte erstellen, Risikoanalysen durchführen.
Meldewesen aufbauen
??NIS2: 24h-Meldeprozess für Sicherheitsvorfälle (BSI-Portal).
??CRA: Vorbereitung auf Schwachstellenmeldungen ab September 2026.
NIS2, CRA&KRITIS: Vier konkrete Handlungsempfehlungen für Unternehmen
Jetzt handeln: NIS2 Betroffenheitsprüfung durchführen und Registrierung bis 6. März 2026 abschliessen.
Risikomanagement priorisieren: 10 Kernmassnahmen umsetzen, Dokumentation vorbereiten.
Meldeprozesse etablieren: 24h-Meldung für Vorfälle, CRA-Schwachstellenmeldungen ab September 2026.
Schulungen durchführen: Geschäftsführung und Mitarbeitende sensibilisieren.
Ausländische Unternehmen: Prüfen, ob NIS2/CRA-Pflichten aufgrund von Dienstleistungen in Deutschland gelten.
NIS2, CRA&KRITIS: Unser Fazit
NIS2, CRA und das KRITIS-Dachgesetz verlangen keine kurzfristige Reaktion, sondern eine strategische Verankerung. Wer regulatorische Anforderungen konsequent mit der eigenen Sicherheitsstrategie verzahnt, stärkt nicht nur die Compliance, sondern die Resilienz der gesamten Organisation.
Unsere Erfahrung aus zahlreichen Umsetzungsprojekten zeigt: Entscheidend ist ein strukturiertes Vorgehen, das regulatorische Vorgaben mit bestehenden Prozessen, Governance-Strukturen und technischen Massnahmen verbindet. Denn nachhaltige Lösungen entstehen dort, wo regulatorische, organisatorische und technische Aspekte ganzheitlich gedacht und und umgesetzt werden.
Cyber Security Assessment
Datum: 24.02.2026 - 10:38 Uhr
Sprache: Deutsch
News-ID 2233364
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Estelle Ouhassi
Stadt:
Baar
Telefon: +41 (41) 74919-00
Kategorie:
IT, New Media & Software
Dieser Fachartikel wurde bisher 7 mal aufgerufen.
Der Fachartikel mit dem Titel:
"NIS2, CRA, KRITIS und der 6. März: Jetzt zählt die nachweisbare Umsetzung!"
steht unter der journalistisch-redaktionellen Verantwortung von
InfoGuard AG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).