NIS2, CRA und das KRITIS-Dachgesetz greifen auf unterschiedlichen Ebenen, verfolgen jedoch ein gemeinsames Ziel: nachweisbare Resilienz. Ihre Wirkung ist dauerhaft. Sie verlangen keine einmalige Umsetzung, sondern kontinuierliche Weiterentwicklung von Governance, Technik und Prozessen. Wer strukturiert vorgeht, reduziert gleichsam Cyber- wie auch regulatorische Risiken.

NIS2, CRA & KRITIS: Wer ist betroffen?NIS2: Unternehmen in 18 Sektoren

• Grösse: Ab 50 Mitarbeitenden oder 10 Millionen EUR Umsatz/Bilanzsumme (von verbundenen bzw. von Partner-Unternehmen; in Sektoren wie Energie, Verkehr, Gesundheit, digitale Infrastruktur, Produktion, Abfallwirtschaft).
• Ausnahmen: Auch kleinere Unternehmen können betroffen sein, wenn sie als «besonders wichtig» eingestuft werden.
• Ausländische Unternehmen: Gelten als betroffen, wenn sie Dienstleistungen in Deutschland erbringen und die Kriterien erfüllen.

CRA: Hersteller digitaler Produkte

• Betroffen: Hersteller, Importeure und Distributoren von Hardware/Software mit Internet-/Netzwerkanbindung, die in der EU vermarktet werden.

KRITIS-Dachgesetz und CER-Richtlinie (Critical Entities Resilience)

• Betroffen: Betreiber kritischer Infrastrukturen (z. B. Energie, Wasser, Transport).

NIS2, CRA & KRITIS: Was ist zu tun?
NIS2: 5 Kernanforderungen

1. Registrierungspflicht beim BSI: Alle betroffenen Unternehmen müssen sich bis 6. März 2026 im BSI-Portal registrieren (zweistufig: «Mein Unternehmenskonto» + BSI-Portal).
2. Risikomanagement: Umsetzung von 10 Kernmassnahmen (§ 30 BSIG-neu), z. B.:
   ▪️Incident Response
   ▪️Supply Chain Security
   ▪️Multi-Faktor-Authentifizierung
   ▪️Regelmässige Schulungen für Mitarbeiter
3. Meldepflichten: Erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI melden.
4. Dokumentation: Nachweis der Umsetzung (z. B. für Audits).
5. Persönliche Haftung: Geschäftsführer haften für Verstösse (§ 38 BSIG).

CRA: Pflichten für Hersteller

• Schwachstellenmeldung: Ab September 2026 über EU-Plattform.
• Produkt-Compliance: Neu in Verkehr gebrachte Produkte müssen ab Dezember 2027 alle CRA-Anforderungen erfüllen.

KRITIS-Dachgesetz und CER-Richtlinie

• Physische Resilienz: Schutz vor Sabotage, Terror, Naturkatastrophen.
• Risikoanalysen: Nationale Behörden identifizieren kritische Einrichtungen bis Juli 2026.

Regulatorische Timeline: Zentrale Fristen im Überblick

NIS2, CRA & KRITIS umsetzen: Vier Massnahmen

1. Betroffenheitsprüfung (sofort)

   ▪️Tool: BSI-NIS2-Check nutzen, um zu prüfen, ob das Unternehmen betroffen ist.

   ▪️Sektoren: Klären, ob das Unternehmen in einem der 18 regulierten Sektoren tätig ist.

2. Registrierung beim BSI (bis 6. März 2026)

   ▪️Schritt 1: Account bei «Mein Unternehmenskonto» (MUK) anlegen.

   ▪️ Schritt 2: Registrierung im BSI-Portal (ELSTER-Zertifikat + Passwort) bis 6. März 2026.

3. Umsetzung der Sicherheitsmassnahmen

   ▪️NIS2: Risikomanagement, technische Schutzmassnahmen, Schulungen.

   ▪️CRA: Schwachstellenprozesse etablieren, Produkt-Compliance vorbereiten.

   ▪️KRITIS: Physische Sicherheitskonzepte erstellen, Risikoanalysen durchführen.

4. Meldewesen aufbauen

   ▪️NIS2: 24h-Meldeprozess für Sicherheitsvorfälle (BSI-Portal).

   ▪️CRA: Vorbereitung auf Schwachstellenmeldungen ab September 2026.

NIS2, CRA & KRITIS: Vier konkrete Handlungsempfehlungen für Unternehmen

1. Jetzt handeln: NIS2 Betroffenheitsprüfung durchführen und Registrierung bis 6. März 2026 abschliessen.
2. Risikomanagement priorisieren: 10 Kernmassnahmen umsetzen, Dokumentation vorbereiten.
3. Meldeprozesse etablieren: 24h-Meldung für Vorfälle, CRA-Schwachstellenmeldungen ab September 2026.
4. Schulungen durchführen: Geschäftsführung und Mitarbeitende sensibilisieren.

Ausländische Unternehmen: Prüfen, ob NIS2/CRA-Pflichten aufgrund von Dienstleistungen in Deutschland gelten.

NIS2, CRA & KRITIS: Unser Fazit

NIS2, CRA und das KRITIS-Dachgesetz verlangen keine kurzfristige Reaktion, sondern eine strategische Verankerung. Wer regulatorische Anforderungen konsequent mit der eigenen Sicherheitsstrategie verzahnt, stärkt nicht nur die Compliance, sondern die Resilienz der gesamten Organisation.

Unsere Erfahrung aus zahlreichen Umsetzungsprojekten zeigt: Entscheidend ist ein strukturiertes Vorgehen, das regulatorische Vorgaben mit bestehenden Prozessen, Governance-Strukturen und technischen Massnahmen verbindet. Denn nachhaltige Lösungen entstehen dort, wo regulatorische, organisatorische und technische Aspekte ganzheitlich gedacht und und umgesetzt werden.

Cyber Security Assessment