NIS2, CRA, KRITIS und der 6. März: Jetzt zählt die nachweisbare Umsetzung!
ID: 2233364
Bis zum 6. März 2026 ist die Registrierung beim BSI abzuschliessen. Entscheidend ist jedoch die nachweisbare Umsetzung. Was ist zu tun und wer ist betroffen? Eine Einordnung, Timeline der Fristen und strukturierte Anleitung.
NIS2, CRA und das KRITIS-Dachgesetz greifen auf unterschiedlichen Ebenen, verfolgen jedoch ein gemeinsames Ziel: nachweisbare Resilienz. Ihre Wirkung ist dauerhaft. Sie verlangen keine einmalige Umsetzung, sondern kontinuierliche Weiterentwicklung von Governance, Technik und Prozessen. Wer strukturiert vorgeht, reduziert gleichsam Cyber- wie auch regulatorische Risiken.
NIS2, CRA & KRITIS: Wer ist betroffen?NIS2: Unternehmen in 18 Sektoren
Grösse: Ab 50 Mitarbeitenden oder 10 Millionen EUR Umsatz/Bilanzsumme (von verbundenen bzw. von Partner-Unternehmen; in Sektoren wie Energie, Verkehr, Gesundheit, digitale Infrastruktur, Produktion, Abfallwirtschaft).
Ausnahmen: Auch kleinere Unternehmen können betroffen sein, wenn sie als «besonders wichtig» eingestuft werden.
Ausländische Unternehmen: Gelten als betroffen, wenn sie Dienstleistungen in Deutschland erbringen und die Kriterien erfüllen.
CRA: Hersteller digitaler Produkte
Betroffen: Hersteller, Importeure und Distributoren von Hardware/Software mit Internet-/Netzwerkanbindung, die in der EU vermarktet werden.
KRITIS-Dachgesetz und CER-Richtlinie (Critical Entities Resilience)
Betroffen: Betreiber kritischer Infrastrukturen (z. B. Energie, Wasser, Transport).
NIS2, CRA & KRITIS: Was ist zu tun?
NIS2: 5 Kernanforderungen
Registrierungspflicht beim BSI: Alle betroffenen Unternehmen müssen sich bis 6. März 2026 im BSI-Portal registrieren (zweistufig: «Mein Unternehmenskonto» + BSI-Portal).
Risikomanagement: Umsetzung von 10 Kernmassnahmen (§ 30 BSIG-neu), z. B.:
??Incident Response
??Supply Chain Security
??Multi-Faktor-Authentifizierung
??Regelmässige Schulungen für Mitarbeiter
Meldepflichten: Erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI melden.
Dokumentation: Nachweis der Umsetzung (z. B. für Audits).
Persönliche Haftung: Geschäftsführer haften für Verstösse (§ 38 BSIG).
CRA: Pflichten für Hersteller
Schwachstellenmeldung: Ab September 2026 über EU-Plattform.
Produkt-Compliance: Neu in Verkehr gebrachte Produkte müssen ab Dezember 2027 alle CRA-Anforderungen erfüllen.
KRITIS-Dachgesetz und CER-Richtlinie
Physische Resilienz: Schutz vor Sabotage, Terror, Naturkatastrophen.
Risikoanalysen: Nationale Behörden identifizieren kritische Einrichtungen bis Juli 2026.
Regulatorische Timeline: Zentrale Fristen im Überblick
NIS2, CRA & KRITIS umsetzen: Vier Massnahmen
Betroffenheitsprüfung (sofort)
??Tool: BSI-NIS2-Check nutzen, um zu prüfen, ob das Unternehmen betroffen ist.
??Sektoren: Klären, ob das Unternehmen in einem der 18 regulierten Sektoren tätig ist.
Registrierung beim BSI (bis 6. März 2026)
??Schritt 1: Account bei «Mein Unternehmenskonto» (MUK) anlegen.
?? Schritt 2: Registrierung im BSI-Portal (ELSTER-Zertifikat + Passwort) bis 6. März 2026.
Umsetzung der Sicherheitsmassnahmen
??NIS2: Risikomanagement, technische Schutzmassnahmen, Schulungen.
??CRA: Schwachstellenprozesse etablieren, Produkt-Compliance vorbereiten.
??KRITIS: Physische Sicherheitskonzepte erstellen, Risikoanalysen durchführen.
Meldewesen aufbauen
??NIS2: 24h-Meldeprozess für Sicherheitsvorfälle (BSI-Portal).
??CRA: Vorbereitung auf Schwachstellenmeldungen ab September 2026.
NIS2, CRA & KRITIS: Vier konkrete Handlungsempfehlungen für Unternehmen
Jetzt handeln: NIS2 Betroffenheitsprüfung durchführen und Registrierung bis 6. März 2026 abschliessen.
Risikomanagement priorisieren: 10 Kernmassnahmen umsetzen, Dokumentation vorbereiten.
Meldeprozesse etablieren: 24h-Meldung für Vorfälle, CRA-Schwachstellenmeldungen ab September 2026.
Schulungen durchführen: Geschäftsführung und Mitarbeitende sensibilisieren.
Ausländische Unternehmen: Prüfen, ob NIS2/CRA-Pflichten aufgrund von Dienstleistungen in Deutschland gelten.
NIS2, CRA & KRITIS: Unser Fazit
NIS2, CRA und das KRITIS-Dachgesetz verlangen keine kurzfristige Reaktion, sondern eine strategische Verankerung. Wer regulatorische Anforderungen konsequent mit der eigenen Sicherheitsstrategie verzahnt, stärkt nicht nur die Compliance, sondern die Resilienz der gesamten Organisation.
Unsere Erfahrung aus zahlreichen Umsetzungsprojekten zeigt: Entscheidend ist ein strukturiertes Vorgehen, das regulatorische Vorgaben mit bestehenden Prozessen, Governance-Strukturen und technischen Massnahmen verbindet. Denn nachhaltige Lösungen entstehen dort, wo regulatorische, organisatorische und technische Aspekte ganzheitlich gedacht und und umgesetzt werden.
Cyber Security Assessment
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Datum: 24.02.2026 - 10:38 Uhr
Sprache: Deutsch
News-ID 2233364
Anzahl Zeichen: 7286
Kontakt-Informationen:
Ansprechpartner: Estelle Ouhassi
Stadt:
Baar
Telefon: +41 (41) 74919-00
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 208 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"NIS2, CRA, KRITIS und der 6. März: Jetzt zählt die nachweisbare Umsetzung!"
steht unter der journalistisch-redaktionellen Verantwortung von
InfoGuard AG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
APIs bilden das digitale Nervensystem moderner Unternehmen. Sie verbinden Cloud-Dienste, KI-Anwendungen, Partnerplattformen und IoT-Systeme und sind damit geschäftskritisch für Verfügbarkeit und Datenflüsse. Als Schnittstelle zwischen Systemen, Daten und Geschäftsprozessen sind sie häufig nur
Email Spoofing: Weit verbreitete Fehlkonfiguration in Exchange Online ...
Vertrauen Sie darauf, dass eingehende E-Mails immer Ihr Mail-Gateway durchlaufen? Das InfoGuard Red Team hat eine weit verbreitete Fehlkonfiguration bei Exchange Online identifiziert, bei der E-Mails unter bestimmten Voraussetzungen direkt im Tenant landen – vorbei an SPF, DKIM, DMARC und Spamfilt
InfoGuard Threat Intelligence Report Q2/26: Europas Cyberrisiko, Salt Typhoon&Irans Rückkehr ...
Drei Monate nach dem Q1-Report hat die digitale Bedrohungslage Europas eine neue Qualität erreicht: Iran ist nach 47 Tagen digitaler Isolation wieder operativ, Salt Typhoon wurde erstmals offiziell in Skandinavien bestätigt und Russland testet destruktive OT-Angriffe unterhalb der NATO-Schwelle. P
Weitere Mitteilungen von InfoGuard AG
Zukunftsdialog auf Augenhöhe: Initiative Online Print lädt zu „Mind on Tap“ beim Online Print Summit 2026 ein ...
Unter dem Leitthema „Re:Inventing Print for the On-Demand Era“ trifft sich die europäische Onlineprint-Industrie am 11. und 12. März 2026 in der Alten Kongresshalle in München zum Online Print Summit (OPS). Die Initiative Online Print e.V. (IOP) gestaltet das Programm erneut aktiv mit und sch
Nordalp expandiert nach Großbritannien ...
Nordalp, ein europäischer Hersteller, der für seine robusten und langlebigen Industrieprodukte bekannt ist, gab heute die Eröffnung von Nordalp UK bekannt. Das Unternehmen wurde gegründet, um die wachsende Nachfrage auf dem britischen Markt zu bedienen. Die Leitung des neuen Standorts übernimmt
Zwischen Preisdruck und Plattformmacht ...
br /> Preisdruck und Plattformmacht schrumpfen die Margen: Große Marktplätze diktieren Preise, Gebühren und Sichtbarkeit. Wer nur über den Preis konkurriert, verliert dauerhaft Ertrag und Handlungsspielraum. Abhängigkeit vom Kundenzugang ist das Kernrisiko: Plattformen kontrollieren Daten un
PLS‘ UDE 2026 ermöglicht jetzt auch das Debuggen hocheffizienter embedded KI-Beschleuniger ...
Das von PLS Programmierbare Logik & Systeme auf der embedded world 2026 in Nürnberg in Halle 4, Stand 4-310 vorgestellte Debug-, Trace- und Test-Werkzeug UDE® Universal Debug Engine 2026 ermöglicht jetzt erstmals auch das Debuggen, die Laufzeitbeobachtung und die Validierung von speziellen, d
