Die regulatorische Schonfrist ist vorbei. NIS2, der Cyber Resilience Act (CRA) und das KRITIS-Dachgesetz machen Cyberresilienz zur verbindlichen Pflicht, auch für ausländische Leistungserbringer in Deutschland.
Bis zum 6. März 2026 ist die Registrierung beim BSI abzuschliessen. Entscheidend ist jedoch die nachweisbare Umsetzung. Was ist zu tun und wer ist betroffen? Eine Einordnung, Timeline der Fristen und strukturierte Anleitung.

NIS2, CRA und das KRITIS-Dachgesetz greifen auf unterschiedlichen Ebenen, verfolgen jedoch ein gemeinsames Ziel: nachweisbare Resilienz. Ihre Wirkung ist dauerhaft. Sie verlangen keine einmalige Umsetzung, sondern kontinuierliche Weiterentwicklung von Governance, Technik und Prozessen. Wer strukturiert vorgeht, reduziert gleichsam Cyber- wie auch regulatorische Risiken.

NIS2, CRA & KRITIS: Wer ist betroffen?

NIS2: Unternehmen in 18 Sektoren

Grösse: Ab 50 Mitarbeitenden oder 10 Millionen EUR Umsatz/Bilanzsumme (von verbundenen bzw. von Partner-Unternehmen; in Sektoren wie Energie, Verkehr, Gesundheit, digitale Infrastruktur, Produktion, Abfallwirtschaft).
Ausnahmen: Auch kleinere Unternehmen können betroffen sein, wenn sie als «besonders wichtig» eingestuft werden.
Ausländische Unternehmen: Gelten als betroffen, wenn sie Dienstleistungen in Deutschland erbringen und die Kriterien erfüllen.

CRA: Hersteller digitaler Produkte

Betroffen: Hersteller, Importeure und Distributoren von Hardware/Software mit Internet-/Netzwerkanbindung, die in der EU vermarktet werden.

KRITIS-Dachgesetz und CER-Richtlinie (Critical Entities Resilience)

Betroffen: Betreiber kritischer Infrastrukturen (z. B. Energie, Wasser, Transport).

NIS2, CRA & KRITIS: Was ist zu tun?

NIS2: 5 Kernanforderungen

Registrierungspflicht beim BSI: Alle betroffenen Unternehmen müssen sich bis 6. März 2026 im BSI-Portal registrieren (zweistufig: «Mein Unternehmenskonto» + BSI-Portal).
Risikomanagement: Umsetzung von 10 Kernmassnahmen (§ 30 BSIG-neu), z. B.:
▪️Incident Response
▪️Supply Chain Security
▪️Multi-Faktor-Authentifizierung
▪️Regelmässige Schulungen für Mitarbeiter
Meldepflichten: Erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI melden.
Dokumentation: Nachweis der Umsetzung (z. B. für Audits).
Persönliche Haftung: Geschäftsführer haften für Verstösse (§ 38 BSIG).

CRA: Pflichten für Hersteller

Schwachstellenmeldung: Ab September 2026 über EU-Plattform.
Produkt-Compliance: Neu in Verkehr gebrachte Produkte müssen ab Dezember 2027 alle CRA-Anforderungen erfüllen.

KRITIS-Dachgesetz und CER-Richtlinie

Physische Resilienz: Schutz vor Sabotage, Terror, Naturkatastrophen.
Risikoanalysen: Nationale Behörden identifizieren kritische Einrichtungen bis Juli 2026.

Regulatorische Timeline: Zentrale Fristen im Überblick

Wichtige Fristen für NIS2, CRA und KRITIS-Dachgesetz:

Regelung	Frist	Verantwortliche
NIS2-Umsetzungsgesetz in Kraft	seit 6. Dezember 2025	BSI/Bundesregierung
NIS2-Registrierung, 3 Monate nach Inkraftsetzung	bis 6. März 2026	Betroffene Unternehmen
BSI-Portal freigeschaltet	Januar 2026	BSI
CRA-Meldepflicht (Schwachstellen)	ab September 2026	BSI
CER-Risikoanalysen	bis 17. Juli 2026	Mitgliedstaaten/BSI
KRITIS-Dachgesetz in Kraft	29. Januar 2026	Bundesregierung

NIS2, CRA & KRITIS umsetzen: Vier Massnahmen

Betroffenheitsprüfung (sofort)

▪️Tool: BSI-NIS2-Check nutzen, um zu prüfen, ob das Unternehmen betroffen ist.

▪️Sektoren: Klären, ob das Unternehmen in einem der 18 regulierten Sektoren tätig ist.
Registrierung beim BSI (bis 6. März 2026)

▪️Schritt 1: Account bei «Mein Unternehmenskonto» (MUK) anlegen.

▪️ Schritt 2: Registrierung im BSI-Portal (ELSTER-Zertifikat + Passwort) bis 6. März 2026.
Umsetzung der Sicherheitsmassnahmen

▪️NIS2: Risikomanagement, technische Schutzmassnahmen, Schulungen.

▪️CRA: Schwachstellenprozesse etablieren, Produkt-Compliance vorbereiten.

▪️KRITIS: Physische Sicherheitskonzepte erstellen, Risikoanalysen durchführen.
Meldewesen aufbauen

▪️NIS2: 24h-Meldeprozess für Sicherheitsvorfälle (BSI-Portal).

▪️CRA: Vorbereitung auf Schwachstellenmeldungen ab September 2026.

NIS2, CRA & KRITIS: Vier konkrete Handlungsempfehlungen für Unternehmen

Jetzt handeln: NIS2 Betroffenheitsprüfung durchführen und Registrierung bis 6. März 2026 abschliessen.
Risikomanagement priorisieren: 10 Kernmassnahmen umsetzen, Dokumentation vorbereiten.
Meldeprozesse etablieren: 24h-Meldung für Vorfälle, CRA-Schwachstellenmeldungen ab September 2026.
Schulungen durchführen: Geschäftsführung und Mitarbeitende sensibilisieren.

Ausländische Unternehmen: Prüfen, ob NIS2/CRA-Pflichten aufgrund von Dienstleistungen in Deutschland gelten.

NIS2, CRA & KRITIS: Unser Fazit

NIS2, CRA und das KRITIS-Dachgesetz verlangen keine kurzfristige Reaktion, sondern eine strategische Verankerung. Wer regulatorische Anforderungen konsequent mit der eigenen Sicherheitsstrategie verzahnt, stärkt nicht nur die Compliance, sondern die Resilienz der gesamten Organisation.

Unsere Erfahrung aus zahlreichen Umsetzungsprojekten zeigt: Entscheidend ist ein strukturiertes Vorgehen, das regulatorische Vorgaben mit bestehenden Prozessen, Governance-Strukturen und technischen Massnahmen verbindet. Denn nachhaltige Lösungen entstehen dort, wo regulatorische, organisatorische und technische Aspekte ganzheitlich gedacht und und umgesetzt werden.