NIS2 & CRA – jetzt wird es ernst

NIS2-Umsetzung in Deutschland erfolgt, erste CRA-Meldepflichten greifen bereits 2026

Über ein Jahr nach Ablauf der Umsetzungsfrist ging es am Ende nun doch ganz schnell: Nachdem das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements der Bundesverwaltung am 21. November den Bundesrat passiert hat, wurde selbiges am 5. Dezember 2025 im Bundesgesetzblatt veröffentlicht und ist sogleich am Folgetag, den 6. Dezember 2025, in Kraft getreten. Mangels Übergangsfristen wurden hiermit alle Regelungen des Umsetzungsgesetzes in Deutschland unmittelbar „scharfgeschaltet“. Für die Registrierung betroffener Unternehmen verbleibt nunmehr eine gesetzliche Frist von drei Monaten. Und auch die neu im BSIG, TKG und EnWG aufzufindenden Risikomanagementanforderungen, Meldepflichten und Geschäftsleitungspflichten müssen nunmehr erfüllt werden. Die Gewährleistung eines angemessenen Maßes an Cybersicherheit wurde in den betroffenen Einrichtungen damit zu einem verbindlichen Compliance-Thema.

Zum anderen werden ab dem 11. September 2026 erstmals auch Teile des Cyber Resilience Act (CRA) mit rechtlicher Verbindlichkeit hinterlegt. Der ab diesem Zeitpunkt unmittelbar anwendbare Art. 14 CRA verpflichtet Unternehmen dazu, aktiv ausgenutzte Schwachstellen in Produkten mit digitalen Elementen und schwerwiegende Sicherheitsvorfälle, die Auswirkungen auf die Sicherheit von Produkten mit digitalen Elementen haben, an die zuständigen Behörden (in Deutschland das BSI und die ENISA) und betroffene Nutzer zu melden. Die produktbezogenen Cybersicherheitsanforderungen und Anforderungen an die Behandlung von Schwachstellen greifen zu diesem Zeitpunkt zwar noch nicht. Die Information von betroffenen Nutzern über aktiv ausgenutzte Schwachstellen dürfte den Druck auf ein effektives Schwachstellenmanagement jedoch bereits zu diesem Zeitpunkt und über ein Jahr vor Anwendungsbeginn der diesbezüglichen gesetzlichen Anforderungen signifikant erhöhen.

NIS2 macht Cybersicherheit zur Chefsache

Mit Umsetzung der NIS2-Richtlinie wurde Cybersicherheit nicht nur zu einem Compliance-Thema, sondern auch zur Chefsache: § 38 Abs. 1 BSIG weist der Geschäftsleitung betroffener Unternehmen explizit die Verantwortung für die Umsetzung der geforderten Risikomanagementmaßnahmen zu. Die Einschaltung von Hilfspersonen ist zwar nach wie vor möglich, ändert jedoch nichts an der Letztverantwortlichkeit der Geschäftsleitung und am Verbleib eines nicht delegierbaren Aufgabenfeldes auf Leitungsebene. Die hierfür erforderliche Expertise muss durch regelmäßige Teilnahme an Schulungen zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich Cybersicherheit sichergestellt werden, siehe § 38 Abs. 3 BSIG.

Die Teilnahme an den gesetzlichen Anforderungen entsprechenden Schulungen stellt einen wesentlichen Baustein zur Enthaftung der Leitungsebene unter NIS2 dar und sollte daher – sofern noch nicht geschehen – zeitnah sichergestellt werden. In Bezug auf die konkrete Ausgestaltung des gesetzlich geforderten Risikomanagements fehlt es jenseits des digitalen Sektors gegenwärtig zwar noch an handfesten Spezifizierungen der gesetzlichen Vorgaben. Unter Berücksichtigung der gesetzlichen Anforderungen des § 30 BSIG und unter Rückgriff auf etablierte Risikomanagementstandards wie ISO 27001 ff. oder den IT-Grundschutz des BSI stehen betroffenen Einrichtungen jedoch hinreichende Werkzeuge zur Verfügung, um ein NIS2-konformes Risikomanagement auf die Beine zu stellen und fortlaufend zu betreiben. Wichtig dabei ist es, dem gesetzlich geforderten ganzheitlichen und systematischen Ansatz folgend sicherzustellen, dass

• sich das Risikomanagement auf sämtliche Aktivitäten der Einrichtung, für die IT-Systeme eingesetzt werden, und nicht nur Systeme, die für die Erbringung der unter NIS2 fallenden Leistungen genutzt werden, erstreckt, 
• in der Risikoanalyse dem All-Gefahren-Ansatz folgend alle potentiell bestehenden Risiken für die Netz- und Informationssysteme des Unternehmens, die die Vertraulichkeit, Integrität und Verfügbarkeit der Geschäftsprozesse, Daten und Systeme gefährden können, in den Blick genommen werden, und
• die identifizierten Risiken mit angemessenen, dem aktuellen Stand der Technik entsprechenden technischen oder organisatorischen Maßnahmen auf ein akzeptables Maß reduziert werden.

Umsetzung der Anforderungen des CRA

Neben der Implementierung der erforderlichen Strukturen und Prozesse, um die mit ambitionierten Erstmeldefristen von 24 Stunden versehenen Meldepflichten des Art. 14 CRA ab dem 11. September 2026 erfüllen zu können, sollten auch die ab dem 11. Dezember 2027 anwendbaren produktbezogenen Cybersicherheitsanforderungen und Schwachstellenmanagementanforderungen bereits jetzt in den Blick genommen werden. Dies gilt insbesondere insofern, als die Cybersicherheitsanforderungen des CRA (wie beispielsweise die Security-by-Design-Anforderungen) zu einem sehr frühen Zeitpunkt in die Design-Phase des Produktentwicklungsprozesses einfließen müssen.

Die Spezifizierung dieser Anforderungen durch CEN, CENELEC und ETSI steht zwar noch aus (der jeweils aktuelle Stand der Standardisierungsvorhaben ist auf dem „Standardisation Dashboard“ des BSI einsehbar). Dies hindert gleichwohl nicht daran, sich bereits jetzt einen Überblick über das vom CRA erfasste Produktportfolio des Unternehmens zu verschaffen und auf Grundlage der bis dato verfügbaren Guidelines, zum Beispiel der vom BSI veröffentlichten Technischen Richtlinie TR-03183, mit der Umsetzung der Anforderungen zu beginnen, um sicherzustellen, dass die ab dem 11. Dezember 2027 in den Verkehr gebrachten Produkte den Anforderungen des CRA entsprechen.