EU Cybersecurity Act 2
Von Henri Jäger am 28. Januar 2026
Der EU Cybersecurity Act (CSA) ist das europäische Rahmenwerk für Cybersecurity. EU CSA legte 2019 die Grundsteine für umfangreiche Cybersecurity-Regulierung und Governance in der EU und wird 2026 mit dem CSA2 überarbeitet.
Mit EU CSA2 sollen ICT-Lieferketten in der EU gestärkt und geschützt werden, Zertifizierungen für und Compliance mit EU-Regulierungen erleichtert und vor allem die Rolle der ENISA gestärkt werden.
- ICT Toolbox: CSA2 führt ein EU-weites Rahmenwerk zum Schutz kritischer Lieferketten in den NIS2-Sektoren ein. Damit sollen kritische ICT-Supplier (IT-Provider, Cloud, ...) durch Bewertungen auf EU-Ebene identifiziert und geschützt (reguliert) werden können.
- Hoch-Risiko Lieferanten: Neue Mechanismen für Lieferanten und Dienstleister mit Sitz in oder Kontrolle durch Drittländern. Dafür soll es Listen und Kontrollmechanismen durch die EU geben. (Potenzielle Schnittmenge zu Kritische Komponenten und Souveränitätsdebatte.)
- European Cybersecurity Certification Framework: Die Nutzung von Zertifizierungen im Rahmen von EU CSA und EU-Regulierungen soll deutlich vereinfacht werden – mit (neuen) Zertifizierungsschemata für Klassen von IT-Anbietern, Wirksamkeit, Cyber-Posture u.v.m.
- ENISA in CSA2: Die operativen Aufgaben und das Mandat der ENISA für Warnungen, Koordinieren von Schwachstellen, Support, und Tools und Plattformen für die Cyber Posture der EU.
- EU NIS2: Die 2023 in Kraft getretene EU NIS2 Richtlinie soll mit CSA2 überarbeitet werden
EU CSA2 wird aktuell als Vorschlag der Kommission zwischen Rat und EU Parlament verhandelt (im Trialog) – mit noch viel Abstimmungsbedarf und unterschiedlichen Positionen.
KRITIS-Dachgesetz in 2026
Von Paul Weissmann am 27. Januar 2026
Für das KRITIS-Dachgesetz gibt es Ende Januar 2026 eine neuerliche Änderungsversion der Regierungsfraktionen.
Damit wird in Teilen auch auf die Kommentare des Bundesrats Ende 2025 eingegangen, dass die Schwellenwerte von 500.000 versorgten Bürgern zu hoch
seien.
Die Änderungen in 2026 betreffen vor allem die Logik der Festlegung kritischer Anlagen – die deutlich um Länderzuständigkeiten erweitert wird.
- Betreiber, die unterhalb von KRITIS-Schwellenwert kritisch werden, können neben dem BMI, falls der Sektor auf Bundesebene reguliert wird auch durch Länder (!) bestimmt werden.
- Länder können Betreiber unterhalb von Schwellenwerten mittels einer neuer Rechtsverordnung bestimmen, falls die zuständige Behörde eine Landesbehörde ist.
- Betreiber kritischer Anlagen, durch Landesbehörden mit anderen Nachweisen
- Kritische Komponenten müssen bei der Registrierung mitgemeldet werden (an das BSI)
- Anpassungen der Meldepflicht an das BBK: Weiterleitungen, Lagebilder
- Erhöhung der Geldbußen auf bis zu 1 Mio. EUR
- Anpassung der Definitionen kritische Anlagen (KRITIS-Anlagen) auch im BSI-Gesetz
- Anpassung der Registrierung Betreiberm kritischer Anlagen auch im BSI-Gesetz
- Fristen wurden entschärft – viele Daten liegen nun unbestimmter und/oder in der Zukunft: Nationale Risikoanalysen, Nationale Resilienzstrategie
Die Sektoren mit Zuständigkeit von Landesbehörden sind, nach den letzten Entwürfen: Gesundheitswesen, Wasser, Ernährung, Entsorgung, und einige noch unbestimmte Dienstleistungen. Die Anlagendefinitionen in einer neuen KRITIS-Verordnung fehlen allerdings noch.
Ein baldiges Inkrafttreten nun scheint möglich. Weitere Gesetze werden dann auch geändert.
Aktualisierung von EU NIS2 in 2026
Von Paul Weissmann am 25. Januar 2026
Die EU NIS2-Richtlinie soll 2026, zwei Jahre nach Inkraftreten in der EU überarbeitet werden. Im Rahmen des Cyber Security Act 2 (EU CSA2) von Anfang 2026 schlägt die Kommission Anpassungen und Erweiterungen von NIS2 vor. Die Betroffenheit von NIS2 soll etwas abgeschwächt und damit die Wirtschaft und Aufsichtsbehörden entlasten werden.
- Anpassung des Scopes betroffener Unternehmen – höhere Grenzen Essential Entities
- Betroffenheit von Einrichtungen von strategic dual-use infrastructure
- Neue Entities in Scope – Business und Identity Wallets
- Auschluss von kleinen und
micro-
DNS-Anbietern - Berücksichtigung von Post-Quanten-Kryptographie in nationalen Cyberstrategien
- Harmonisierung der Implementing Acts und Maßnahmen
- Koordinierte Datensammlung für Ransomware-Angriffe
Die Grenzen der großen Unternehmen, die Essential Entities werden, sollen im NIS2-Update 2026 erhöht werden, wozu die small mid-cap enterprises neu eingeführt werden. Die Grenzen der Essential Entities als Großunternehmen werden dann oberhalb der small mid-cap neu definiert.
An den größenunabhängig regulierten Essential Entities soll es auch Änderungen geben. Weitere Änderungen sollen noch im Energiesektor vorgenommen werden, mit einem Schwellenwert von 1 MW für Einrichtungen sowie neu betroffene Unterseekabel.
Die Kommission soll für EU Implementing Acts regelmäßig die Notwendigkeit von sektoralen oder Einrichtungs-spezifischen Maßnahmenkatalogen prüfen, Mitgliedsstaaten sollen Maßnahmen und Bedrohungen von Post-Quanten-Kryptographie in ihren nationalen Cyber-Strategien berücksichtigen.
NIS2-reguliert – und nun?
Von Paul Weissmann am 21. Januar 2026
Seit Ende 2025 fallen Tausende Unternehmen in Deutschland unter die NIS2-Regulierung: Betreiber kritischer Anlagen (KRITIS) und viele Unternehmen in NIS2-Sektoren. Nach der eigenen Identifikation müssen sich betroffene Unternehmen in drei Monaten – bis 6. März 2026 beim BSI registrieren.
Dann folgen Pflichten und Cybersecurity unmittelbar nach Registrierung: Meldung von Sicherheitsvorfällen, Umsetzung der Maßnahmen sowie Nachweise und Audits (KRITIS). Eine Übersicht:
| Pflicht | Handlung | Verantwortlich (A) (R) |
Dritte (C/I) |
Wann | |
|---|---|---|---|---|---|
| Identifikation | Betroffenheit Einrichtung Betroffenheit Anlagen† |
GF | jährlich bei Änderungen |
||
| Registrierung | Registrierung Einrichtung beim BSI Registrierung Anlagen† beim BSI/BBK |
GF | BSI BBK |
nach Identifikation bei Änderungen |
|
| Geltungsbereich | Anlagen und eigenen Scope definieren im Unternehmen | GF | Stabsstelle CISO |
nach Identifikation bei Änderungen |
|
| Meldepflicht | Erhebliche Sicherheitsvorfälle Vorfälle† |
GF | CISO SOC |
BSI BBK |
unverzüglich |
| Komponenten | Freigabe Kritische Komponenten† | GF | Stabsstelle CISO |
BMI | vor Einsatz |
| Cybersecurity | Maßnahmen §30 BSIG umsetzen | GF | Fachbereiche CISO |
regelmäßig | |
| Resilienz | Maßnahmen §30 BSIG umsetzen Maßnahmen DachG umsetzen† |
GF | Fachbereiche CISO |
regelmäßig | |
| Angriffserkennung | Maßnahmen §31 BSIG und OH SzA† | GF | SOC/CISO | regelmäßig | |
| Dokumentation | Nachweis Umsetzung BSIG | GF | CISO | (BSI) | regelmäßig |
| Prüfungen | Audit Umsetzung BSIG in Anlagen† Audit Umsetzung DachG in Anlagen† |
GF | Prüfer | BSI BBK |
alle 3 Jahre |
| Reifegrade | Reifegrade BSI RUN† | GF | Prüfer | BSI | Prüfungen |
| Betriebsführung | Betriebsführung im EnWG | GF | Betriebsführer | BNetzA | konstant |
| Bußgelder | Sanktionen Verstöße BSIG Sanktionen Verstöße DachG† |
GF | BSI BBK |
bei Anlaß | |
NIS2 und der CS&R in Großbritannien
Von Paul Weissmann am 19. Januar 2026
Während die NIS2-Umsetzung in der EU im Gange ist, arbeitet auch Großbritannien an NIS2 und aktualisiert die Regulierung Kritischer Infrastrukturen mit NIS2-artigen Verpflichtungen.
Die Vorgaben aus EU NIS (2016) hat UK mit der eigenen NIS-Verordnung 2018 umgesetzt. Obwohl nicht mehr Teil der EU, besteht für Großbritannien weiterhin der Anreiz, sich an NIS2-ähnliche Cyber-Vorgaben anzupassen. Dies verringert die Hürden in der der Compliance britischer Unternehmen, die auf dem britisch-europäischen Markt tätig sind – als Betreiber und als Dienstleister.
In 2024 versprach die britische Regierung, dass das NIS-Regime von 2018 dringend aktualisiert werden müsse. Diese Aktualisierung durch den Cyber Security and Resilience Bill (CS&R Bill) nimmt Gestalt an. Das Gesetz wurde im November 2025 ins Unterhaus eingebracht und wird voraussichtlich 2026 vom Parlament verabschiedet.
Die britische NIS-Regulierung ändert sich durch CS&R deutlich:
- Ausweitung des Geltungsbereichs über Betreiber wesentlicher Dienste hinaus – Erweiterung der britischen Sektoren und Ergänzung einiger digitaler Anbieter und Dienste
- Neue Regulierung von designierte kritische Lieferanten als direkten Hebel für eine kleine Anzahl von Lieferanten mit großer Wirkung, einschließlich grenzüberschreitender Lieferketten
- NIS2-ähnliche zweistufige Struktur für die Meldung von Vorfällen (24/72 Stunden)
- Stärkere Befugnisse der Regulierungsbehörden (Informationsaustausch, Durchsetzungs, Kosten)
- NIS2-ähnliche umsatzabhängige Sanktionen
- Flexibilität in der Anpassung von Schwellenwerten und Anforderungen in sekundären Vorschriften
NIS2 in Deutschland verkündet
Von Paul Weissmann am 5. Dezember 2025
Das NIS2-Umsetzungsgesetz wurde am 5. Dezember 2025 im Bundesgesetzblatt veröffentlicht und damit verkündet. Die NIS2-Umsetzung tritt nun nach jahrelanger Gesetzgebung endlich in Deutschland in Kraft, mit vielen geänderten Gesetzen wie dem neuen BSIG, EnWG und TKG.
In der deutschen NIS2-Umsetzung gibt es keine Übergangsfristen mehr für regulierte Unternehmen: Tausende Einrichtungen müssen sich identifizieren, registrieren und dann alle NIS2 Cybersecurity-Pflichten umsetzen – vom Risikomanagement über ISMS und Resilienz bis zu SSO und MFA.
| Pflicht | Kritische Anlagen | Einrichtungen |
|---|---|---|
| Geltungsbereich | Anlage | Unternehmen |
| Maßnahmen Risikomanagement §30 | * | ✓ |
| Höhere Maßstäbe für KRITIS §31 (1) | ✓ | |
| Besondere Maßnahmen SzA §31 (2) | ✓ | |
| Meldepflichten §32 | * | ✓ |
| Registrierung §33 §34 | ✓ | ✓ |
| Unterrichtungspflichten (Kunden) §35 | * | ✓ |
| Geschäftsleitung Umsetzung §38 | * | ✓ |
| Nachweise und Prüfungen §39 | ✓ | §61§62 |
Offen bleiben noch einige Folgeregelungen durch Gesetzgeber und Bundesverwaltung: Das KRITIS-Dachgesetz für mehr Resilienz und physische Sicherheit, tiefer angepasste KRITIS-Verordnung und noch notwendige Sicherheitsstandards und weitere IT-Sicherheitskataloge.
Das OpenKRITIS-Betreiberforum
Von Paul Weissmann am 2. Dezember 2025
Das OpenKRITIS Betreiberforum ist ein interaktives Austauschformat für regulierte Unternehmen, die gemeinsam Fragen rund um NIS2 und KRITIS und aktuelle Themen diskutieren wollen.
Das Ziel ist, von anderen Betreibern zu lernen – in einer Gruppe mit Gleichgesinnten. Dabei können eigene Fallbeispiele eingebracht und viele Fragen gestellt werden. Das Betreiberforum findet ab Februar 2026 alle zwei Monate in Köln mit Anmeldung pro Termin statt. Es richtet sich an direkt regulierte Einrichtungen in NIS2 und KRITIS. Vorwissen und aktives Einbringen sind erwünscht.
| ID | Schwerpunkt | Themen |
|---|---|---|
| Februar 2026 | NIS2-Programme |
|
| März 2026 | Prüfungen in NIS2 |
|
| Q2 2026 | BCM in NIS2 |
|
| Q2 2026 | Vorfälle und Sensorik |
|
| Q2-Q3 2026 | KRITIS-Dachgesetz |
|
| Q2-Q3 2026 | Kritische Komponenten |
|
Cyber Resilience Act: EU CRA
Von Henri Jäger am 1. Dezember 2025
Der EU Cyber Resilience Act (EU CRA) schafft in der EU einen einheitlichen Rechtsrahmen für Cybersicherheit von Produkten mit digitalen Elementen. Mit CRA werden Hersteller zur sicheren Entwicklung von digitalen Produkten und zum Support über den gesamten Lebenszyklus für Cybersicherheit dieser Produkte verpflichtet.
EU CRA wurde im Oktober 2024 vom Europäischen Rat verabschiedet und tritt in Stufen bis Dezember 2027 in kraft. EU CRA kann als Ergänzung zur EU NIS2 Richtlinie gesehen werden, welche umfassende Anforderungen an Cybersecurity bei Betreibern in der EU macht, jedoch keine Anforderungen an Sicherheit von Produkten enthält. Dies soll der CRA ergänzen.
Hersteller regulierter Produkte müssen Cybersecurity-Pflichten umsetzen, Cybersecurity-Risiken bewerten und viel dokumentieren und bewerten (lassen). Regulierte Unternehmen und Betreiber nach NIS2 und KRITIS sind indirekt von CRA betroffen – bei der Beschaffung regulierter Produkten und Überschneidungen mit kritischen Komponenten.
| Gruppe | CRA | Anforderung | |
|---|---|---|---|
| Produkte | Annex I Part I | Cybersecurity in Produkten | |
| Hersteller | Art. 13 Art. 14 Annex I Part II Art. 31 Annex VII |
Cybersecurity bei Herstellern Meldepflichten Schwachstellenmanagement Technische Dokumentation Detaillierte Technische Dokumentation |
|
| Einfuhr und Handel | Art. 19 Art. 20 |
Pflichten in der Einfuhr Pflichten im Handel |
|
| Konformität | Art. 32 Annex VIII Art. 28 |
Konformitätsbewertung Bewertungsschema (Modul A, B, C, H) Konformitätserklärung |
|
| Betreiber und Einrichtungen |
- §41 BSIG-E Art. 8 (2) |
Einkauf und Beschaffung Kritische Komponenten Kritische Produkte |
NIS2 und KRITIS bis Ende 2025
Von Paul Weissmann am 27. November 2025
Das NIS2-Umsetzungsgesetz hat mittlerweile Bundestag und Bundesrat passiert und wird wohl Ende 2025 verkündet – mit sehr baldigem Inkrafttreten. Nach der de-facto Übergangsphase seit Oktober 2024 kommt auf regulierte Unternehmen ab Ende 2025 einiges zu – vieles davon sehr bald.
- In der NIS2-Umsetzung gibt es keine Übergangsfristen: Für Tausende Unternehmen gilt es zu identifizieren, registrieren (3 Monate) und dann alle NIS2 Cybersecurity-Pflichten.
- Das KRITIS-Dachgesetz naht auch. Für Betreiber kritischer Anlagen (KRITIS) kommen dann noch detailliertere Resilienz und physische Schutzmaßnahmen dazu.
- Der Energiesektor darf noch auf neue IT-Sicherheitskataloge der BNetzA warten: Anpassung an NIS2, Integration KRITIS-Dachgesetz, Nachweise sowie kritische Komponenten.
- Für Cloudbetreiber und IT-Provider gilt zusätzlich der Implementing Act der EU mit genauen NIS2-Vorgaben und Meldepflichten.
- KRITIS-Anlagen und Schwellenwerte werden in neuen KRITIS-Verordnungen noch angepasst. Die Sektoren eigentlich auch, aber in welche Richtung die Änderungen gehen – noch offen.
- Die EU hat beim Vertragsverletzungsverfahren und der Notifizierung der Gesetze mitzureden. Und andere EU-Länder und deren Unternehmen warten, dass es endlich ein belastbares Gesetz gibt.
Es bleibt viel zu tun!
NIS2 im Bundestag angenommen
Von Paul Weissmann am 13. November 2025
Der Bundestag hat am 13. November 2025 die finale Version der deutschen NIS2-Umsetzung (21/2782) angenommen. Damit geht eine lange Wartezeit und Periode der Gesetzgebung zu Ende – mehr als ein Jahr nach EU-Frist zur nationalen NIS2-Umsetzung. NIS2 wird damit hoffentlich Ende 2025 oder Anfang 2026 in Kraft treten.
Die Änderungen der letzten Gesetzesentwürfe und Änderungsanträge waren für die regulierte Wirtschaft überschaubar – Cybersicherheit und Betroffenheit wird wie seit spätestens 2024 bekannt. Es bleibt bei flächendeckender Betroffenheit der Wirtschaft (über 30 Tsd. Unternehmen) und großen Auswirkungen innerhalb regulierter Unternehmen.
Unternehmen müssen sich nun zeitnah identifizieren, bei den Behörden registrieren und notwendige Cybersecurity- und Resilienzmaßnahmen umsetzen. Änderungen ergaben sich bei kritischen Komponenten, offene Fragen bleiben bei vernachlässigbaren Tätigkeiten, der KRITIS-Verordnung sowie dem KRITIS-Dachgesetz für Resilienz und physische Sicherheit, was (auch) überfällig ist.
KRITIS in Zahlen – Reifegrade Herbst 2025
Von Paul Weissmann am 16. August 2025
Neue KRITIS in Zahlen vom BSI aus dem Herbst 2025 – mit aktuellen Werten zu Betreibern, Anlagen und Reifegraden in Deutschland. Die Zahlen wurden mit Stand September 2025 aktualisiert: nur wenig Änderungen, aber einige Abmeldungen.
Mitte 2025 gab es 1.209 Betreiber (Dopplungen möglich) mit 2.135 KRITIS-Anlagen mit nur leicht veränderten Reifegraden im ISMS, BCMS und SzA. Einige Verschiebungen der Reifegrade im Sektor Gesundheit und Abmeldung von vielen Reifegraden im Sektor Finanzen, wohl durch DORA. Keine Gewähr auf Vollständigkeit oder Korrektheit der Auswertung oben.