- NIS2 (EU 2022/2555): erweiterte Sektoren, Meldepflichten (Fruehwarnung 24 h, Meldung 72 h, Abschlussbericht 1 Monat). DE-Umsetzung (NIS2-Umsetzungsgesetz) und AT-Umsetzung in Arbeit/verzoegert; verpflichtet betroffene Einrichtungen zu Risikomanagement und Schwachstellenbehandlung.
- Cyber Resilience Act (CRA, EU 2024/2847): In Kraft seit 10.12.2024. Meldepflichten fuer aktiv ausgenutzte Schwachstellen: Fruehwarnung 24 h, Meldung 72 h, Abschlussbericht 14 Tage nach Verfuegbarkeit einer Abhilfemassnahme (bei schweren Vorfaellen Abschlussbericht 1 Monat nach der 72-h-Meldung). Reporting-Pflichten (Art. 14) gelten ab 11.09.2026 ueber die von ENISA betriebene Single Reporting Platform (Einfachmeldung an den Coordinator-CSIRT des Hauptsitzlands, zeitgleich an ENISA). Chapter IV (notifizierte Konformitaetsbewertungsstellen) ab 11.06.2026; volle CRA-Pflichten (secure-by-design, SBOM, Konformitaet, CE) ab 11.12.2027. Sanktionen: gemaess Art. 64(2) CRA Geldbussen bis 15 Mio. EUR oder, bei Unternehmen, bis 2,5% des weltweiten Jahresumsatzes des vorangegangenen Geschaeftsjahrs, je nachdem welcher Betrag hoeher ist.
- ENISA EUVD: europaeische Schwachstellendatenbank (NIS2-Mandat), ergaenzt CVE/NVD; relevant fuer CRA-Kontext. Die CRA-spezifische Single Reporting Platform ist davon technisch getrennt, aber komplementaer.
- NCSC.ch / BACS (Schweiz): Meldepflicht fuer Cyberangriffe auf kritische Infrastrukturen seit 01.04.2025, verankert im revidierten Informationssicherheitsgesetz (ISG) und der Cybersicherheitsverordnung (CSV). Erstmeldung binnen 24 h nach Entdeckung, Vervollstaendigung binnen 14 Tagen; Meldeformular ueber den Cyber Security Hub bzw. report.ncsc.admin.ch (alternativ E-Mail an notification@ncsc.ch). Es gilt eine sanktionsfreie Uebergangsfrist bis 01.10.2025; danach Bussen bis 100’000 CHF bei Nichtbefolgen einer rechtskraeftigen Verfuegung.
- DORA (EU 2022/2554): fuer Finanzdienstleister; ICT-Risikomanagement, Incident-Reporting, Threat-Led-Penetration-Testing; Schwachstellen-/Patch-Management als Pflicht.
- KRITIS (DE): BSI-Gesetz/KRITIS-Dachgesetz; Meldepflichten an BSI (CERT-Bund); Pflicht zur Stand-der-Technik-Schwachstellenbehandlung.
- Nationale CERTs DACH: NCSC.ch/GovCERT.ch (CH), CERT.at/nic.at (AT), BSI/CERT-Bund (DE), CERT@VDE (DE, Industrie-Koordinator).
- SBOM/VEX-Integration: SBOM-Formate CycloneDX und SPDX; VEX verknuepft Schwachstellen mit konkreten Produktstatus. CRA macht SBOM + maschinenlesbare Schwachstellenbehandlung faktisch zur Pflicht.
01 V3
Compliance & Meldepflichten (NIS2, CRA, NCSC.ch, DORA, KRITIS)
NIS2 (EU 2022/2555): erweiterte Sektoren, Meldepflichten (Fruehwarnung 24 h, Meldung 72 h, Abschlussbericht 1 Monat). DE Umsetzung (NIS2 Umsetzungsgesetz) und AT Umsetzung in …