Cyber Resilience Act und NIS-2: Synergien und Unterschiede der EU-Cybersicherheitsregulierung

Die Europäische Union hat mit dem Cyber Resilience Act (CRA) und der NIS-2-Richtlinie zwei zentrale Säulen ihrer Cybersicherheitsstrategie etabliert. Für Unternehmen stellt sich die Frage: Welche Anforderungen gelten für wen, wo überschneiden sich die Regelwerke und wie lassen sich Compliance-Maßnahmen effizient umsetzen? Dieser Artikel analysiert die wesentlichen Gemeinsamkeiten und Unterschiede beider Rechtsakte und zeigt Handlungsoptionen für betroffene Organisationen auf.

Regulatorischer Hintergrund: Die EU-Cybersicherheitsstrategie

Beide Regelwerke entstammen der EU-Cybersicherheitsstrategie aus dem Jahr 2020. Die Kommission identifizierte darin Cybersicherheit als eine der größten Herausforderungen für die Union. Die statistischen Grundlagen sprechen eine deutliche Sprache: Alle elf Sekunden erfolgt ein Cyberangriff, die resultierenden Schäden übersteigen jährlich fünf Billionen Euro. Diese Zahlen verdeutlichen den dringenden Handlungsbedarf auf europäischer Ebene.

Die Antwort der EU besteht in einem komplementären Ansatz: Während die NIS-2-Richtlinie die Widerstandsfähigkeit von Unternehmen und deren Netz- und Informationssysteme adressiert, zielt der CRA auf die inhärente Sicherheit digitaler Produkte ab. Beide Regelwerke ergänzen sich somit und schaffen gemeinsam einen holistischen Cybersicherheitsrahmen für den europäischen Binnenmarkt.

Der Cyber Resilience Act im Überblick

Der CRA wurde am 20. November 2024 im Amtsblatt der EU veröffentlicht (Verordnung (EU) 2024/2847) und trat am 10. Dezember 2024 in Kraft. Als EU-Verordnung gilt er unmittelbar in allen Mitgliedstaaten ohne nationale Umsetzungsgesetze. Die EU-Kommission stellt umfassende Informationen zur Umsetzung bereit.

Anwendungsbereich und betroffene Akteure

Der CRA erfasst sämtliche Produkte mit digitalen Elementen, die direkt oder indirekt mit einem Gerät oder Netzwerk verbunden werden können. Dies umfasst vernetzte Hardwareprodukte wie Smartphones, Laptops, Smart-Home-Geräte, Smartwatches, vernetztes Spielzeug, Mikroprozessoren, Firewalls und Smart-Meter-Gateways ebenso wie reine Softwareprodukte einschließlich Buchhaltungssoftware, Computerspiele und mobile Applikationen.

Die Verpflichtungen richten sich primär an drei Adressatenkreise: Hersteller, die Produkte entwickeln, produzieren oder unter eigenem Namen vermarkten; Importeure, die Produkte aus Drittstaaten in den EU-Markt einführen; sowie Händler, die Produkte innerhalb der EU vertreiben. Größenbezogene Ausnahmen existieren nicht.

Produktkategorien und Risikoklassen

Der CRA differenziert zwischen vier Risikoklassen mit unterschiedlichen Konformitätsanforderungen. Nicht-kritische Produkte umfassen typische Konsumentengeräte wie smarte Fernseher, Spielekonsolen, Hausautomatisierungssysteme oder Fotobearbeitungssoftware. Für diese genügt eine Selbstbewertung des Herstellers.

Kritische Produkte der Klasse I gemäß Anhang III beinhalten digitale Produkte der industriellen Automatisierung und Gebäudeautomatisierung, darunter Router, VPN-Lösungen, Firewalls, Passwort-Manager und Identitätsmanagementsysteme. Diese erfordern mindestens eine standardisierte Konformitätsbewertung oder eine Prüfung durch Dritte.

Kritische Produkte der Klasse II nach Anhang III umfassen digitale Produkte für kritische Infrastrukturen wie IoT-Komponenten und Betriebssysteme. Für hochkritische Produkte werden derzeit noch detaillierte Kriterien definiert.

Kernpflichten für Hersteller

Die zentralen Anforderungen des CRA lassen sich in drei Bereiche gliedern. Der Grundsatz Security by Design und Security by Default verlangt, dass Sicherheitsaspekte bereits in den Phasen Planung, Entwurf, Entwicklung und Produktion berücksichtigt werden. Das Vulnerability- und Incident-Management erfordert ein systematisches Schwachstellenmanagement sowie die Identifikation und Meldung von Sicherheitsvorfällen an das zuständige CSIRT und die ENISA (Agentur der Europäischen Union für Cybersicherheit). Der Produktsupport verpflichtet Hersteller zur Bereitstellung kostenloser Sicherheitsupdates über die erwartete Produktlebensdauer oder mindestens fünf Jahre ab Inverkehrbringen.

Zusätzlich müssen Hersteller eine Software Bill of Materials (SBOM) erstellen und pflegen sowie die CE-Kennzeichnung um den Aspekt Security erweitern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit der Technischen Richtlinie TR-03183 eine praxisnahe Orientierungshilfe für die Umsetzung.

Umsetzungsfristen

Die gestaffelte Implementierung sieht folgende Meilensteine vor: Ab dem 11. Juni 2026 können Konformitätsbewertungsstellen die Erfüllung der CRA-Anforderungen prüfen. Ab dem 11. September 2026 greifen die Meldepflichten für Schwachstellen und Sicherheitsvorfälle über die zentrale Meldeplattform. Ab dem 11. Dezember 2027 gelten sämtliche CRA-Anforderungen vollumfänglich, einschließlich der grundlegenden Cybersicherheitsanforderungen vor dem Inverkehrbringen.

Die NIS-2-Richtlinie im Überblick

Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) ist die Nachfolgerin der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Sie wurde am 27. Dezember 2022 im Amtsblatt veröffentlicht und trat am 16. Januar 2023 in Kraft.

Rechtscharakter und nationale Umsetzung

Als EU-Richtlinie erfordert NIS-2 die Umsetzung in nationales Recht. Die Mitgliedstaaten hatten hierfür eine Frist bis zum 17. Oktober 2024. Da zahlreiche Staaten diese Frist nicht einhielten, leitete die Europäische Kommission im November 2024 Vertragsverletzungsverfahren ein. In Deutschland wurde das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) beschlossen und ist seit dem 6. Dezember 2025 in Kraft. Die darin enthaltenen Pflichten für betroffene Unternehmen sind damit rechtlich verbindlich. Das BSI stellt Informationen zur NIS-2-Umsetzung und Registrierung bereit.

Anwendungsbereich und betroffene Einrichtungen

NIS-2 adressiert öffentliche und private Einrichtungen in 18 kritischen Sektoren, darunter Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, ICT-Dienstleistungsmanagement, öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallwirtschaft, chemische Industrie, Lebensmittelproduktion, verarbeitendes Gewerbe, digitale Anbieter sowie Forschung.

Die Richtlinie unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Die Schwellenwerte liegen bei mindestens 50 Beschäftigten oder einem Jahresumsatz von mindestens 10 Millionen Euro.

Kernpflichten für betroffene Einrichtungen

Die NIS-2-Richtlinie verpflichtet Einrichtungen zur Implementierung eines umfassenden Risikomanagementsystems für die Sicherheit ihrer Netz- und Informationssysteme. Hinzu kommen Meldepflichten für erhebliche Sicherheitsvorfälle an die zuständigen nationalen Behörden sowie die Berücksichtigung der Lieferkettensicherheit. Das Management trägt die persönliche Verantwortung für die Umsetzung der Cybersicherheitsmaßnahmen.

Artikel 24 der Richtlinie enthält zudem die Möglichkeit für Mitgliedstaaten, von Unternehmen die Verwendung zertifizierter IKT-Produkte, -Dienste und -Prozesse zu verlangen, die im Rahmen europäischer Cybersicherheitszertifizierungssysteme gemäß dem Cybersecurity Act (CSA, Verordnung (EU) 2019/881) zertifiziert wurden.

Synergien zwischen CRA und NIS-2

Die beiden Regelwerke verfolgen ein gemeinsames übergeordnetes Ziel: die Erhöhung des Cybersicherheitsniveaus in der Europäischen Union. Ihre komplementäre Konzeption ermöglicht eine ganzheitliche Absicherung auf verschiedenen Ebenen.

Komplementärer Regulierungsansatz

Die wesentliche Synergie liegt in der Verzahnung von Produkt- und Betriebssicherheit. Während der CRA die inhärente Sicherheit digitaler Produkte von der Entwicklung bis zum Ende des Lebenszyklus regelt, adressiert NIS-2 die kontinuierliche Betriebsstabilität und Widerstandsfähigkeit der Organisationen, die diese Produkte einsetzen. Diese Arbeitsteilung lässt sich prägnant zusammenfassen: Der CRA schützt die Produkte, NIS-2 schützt die Unternehmen.

Lieferkettensicherheit als gemeinsamer Nenner

Beide Regelwerke betonen die Bedeutung der Lieferkettensicherheit. NIS-2 verpflichtet betroffene Einrichtungen zur Bewertung der Cyber-Risiken ihrer Zulieferer und Dienstleister. Der CRA fordert von Herstellern die Berücksichtigung von Komponenten Dritter und die Dokumentation aller digitalen Bestandteile in einer SBOM. Diese konvergierenden Anforderungen ermöglichen einen integrierten Ansatz für das Supply Chain Risk Management.

Verbindung über Zertifizierungssysteme

Der Cybersecurity Act (CSA) bildet eine weitere Brücke zwischen beiden Regelwerken. NIS-2 ermöglicht Mitgliedstaaten, den Einsatz CSA-zertifizierter Produkte vorzuschreiben. Der CRA wiederum sieht vor, dass bei Produkten mit EU-Konformitätserklärung oder Zertifikat im Rahmen eines europäischen Cybersicherheits-Zertifizierungssystems die Vermutung der Konformität mit den CRA-Anforderungen besteht. Diese Verzahnung schafft Synergien bei der Nachweisführung und reduziert redundante Prüfungen.

Effizienzpotenziale bei der Umsetzung

Organisationen, die sowohl CRA als auch NIS-2 unterliegen, können durch einen integrierten Compliance-Ansatz erhebliche Effizienzpotenziale realisieren. Ein zentrales Informationssicherheits-Managementsystem (ISMS) kann die Anforderungen beider Regelwerke abdecken. Risikoanalysen, Incident-Response-Prozesse und Dokumentationspflichten lassen sich harmonisieren. Investitionen in Cybersicherheitsmaßnahmen zahlen gleichzeitig auf beide Compliance-Ziele ein.

Unterschiede zwischen CRA und NIS-2

Bei aller Komplementarität weisen die Regelwerke signifikante strukturelle und inhaltliche Unterschiede auf.

Rechtsform und Umsetzung

Der fundamentalste Unterschied liegt in der Rechtsform. Der CRA ist eine EU-Verordnung und gilt unmittelbar in allen Mitgliedstaaten ohne nationalen Umsetzungsakt. NIS-2 ist eine EU-Richtlinie, die in nationales Recht überführt werden muss, wodurch Abweichungen zwischen den Mitgliedstaaten möglich sind.

Regulierungsfokus

Der CRA ist produktbezogen und adressiert die Cybersicherheit von Produkten mit digitalen Elementen unabhängig von der Branche. NIS-2 ist organisationsbezogen und fokussiert auf die Sicherheit von Netz- und Informationssystemen bestimmter Einrichtungen in definierten Sektoren. Diese unterschiedliche Perspektive führt zu unterschiedlichen Pflichten: Produktsicherheit über den gesamten Lebenszyklus versus kontinuierliche organisatorische Cybersicherheit.

Adressatenkreise

Der CRA betrifft Hersteller, Importeure und Händler von Produkten mit digitalen Elementen ohne Größenschwellen. NIS-2 betrifft wesentliche und wichtige Einrichtungen in 18 kritischen Sektoren ab bestimmten Größenschwellen (50 Beschäftigte oder 10 Millionen Euro Umsatz). Die Schnittmenge beider Regelwerke ist durchaus erheblich: Unternehmen, die sowohl vernetzte Produkte herstellen als auch zu den kritischen Sektoren zählen, müssen beide Regelwerke erfüllen.

Sanktionsrahmen

Die Bußgeldrahmen unterscheiden sich: Der CRA sieht Strafen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes vor. NIS-2 differenziert zwischen wesentlichen Einrichtungen (bis zu 10 Millionen Euro oder 2 Prozent des Umsatzes) und wichtigen Einrichtungen (bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes).

Besondere Herausforderung: SaaS-Anbieter

Eine spezifische Herausforderung ergibt sich für Software-as-a-Service-Anbieter. Erwägungsgrund 12 des CRA stellt klar, dass die NIS-2-Richtlinie für Cloud-Computing-Dienste einschließlich SaaS gilt. Gleichzeitig unterfallen SaaS-Lösungen als Softwareprodukte dem Anwendungsbereich des CRA.

SaaS-Anbieter, die die NIS-2-Schwellenwerte überschreiten, müssen daher beide Regelwerke parallel erfüllen. Auf Unternehmensebene erfordert dies ein Risikomanagementsystem gemäß NIS-2. Auf Produktebene müssen die SaaS-Lösungen die CRA-Anforderungen an Sicherheit und Schwachstellenmanagement erfüllen.

Handlungsempfehlungen für betroffene Unternehmen

Angesichts der bevorstehenden Umsetzungsfristen empfiehlt sich ein strukturiertes Vorgehen.

Betroffenheitsanalyse

Im ersten Schritt sollten Unternehmen systematisch prüfen, welche Regelwerke auf sie Anwendung finden. Für den CRA ist zu analysieren, ob Produkte mit digitalen Elementen hergestellt, importiert oder vertrieben werden und welchen Risikoklassen diese zuzuordnen sind. Für NIS-2 ist zu prüfen, ob die Einrichtung in einen der 18 kritischen Sektoren fällt und die Größenschwellen erreicht.

Gap-Analyse und Maßnahmenplanung

Auf Basis der Betroffenheitsanalyse folgt eine systematische Bewertung des aktuellen Reifegrads gegenüber den Anforderungen beider Regelwerke. Bestehende Zertifizierungen wie ISO/IEC 27001 oder IEC 62443 bieten eine solide Grundlage. Identifizierte Lücken sind zu priorisieren und in einen Umsetzungsplan zu überführen.

Integrierte Umsetzung

Bei gleichzeitiger Betroffenheit von CRA und NIS-2 empfiehlt sich ein integrierter Umsetzungsansatz. Ein zentrales ISMS kann als Rahmenwerk dienen. Risikomanagement, Incident-Response und Dokumentation sollten einheitlich aufgesetzt werden. Die Lieferkettensicherheit lässt sich mit einem konsolidierten Ansatz für beide Regelwerke adressieren.

Frühzeitiger Beginn

Die Übergangsfrist bis zur vollständigen Geltung des CRA im Dezember 2027 erscheint lang, ist jedoch für umfassende Anpassungen in Entwicklungsprozessen und Produktportfolios knapp bemessen. Produkte, die 2027 in den Markt gebracht werden sollen, befinden sich bereits heute in der Entwicklung. Ein frühzeitiger Beginn vermeidet Compliance-Risiken und kostspielige nachträgliche Anpassungen.

Zusammengefasst

Der Cyber Resilience Act und die NIS-2-Richtlinie bilden gemeinsam das Fundament der europäischen Cybersicherheitsarchitektur. Ihre komplementäre Ausrichtung auf Produktsicherheit einerseits und organisatorische Widerstandsfähigkeit andererseits schafft einen umfassenden Schutzrahmen für den digitalen Binnenmarkt.

Für Unternehmen bedeutet dies: Die parallele Erfüllung beider Regelwerke erfordert erhebliche Investitionen in Prozesse, Technologie und Personal. Zugleich bietet ein integrierter Compliance-Ansatz die Chance, Synergien zu nutzen und Doppelaufwände zu vermeiden. Unternehmen, die frühzeitig handeln, sichern nicht nur ihre regulatorische Konformität, sondern positionieren sich als vertrauenswürdige Partner in einer zunehmend sicherheitsbewussten digitalen Wirtschaft.

Häufig gestellte Fragen (FAQ)

Was ist der Unterschied zwischen CRA und NIS-2?

Der Cyber Resilience Act (CRA) ist eine produktbezogene Verordnung, die Hersteller, Importeure und Händler von Produkten mit digitalen Elementen zur Einhaltung von Cybersicherheitsanforderungen verpflichtet. Die NIS-2-Richtlinie hingegen ist organisationsbezogen und adressiert die Cybersicherheit von Unternehmen und deren Netz- und Informationssystemen in kritischen Sektoren. Kurz gesagt: Der CRA schützt Produkte, NIS-2 schützt Unternehmen. Beide Regelwerke können gleichzeitig auf ein Unternehmen Anwendung finden.

Wann tritt der CRA vollständig in Kraft?

Der CRA trat am 10. Dezember 2024 in Kraft, wird jedoch gestaffelt umgesetzt. Ab dem 11. September 2026 gelten die Meldepflichten für Schwachstellen und Sicherheitsvorfälle. Die vollständigen Anforderungen einschließlich der CE-Kennzeichnungspflicht für Cybersicherheit gelten ab dem 11. Dezember 2027 für alle neu in Verkehr gebrachten Produkte.

Ist NIS-2 in Deutschland bereits in Kraft?

Ja, das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Deutschland in Kraft. Betroffene Unternehmen müssen sich innerhalb von drei Monaten beim BSI registrieren. Eine professionelle NIS-2 Betroffenheitsanalyse hilft bei der Klärung, ob Ihr Unternehmen den Anforderungen unterliegt.

Welche Unternehmen sind von beiden Regelwerken betroffen?

Unternehmen, die sowohl Produkte mit digitalen Elementen herstellen als auch in einen der 18 kritischen Sektoren der NIS-2-Richtlinie fallen, müssen beide Regelwerke erfüllen. Typische Beispiele sind Hersteller von Industrieautomatisierung, IoT-Geräten oder Softwarelösungen für kritische Infrastrukturen. Für diese Unternehmen empfiehlt sich ein integrierter Compliance-Ansatz mit einem Informationssicherheits-Managementsystem (ISMS).

Welche Strafen drohen bei Nichteinhaltung?

Der CRA sieht Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes vor. Bei NIS-2 drohen wesentlichen Einrichtungen Strafen bis 10 Millionen Euro oder 2 Prozent des Umsatzes, wichtigen Einrichtungen bis 7 Millionen Euro oder 1,4 Prozent. Zusätzlich kann die Geschäftsleitung persönlich haftbar gemacht werden.

Wie können Sie Synergien zwischen CRA und NIS-2 nutzen?

Ein zentrales ISMS nach ISO 27001 oder BSI IT-Grundschutz bildet die methodische Grundlage für beide Regelwerke. Risikomanagement, Incident-Response-Prozesse und Lieferkettensicherheit können Sie einheitlich aufsetzen. Dadurch reduzieren sich Doppelaufwände und Compliance-Kosten erheblich.

Welche Meldepflichten gelten bei Sicherheitsvorfällen?

Unter NIS-2 gelten strenge Meldefristen: Eine Frühwarnung muss innerhalb von 24 Stunden erfolgen, eine detaillierte Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb von 30 Tagen. Der CRA verpflichtet Hersteller ab September 2026 zur Meldung aktiv ausgenutzter Schwachstellen an die ENISA. Der Meldefristenrechner hilft bei der Einhaltung der korrekten Fristen.

Benötigen Sie einen Informationssicherheitsbeauftragten?

Für NIS-2-betroffene Unternehmen ist ein strukturiertes Informationssicherheitsmanagement verpflichtend. Die Geschäftsleitung trägt gemäß § 38 BSIG die persönliche Verantwortung. Ein externer Informationssicherheitsbeauftragter (ISB) kann diese Aufgaben professionell übernehmen und ist oft kosteneffizienter als eine interne Vollzeitstelle.

Wie beginnen Sie mit der Umsetzung?

Der empfohlene Einstieg besteht aus drei Schritten: Erstens eine Betroffenheitsanalyse für beide Regelwerke, zweitens eine Gap-Analyse zur Ermittlung des aktuellen Reifegrads und drittens die Erstellung eines priorisierten Maßnahmenplans. Ein kostenloses Erstgespräch mit spezialisierten Beratern kann den optimalen Einstiegspunkt für Ihr Unternehmen identifizieren.