Das europäische Sicherheitsrecht wird zunehmend komplexer, und für viele Unternehmen fühlt sich die aktuelle Lage wie ein „Paragrafen-Dschungel“ an. Mit der NIS2-Richtlinie und dem Cyber Resilience Act (CRA) hat die EU zwei mächtige Regelwerke geschaffen, die das Cybersicherheitsniveau massiv anheben sollen. Doch wer ist betroffen, wo liegen die Unterschiede und – am wichtigsten – wie können Unternehmen Synergien nutzen?
Das Haus und seine Einrichtung: Die Rollenverteilung
Ein gängiges Bild hilft, den fundamentalen Unterschied zu verstehen: Stellen Sie sich Ihr Unternehmen wie ein Haus vor.
- NIS2 (Der Schutzschild für das Haus): Diese Richtlinie fokussiert sich auf die Sicherheit der gesamten Organisation und ihrer IT-Infrastruktur. Sie verpflichtet Betreiber wesentlicher und wichtiger Dienste dazu, ihre Systeme so abzusichern, dass kritische Dienste (wie Energie oder Gesundheit) auch bei Angriffen weiterlaufen.
- CRA (Das Sicherheitssiegel für die Einrichtung): Während NIS2 das „Gebäude“ schützt, nimmt der CRA die „Einrichtungsgegenstände“ unter die Lupe. Er gilt für fast alle Produkte mit digitalen Elementen – von der vernetzten Industriemaschine bis zur Softwarelösung. Ziel ist es, dass diese Produkte bereits „sicher ab Werk“ (Security by Design) sind.
Wo sich NIS2 und CRA überschneiden
Obwohl sie an unterschiedlichen Punkten ansetzen, teilen beide Regelwerke ein gemeinsames Fundament. Unternehmen, die beide erfüllen müssen, finden deutliche Schnittmengen in drei Kernbereichen:
- Risikomanagement: Beide verlangen einen risikobasierten Ansatz. NIS2 fordert dies für die Betriebsabläufe, der CRA spezifisch für den gesamten Lebenszyklus eines Produkts.
- Lieferkettensicherheit: Während NIS2 die Sicherheit der organisatorischen Zulieferer prüft, fokussiert der CRA auf die im Produkt verbauten Komponenten, was oft durch eine Software-Stückliste (SBOM) nachgewiesen werden muss.
- Meldepflichten: Beide sehen strenge Meldewege vor. Ein einziger Zero-Day-Exploit kann gleichzeitig eine CRA-Meldung (wegen der Produktschwachstelle) und eine NIS2-Meldung (wegen des betroffenen Dienstes) auslösen.
Der „Goldene Schlüssel“: Das ISMS als Basis
Die gute Nachricht für Unternehmen ist: Sie müssen das Rad nicht zweimal neu erfinden. Ein gut implementiertes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 dient als ideales Fundament für beide Regelwerke.
Ein reifes ISMS reduziert die Zusatzarbeit massiv, da bestehende Strukturen für das Risikomanagement oder die Vorfallsbehandlung einfach um die produktbezogenen Anforderungen des CRA erweitert werden können. So lassen sich beispielsweise die nach ISO 27001 etablierten Incident-Management-Prozesse so anpassen, dass sie sowohl die 24-Stunden-Frühwarnung der NIS2 als auch die CRA-Meldepflichten abbilden.
Wichtige Fristen im Überblick
Die Uhren ticken bereits, und die Übergangsfristen sind knapp bemessen:
- NIS2: In Deutschland ist das Umsetzungsgesetz bereits am 6. Dezember 2025 in Kraft getreten; betroffene Unternehmen müssen die Pflichten seitdem erfüllen.
- CRA: Die ersten Meldepflichten für aktiv ausgenutzte Schwachstellen beginnen am 11. September 2026. Die vollständige Anwendung für Produkte und die Pflicht zur CE-Kennzeichnung greifen ab dem 11. Dezember 2027.
Fazit: Strategisch planen statt reaktiv handeln
NIS2 und CRA ergänzen sich zu einem Sicherheitsnetz. Für Hersteller bedeutet dies oft eine Doppelrolle: Sie müssen ihre Produkte CRA-konform machen und gleichzeitig als NIS2-regulierte Einrichtung ihre Organisation schützen. Experten raten dazu, bereits jetzt Synergieeffekte zu nutzen und beide Regelwerke integriert in einer Compliance-Strategie zu behandeln, um regulatorische Hürden in einen echten Wettbewerbsvorteil zu verwandeln.

