{"id":1113,"date":"2026-07-10T10:05:55","date_gmt":"2026-07-10T08:05:55","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=1113"},"modified":"2026-07-10T10:05:55","modified_gmt":"2026-07-10T08:05:55","slug":"cybersicherheit-in-der-eu-nis2-und-cra-im-doppelpack-was-unternehmen-jetzt-wissen-muessen","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2026\/07\/10\/cybersicherheit-in-der-eu-nis2-und-cra-im-doppelpack-was-unternehmen-jetzt-wissen-muessen\/","title":{"rendered":"Cybersicherheit in der EU: NIS2 und CRA im Doppelpack \u2013 Was Unternehmen jetzt wissen m\u00fcssen"},"content":{"rendered":"<p>Das europ\u00e4ische Sicherheitsrecht wird zunehmend komplexer, und f\u00fcr viele Unternehmen f\u00fchlt sich die aktuelle Lage wie ein \u201eParagrafen-Dschungel\u201c an. Mit der <strong>NIS2-Richtlinie<\/strong> und dem <strong>Cyber Resilience Act (CRA)<\/strong> hat die EU zwei m\u00e4chtige Regelwerke geschaffen, die das Cybersicherheitsniveau massiv anheben sollen. Doch wer ist betroffen, wo liegen die Unterschiede und \u2013 am wichtigsten \u2013 wie k\u00f6nnen Unternehmen Synergien nutzen?<\/p>\n<h2>Das Haus und seine Einrichtung: Die Rollenverteilung<\/h2>\n<p>Ein g\u00e4ngiges Bild hilft, den fundamentalen Unterschied zu verstehen: Stellen Sie sich Ihr Unternehmen wie ein Haus vor.<\/p>\n<ul>\n<li><strong>NIS2 (Der Schutzschild f\u00fcr das Haus):<\/strong> Diese Richtlinie fokussiert sich auf die Sicherheit der gesamten Organisation und ihrer IT-Infrastruktur. Sie verpflichtet Betreiber wesentlicher und wichtiger Dienste dazu, ihre Systeme so abzusichern, dass kritische Dienste (wie Energie oder Gesundheit) auch bei Angriffen weiterlaufen.<\/li>\n<li><strong>CRA (Das Sicherheitssiegel f\u00fcr die Einrichtung):<\/strong> W\u00e4hrend NIS2 das \u201eGeb\u00e4ude\u201c sch\u00fctzt, nimmt der CRA die \u201eEinrichtungsgegenst\u00e4nde\u201c unter die Lupe. Er gilt f\u00fcr fast alle Produkte mit digitalen Elementen \u2013 von der vernetzten Industriemaschine bis zur Softwarel\u00f6sung. Ziel ist es, dass diese Produkte bereits \u201esicher ab Werk\u201c (<strong>Security by Design<\/strong>) sind.<\/li>\n<\/ul>\n<h2>Wo sich NIS2 und CRA \u00fcberschneiden<\/h2>\n<p>Obwohl sie an unterschiedlichen Punkten ansetzen, teilen beide Regelwerke ein gemeinsames Fundament. Unternehmen, die beide erf\u00fcllen m\u00fcssen, finden deutliche Schnittmengen in drei Kernbereichen:<\/p>\n<ol>\n<li><strong>Risikomanagement:<\/strong> Beide verlangen einen risikobasierten Ansatz. NIS2 fordert dies f\u00fcr die Betriebsabl\u00e4ufe, der CRA spezifisch f\u00fcr den gesamten Lebenszyklus eines Produkts.<\/li>\n<li><strong>Lieferkettensicherheit:<\/strong> W\u00e4hrend NIS2 die Sicherheit der organisatorischen Zulieferer pr\u00fcft, fokussiert der CRA auf die im Produkt verbauten Komponenten, was oft durch eine Software-St\u00fcckliste (<strong>SBOM<\/strong>) nachgewiesen werden muss.<\/li>\n<li><strong>Meldepflichten:<\/strong> Beide sehen strenge Meldewege vor. Ein einziger Zero-Day-Exploit kann gleichzeitig eine CRA-Meldung (wegen der Produktschwachstelle) und eine NIS2-Meldung (wegen des betroffenen Dienstes) ausl\u00f6sen.<\/li>\n<\/ol>\n<h2>Der \u201eGoldene Schl\u00fcssel\u201c: Das ISMS als Basis<\/h2>\n<p>Die gute Nachricht f\u00fcr Unternehmen ist: Sie m\u00fcssen das Rad nicht zweimal neu erfinden. Ein gut implementiertes <strong>Informationssicherheits-Managementsystem (ISMS)<\/strong> nach <strong>ISO 27001<\/strong> dient als ideales Fundament f\u00fcr beide Regelwerke.<\/p>\n<p>Ein reifes ISMS reduziert die Zusatzarbeit massiv, da bestehende Strukturen f\u00fcr das Risikomanagement oder die Vorfallsbehandlung einfach um die produktbezogenen Anforderungen des CRA erweitert werden k\u00f6nnen. So lassen sich beispielsweise die nach ISO 27001 etablierten Incident-Management-Prozesse so anpassen, dass sie sowohl die 24-Stunden-Fr\u00fchwarnung der NIS2 als auch die CRA-Meldepflichten abbilden.<\/p>\n<h2>Wichtige Fristen im \u00dcberblick<\/h2>\n<p>Die Uhren ticken bereits, und die \u00dcbergangsfristen sind knapp bemessen:<\/p>\n<ul>\n<li><strong>NIS2:<\/strong> In Deutschland ist das Umsetzungsgesetz bereits am <strong>6. Dezember 2025<\/strong> in Kraft getreten; betroffene Unternehmen m\u00fcssen die Pflichten seitdem erf\u00fcllen.<\/li>\n<li><strong>CRA:<\/strong> Die ersten Meldepflichten f\u00fcr aktiv ausgenutzte Schwachstellen beginnen am <strong>11. September 2026<\/strong>. Die vollst\u00e4ndige Anwendung f\u00fcr Produkte und die Pflicht zur CE-Kennzeichnung greifen ab dem <strong>11. Dezember 2027<\/strong>.<\/li>\n<\/ul>\n<h2>Fazit: Strategisch planen statt reaktiv handeln<\/h2>\n<p>NIS2 und CRA erg\u00e4nzen sich zu einem Sicherheitsnetz. F\u00fcr Hersteller bedeutet dies oft eine Doppelrolle: Sie m\u00fcssen ihre Produkte CRA-konform machen und gleichzeitig als NIS2-regulierte Einrichtung ihre Organisation sch\u00fctzen. Experten raten dazu, bereits jetzt Synergieeffekte zu nutzen und beide Regelwerke integriert in einer Compliance-Strategie zu behandeln, um regulatorische H\u00fcrden in einen echten Wettbewerbsvorteil zu verwandeln.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das europ\u00e4ische Sicherheitsrecht wird zunehmend komplexer, und f\u00fcr viele Unternehmen f\u00fchlt sich die aktuelle Lage&hellip;<\/p>\n","protected":false},"author":1,"featured_media":716,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1113","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1113","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=1113"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1113\/revisions"}],"predecessor-version":[{"id":1115,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1113\/revisions\/1115"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/716"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=1113"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=1113"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=1113"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}