Die EU hat in den letzten Jahren ein umfassendes Regelwerk für Cybersicherheit geschaffen. Zwei zentrale Säulen sind der Cyber Resilience Act (CRA) und die NIS2-Richtlinie. Für Hersteller digitaler Produkte ist es entscheidend, den Unterschied zwischen CRA und NIS2 zu verstehen – denn beide Regulierungen können gleichzeitig gelten, haben aber völlig verschiedene Anforderungen und Adressaten.
Grundlegender Unterschied: Produkt vs. Organisation
Der wichtigste Unterschied zwischen CRA und NIS2 lässt sich in einem Satz zusammenfassen: Der CRA reguliert Produkte, NIS2 reguliert Organisationen.
Der Cyber Resilience Act richtet sich an Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Er definiert Sicherheitsanforderungen, die das Produkt selbst erfüllen muss – unabhängig davon, wer es einsetzt. Jeder Hersteller, der ein vernetztes Produkt auf dem EU-Markt verkauft, fällt unter den CRA.
Die NIS2-Richtlinie hingegen reguliert Betreiber wesentlicher und wichtiger Einrichtungen – also Organisationen in bestimmten Sektoren wie Energie, Gesundheit, Transport, Finanzwesen oder digitale Infrastruktur. NIS2 legt fest, welche organisatorischen Cybersicherheitsmaßnahmen diese Einrichtungen treffen müssen, um ihre Dienste und Netzwerke zu schützen.
Wer ist jeweils betroffen?
Beim CRA ist die Zielgruppe klar: Jeder Hersteller eines Produkts mit digitalen Elementen, das auf dem EU-Markt in Verkehr gebracht wird. Das betrifft IoT-Geräte, industrielle Steuerungen, Software und SaaS-Produkte, Smart-Home-Geräte und viele weitere Produktkategorien. Die Unternehmensgröße spielt dabei keine Rolle – auch ein Startup mit einem einzigen Produkt fällt unter den CRA.
NIS2 betrifft dagegen Betreiber in 18 definierten Sektoren, wobei zwischen "wesentlichen" und "wichtigen" Einrichtungen unterschieden wird. Die Einordnung hängt vom Sektor und der Unternehmensgröße ab. Grundsätzlich sind mittlere und große Unternehmen in den definierten Sektoren betroffen. Kleine Unternehmen sind meist ausgenommen, es sei denn, sie erbringen bestimmte kritische Dienste.
Für Hersteller digitaler Produkte kann das bedeuten: Wenn Sie beispielsweise Netzwerkinfrastruktur für Energieversorger herstellen, fallen Sie unter den CRA als Hersteller und könnten gleichzeitig über Ihre eigene IT-Infrastruktur unter NIS2 fallen, falls Sie als wichtige Einrichtung eingestuft werden.
Anforderungen im Vergleich
Die konkreten Pflichten unterscheiden sich erheblich. Der CRA fordert von Herstellern unter anderem eine Risikoanalyse für das Produkt, Security by Design in der Produktentwicklung, eine vollständige SBOM (Software Bill of Materials), einen Prozess für Schwachstellenmanagement und koordinierte Offenlegung, sichere Standardeinstellungen (keine Standardpasswörter), die Fähigkeit zu Sicherheitsupdates über die gesamte Supportdauer sowie eine technische Dokumentation und EU-Konformitätserklärung.
NIS2 fordert von Betreibern hingegen organisatorische Cybersicherheitsmaßnahmen, ein Risikomanagement für die Netz- und Informationssicherheit, Incident-Response-Pläne und Meldepflichten bei Sicherheitsvorfällen, Maßnahmen zur Sicherung der Lieferkette, regelmäßige Sicherheitsaudits und Penetrationstests sowie Schulungen für das Management und die Mitarbeiter.
Unterschiedliche Fristen
Die Zeitpläne beider Regulierungen überlappen sich teilweise, haben aber unterschiedliche Meilensteine.
Für den CRA gilt: Ab September 2026 müssen aktiv ausgenutzte Schwachstellen gemeldet werden. Ab Dezember 2027 müssen alle neuen Produkte vollständig CRA-konform sein.
Für NIS2 gilt: Die Umsetzung in nationales Recht hätte bis Oktober 2024 erfolgen sollen. In der Praxis hinken viele EU-Mitgliedstaaten hinterher, sodass die konkrete Umsetzung und Durchsetzung je nach Land variiert. Deutschland hat mit dem NIS2-Umsetzungsgesetz bereits einen Entwurf vorgelegt.
Sanktionen: Was droht bei Verstößen?
Beide Regulierungen sehen empfindliche Strafen vor. Beim CRA können Bußgelder bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Zudem können Marktüberwachungsbehörden den Rückruf oder das Verbot eines Produkts anordnen.
NIS2 sieht Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Zusätzlich können Leitungsorgane persönlich haftbar gemacht werden, wenn sie ihren Aufsichtspflichten nicht nachkommen.
Für Hersteller, die unter beide Regulierungen fallen, summieren sich die Risiken. Wer sowohl ein nicht-konformes Produkt vertreibt als auch organisatorische Pflichten vernachlässigt, riskiert Sanktionen aus beiden Regelwerken.
Synergien nutzen: CRA und NIS2 gemeinsam umsetzen
Trotz der unterschiedlichen Ausrichtung gibt es Überschneidungen, die Hersteller für eine effiziente Umsetzung nutzen können. Die Risikoanalyse, die der CRA für Produkte fordert, kann mit dem Risikomanagement nach NIS2 für die Organisation verknüpft werden. Schwachstellenmanagement-Prozesse, die für den CRA aufgebaut werden, dienen gleichzeitig der NIS2-Anforderung zur Sicherung der Lieferkette. Incident-Response-Prozesse können so gestaltet werden, dass sie die Meldepflichten beider Regulierungen abdecken.
Die wichtigste Synergie liegt in der Dokumentation: Wer seine Sicherheitsprozesse von Anfang an sauber dokumentiert, erfüllt damit Anforderungen aus beiden Regelwerken und spart langfristig Aufwand.
Fazit: Beide Regulierungen ernst nehmen
Wer die CRA-Strafen bei Nichteinhaltung kennt, versteht die Dringlichkeit. CRA und NIS2 ergänzen sich zu einem umfassenden Cybersicherheits-Framework der EU. Der CRA stellt sicher, dass Produkte sicher sind. NIS2 stellt sicher, dass Organisationen sicher betrieben werden. Hersteller digitaler Produkte sollten beide Regulierungen kennen und frühzeitig prüfen, welche Anforderungen für sie gelten.
Unsere kostenlose CRA-Reifegradanalyse hilft Ihnen dabei, Ihren aktuellen Stand bei der CRA-Compliance zu bewerten und konkrete nächste Schritte zu identifizieren. In wenigen Minuten wissen Sie, wo Handlungsbedarf besteht.