Alle Vergleiche

Cyber Resilience Act (CRA)

VS

NIS-2-Richtlinie

Cyber Resilience Act vs. NIS-2-Richtlinie

Zwei Säulen der EU-Cybersicherheitsstrategie im direkten Vergleich

EU-Produktverordnung

Regelt, was ein Produkt mit digitalen Elementen sicherheitstechnisch können muss, bevor es auf den EU-Markt kommt

EU-Richtlinie für Betreiber

Regelt, wie Organisationen in kritischen Sektoren ihre IT-Sicherheit managen müssen

NIS-2-Compliance ersetzt keine CRA-Konformität. Beide Regelwerke adressieren völlig unterschiedliche Pflichten. Viele Unternehmen unterliegen beiden gleichzeitig.

0 Abgedeckt3 Teilweise6 Nicht abgedeckt

Sie erfüllen NIS-2 — was fehlt noch für den CRA?

NIS-2-Compliance schafft eine solide organisatorische Grundlage. Für die CRA-Konformität Ihrer Produkte müssen Sie jedoch zusätzliche, produktspezifische Anforderungen erfüllen. Diese Gap-Analyse zeigt, was Sie bereits haben und was noch fehlt.

036
CRA-AnforderungAbdeckung durch NIS-2-Richtlinie
Risikomanagement-Prozesse
Teilweise

NIS-2 Art. 21 etabliert organisatorisches Risikomanagement. Der CRA fordert jedoch eine produktspezifische Cyberrisikobewertung gemäß Art. 13 Abs. 2 — Ihre Methodik muss auf Produktebene erweitert werden.

Vorfallmeldeprozesse
Teilweise

NIS-2-Meldeprozesse an nationale CSIRTs bestehen. Der CRA erfordert zusätzlich die Meldung aktiv ausgenutzter Produktschwachstellen an ENISA — andere Auslöser, andere Plattform, andere Fristen.

Lieferketten-Awareness
Teilweise

NIS-2 Art. 21(2)(d) fordert Lieferkettensicherheit. Der CRA verlangt darüber hinaus eine produktspezifische SBOM und die Sorgfaltspflicht für Drittkomponenten im Produkt.

Produktsicherheitsanforderungen (Anhang I)
Nicht abgedeckt

NIS-2 stellt keine Anforderungen an die Sicherheitseigenschaften von Produkten. Der CRA Anhang I definiert konkrete technische Anforderungen: Schutz vor unbefugtem Zugriff, Datenintegrität, sichere Standardkonfiguration u.v.m.

SBOM-Erstellung & -Pflege
Nicht abgedeckt

NIS-2 enthält keine SBOM-Pflicht. Der CRA verlangt eine maschinenlesbare Software Bill of Materials für jedes Produkt mit digitalen Elementen (Anhang I Teil II i.V.m. Art. 13).

Produkt-Schwachstellenbehandlung & Offenlegung
Nicht abgedeckt

NIS-2 regelt organisatorisches Schwachstellenmanagement. Der CRA fordert eine dokumentierte Schwachstellenbehandlungspolitik für jedes Produkt über den gesamten Supportzeitraum (Art. 13 Abs. 6).

Konformitätsbewertung & CE-Kennzeichnung
Nicht abgedeckt

NIS-2 kennt keine Konformitätsbewertung im Sinne des CRA. Hersteller müssen das CRA-Konformitätsbewertungsverfahren (Anhang VIII) durchlaufen und die CE-Kennzeichnung anbringen.

Supportzeitraum-Deklaration
Nicht abgedeckt

Der CRA verpflichtet Hersteller, einen Supportzeitraum festzulegen und zu kommunizieren, während dessen Sicherheitsupdates bereitgestellt werden (mindestens 5 Jahre).

Produktspezifische technische Dokumentation
Nicht abgedeckt

Der CRA fordert umfassende technische Dokumentation gemäß Anhang VII, einschließlich Sicherheitsarchitektur, Risikobewertung und Testberichte — nicht Teil von NIS-2.

01

Produktsicherheit vs. organisatorische Sicherheit

Der CRA regelt, was ein Produkt können muss — NIS-2 regelt, wie eine Organisation Cybersicherheit managen muss. Beide sind gleichzeitig anwendbar.

  • CRA (Anhang I): Produktsicherheit — Schutz vor unbefugtem Zugriff, Datenintegrität, Verfügbarkeit, Updatefähigkeit
  • NIS-2 (Art. 21): 10 organisatorische Mindestmaßnahmen — Risikoanalyse, Vorfallbewältigung, Lieferkettensicherheit, Kryptografie
  • Perspektive: CRA = Marktzugang des Produkts, NIS-2 = Resilienz des Betreibers
02

Lieferkettensicherheit aus zwei Perspektiven

Beide Regelwerke adressieren Lieferkettensicherheit — aus unterschiedlichen Blickwinkeln. Unternehmen, die beiden unterliegen, müssen beide Anforderungen erfüllen.

  • CRA (Art. 13 Abs. 5): Bottom-Up — Risiken durch Drittkomponenten bewerten, SBOM erstellen (Anhang I Teil II)
  • NIS-2 (Art. 21 Abs. 2 lit. d): Top-Down — Sicherheit der gesamten Lieferkette einschließlich Lieferantenbeziehungen gewährleisten
  • Synergie: CRA-konforme Produkte erleichtern NIS-2-Betreibern die Erfüllung ihrer Lieferkettenpflichten
CRA: Bottom-Up via SBOMTransparenz über jede Softwarekomponente im Produkt durch maschinenlesbare Software Bills of Materials. Schwachstellenmonitoring über die gesamte Lieferkette hinweg.
NIS-2: Top-Down via RisikomanagementSystematische Bewertung der Lieferantenrisiken, vertragliche Sicherheitsanforderungen und regelmäßige Überprüfung der Lieferkettensicherheit als Teil des organisatorischen Risikomanagements.
SynergieeffektCRA-konforme Produkte erleichtern NIS-2-Betreibern die Erfüllung ihrer Lieferkettenpflichten. Umgekehrt profitieren CRA-Hersteller, wenn ihre Zulieferer NIS-2-konform sind.
03

Meldepflichten im Vergleich

Beide Regelwerke führen strenge Meldepflichten ein, unterscheiden sich aber in Auslöser, Adressat und Fristen. Art. 14 Abs. 8 CRA sieht eine Harmonisierung der Meldewege vor.

  • CRA (Art. 14): Hersteller meldet aktiv ausgenutzte Schwachstellen an ENISA — 24h Frühwarnung, 72h Vollmeldung, via Single Reporting Platform (ab Sept. 2026)
  • NIS-2: Betreiber meldet erhebliche Vorfälle an nationales CSIRT — 24h Frühwarnung, 72h Vollmeldung, Abschlussbericht nach 1 Monat
  • Doppelbetroffenheit: Unterschiedliche Meldewege und Formulare erfordern koordinierte interne Prozesse
04

Doppelte Betroffenheit: Wann gelten beide Regelwerke?

Zahlreiche Unternehmen werden beiden Regelwerken gleichzeitig unterliegen. Integriertes Compliance-Management ist hier wirtschaftlich geboten.

  • ICS-Hersteller: CRA-pflichtig als Produkthersteller, NIS-2-pflichtig im Sektor Digitale Infrastruktur oder Verarbeitendes Gewerbe
  • Cloud/SaaS-Anbieter: SaaS-Produkte fallen unter den CRA, Cloud-Infrastruktur unter NIS-2
  • Gemeinsame Prozesse: Risikobewertung, Schwachstellenmanagement und Dokumentation bedienen beide Anforderungskataloge
Hersteller kritischer ProdukteUnternehmen, die Produkte der Klasse I oder II (Anhang III/IV CRA) herstellen und gleichzeitig in einem der 18 NIS-2-Sektoren tätig sind.
Cloud- und SaaS-AnbieterAnbieter von Cloud-Diensten, deren Plattform unter NIS-2 fällt und die gleichzeitig Softwareprodukte im Sinne des CRA vertreiben.
Netzwerk- und IoT-HerstellerHersteller von Routern, Firewalls und IoT-Gateways, die als Hersteller dem CRA und als Anbieter digitaler Infrastruktur der NIS-2 unterliegen.

Synergien zwischen CRA und NIS-2

Trotz unterschiedlicher Regelungsgegenstände gibt es erhebliche Überschneidungen, die Unternehmen strategisch nutzen können.

Gemeinsame Risikobewertung

Die CRA-Risikobewertung gemäß Art. 13 Abs. 2 und die NIS-2-Risikoanalyse gemäß Art. 21 Abs. 2 lit. a können methodisch aufeinander aufbauen. Eine produktbezogene Risikoanalyse lässt sich in das organisatorische Risikomanagement integrieren.

Schwachstellenmanagement als Kernkompetenz

Der CRA fordert Schwachstellenbehandlung über den gesamten Produktlebenszyklus (Art. 13 Abs. 6). NIS-2 verlangt Schwachstellenmanagement als organisatorische Maßnahme (Art. 21 Abs. 2 lit. e). Ein zentrales Vulnerability-Management-System bedient beide Anforderungen.

Konvergenz der Meldewege

Die EU arbeitet an einer Single Reporting Platform, die CRA- und NIS-2-Meldungen zusammenführt. Unternehmen sollten bereits jetzt einheitliche interne Meldeprozesse aufbauen.

Lieferkettenresilienz

CRA-konforme SBOMs und Schwachstellentransparenz stärken die NIS-2-Lieferkettensicherheit. Umgekehrt erhöhen NIS-2-konforme Zulieferer die CRA-Compliance der gesamten Wertschöpfungskette.

Ihre nächsten Schritte

1Hohe Priorität

Produkt-SBOM erstellen

Implementieren Sie SBOM-Generierung in Ihren Build-Prozess. Nutzen Sie CycloneDX oder SPDX und erfassen Sie alle Abhängigkeiten bis zur Paketebene.

2Hohe Priorität

Produkt-Schwachstellenmanagement aufbauen

Etablieren Sie einen dokumentierten Prozess für Erkennung, Bewertung, Behebung und Offenlegung von Schwachstellen in Ihren Produkten — nicht nur in Ihrer IT-Infrastruktur.

3Hohe Priorität

Technische Dokumentation vorbereiten

Erstellen Sie die CRA-Konformitätsdokumentation gemäß Anhang VII: Produktbeschreibung, Sicherheitsarchitektur, Risikobewertung, Testberichte und SBOM.

4Mittlere Priorität

Konformitätsbewertung durchführen

Bestimmen Sie die CRA-Klassifizierung Ihrer Produkte (Standard, Klasse I, Klasse II) und planen Sie den entsprechenden Konformitätsbewertungspfad gemäß Anhang VIII.

Häufig gestellte Fragen

Kann ein Unternehmen gleichzeitig vom CRA und von NIS-2 betroffen sein?
Ja, und dies wird in der Praxis häufig der Fall sein. Ein Hersteller von Produkten mit digitalen Elementen unterliegt dem CRA, sobald er Produkte in der EU in Verkehr bringt. Fällt dasselbe Unternehmen in einen der 18 NIS-2-Sektoren — beispielsweise als Anbieter digitaler Infrastruktur, im verarbeitenden Gewerbe oder im Gesundheitswesen —, gelten zusätzlich die NIS-2-Pflichten. Beide Regelwerke haben eigene Anforderungskataloge, Meldepflichten und Sanktionsmechanismen. Ein integrierter Compliance-Ansatz ist daher nicht nur sinnvoll, sondern wirtschaftlich geboten.
Hilft CRA-Compliance bei der Umsetzung von NIS-2?
In erheblichem Maße. Die CRA-Anforderungen an Schwachstellenmanagement, Sicherheitsupdates und Dokumentation schaffen eine solide Grundlage für die NIS-2-Risikomanagementmaßnahmen nach Art. 21. Wer seine Produkte CRA-konform entwickelt, hat bereits wesentliche technische Cybersicherheitsmaßnahmen implementiert, die in das NIS-2-konforme ISMS einfließen können. Insbesondere die CRA-Pflicht zur SBOM-Erstellung und zum kontinuierlichen Schwachstellenmonitoring unterstützt die NIS-2-Anforderung an Lieferkettensicherheit und Schwachstellenmanagement.
Was ist der Unterschied bei den Sanktionen zwischen CRA und NIS-2?
Der CRA sieht in Art. 64 Geldbußen von bis zu 15 Mio. EUR oder 2,5 % des weltweiten Jahresumsatzes vor — je nachdem, welcher Betrag höher ist. Dies gilt für Verstöße gegen die wesentlichen Cybersicherheitsanforderungen in Anhang I. NIS-2 differenziert: Für wesentliche Einrichtungen können Geldbußen bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes verhängt werden, für wichtige Einrichtungen bis zu 7 Mio. EUR oder 1,4 %. Zusätzlich sieht NIS-2 eine persönliche Haftung der Leitungsorgane vor (Art. 20 Abs. 1), die im CRA so nicht vorgesehen ist.
Wie unterscheiden sich die Meldepflichten in der Praxis?
Der zentrale Unterschied liegt im Auslöser und im Adressaten. Der CRA verpflichtet Hersteller, aktiv ausgenutzte Schwachstellen in ihren Produkten innerhalb von 24 Stunden an ENISA zu melden (Art. 14 CRA). NIS-2 verpflichtet Betreiber, erhebliche Sicherheitsvorfälle in ihrem Betrieb an das zuständige nationale CSIRT zu melden — mit einer Frühwarnung innerhalb von 24 Stunden, einer vollständigen Meldung innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats. Für ein Unternehmen, das beide Regelwerke erfüllen muss, empfiehlt sich ein einheitlicher Incident-Response-Prozess, der beide Meldewege abdeckt.
Welche Rolle spielt die Lieferkettensicherheit in beiden Regelwerken?
Beide Regelwerke betonen die Lieferkettensicherheit, jedoch aus unterschiedlichen Perspektiven. Der CRA verlangt vom Hersteller, Risiken aus Drittkomponenten in der Risikoanalyse zu berücksichtigen und eine Software Bill of Materials (SBOM) zu erstellen, die alle Softwareabhängigkeiten transparent macht (Art. 13 Abs. 5 und Anhang I Teil II). NIS-2 fordert von Betreibern, die Sicherheit ihrer gesamten Lieferkette zu bewerten — einschließlich vertraglicher Sicherheitsanforderungen an Lieferanten (Art. 21 Abs. 2 lit. d). In der Praxis verstärken sich beide Anforderungen: CRA-konforme Produkte mit transparenten SBOMs erleichtern NIS-2-Betreibern die Lieferkettenrisikobewertung.
Ist NIS-2 in Deutschland bereits in nationales Recht umgesetzt?
Die Umsetzungsfrist der NIS-2-Richtlinie endete am 17. Oktober 2024. Deutschland hat mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) einen Entwurf vorgelegt, der jedoch bis Stand März 2026 das Gesetzgebungsverfahren noch nicht vollständig abgeschlossen hat. Ähnliche Verzögerungen gibt es in weiteren Mitgliedstaaten. Der CRA hingegen ist als EU-Verordnung unmittelbar anwendbar und erfordert keine nationale Umsetzung. Unternehmen sollten sich dennoch auf beide Regelwerke vorbereiten, da die NIS-2-Umsetzung in den meisten Mitgliedstaaten absehbar ist und rückwirkende Pflichten entstehen können.
Welche Produkte sind vom CRA ausgenommen?
Nicht alle Produkte mit digitalen Elementen fallen unter den CRA. Explizit ausgenommen sind: Medizinprodukte und In-vitro-Diagnostika (MDR/IVDR), Kraftfahrzeuge und deren Typgenehmigung (UN ECE R155/R156), Luftfahrtprodukte, Produkte für die nationale Sicherheit oder Verteidigung sowie bestimmte Open-Source-Software, die nicht im Rahmen einer kommerziellen Tätigkeit bereitgestellt wird. Falls Ihr Produkt unter eine dieser Ausnahmen fällt, gelten die jeweiligen sektorspezifischen Cybersicherheitsanforderungen statt des CRA.

Weiterführende Links

Offizielle Quellen

CRA-Volltext (EUR-Lex)

Verordnung (EU) 2024/2847 — Cyber Resilience Act im Amtsblatt der Europäischen Union

NIS-2-Richtlinie (EUR-Lex)

Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union

ENISA NIS-2 Themenportal

ENISA-Ressourcen zur NIS-2-Richtlinie: Leitlinien, Berichte und Umsetzungshilfen

Mehr auf Kunnus

CRA Knowledge Base

Vollständiger Gesetzestext mit Erklärungen, Artikeln und Anhängen des Cyber Resilience Act

CRA einfach erklärt

Verständliche Einführung in den Cyber Resilience Act für Entscheider und Produktverantwortliche

Art. 1 CRA: Anwendungsbereich

Detaillierte Erläuterung des Anwendungsbereichs und der Begriffsbestimmungen des CRA

CRA-Compliance-Assessment

Kostenfreie Erstbewertung: Ermitteln Sie in 5 Minuten Ihren CRA-Handlungsbedarf

CRA vs. DORA — Finanzsektor

Vergleich zwischen CRA und Digital Operational Resilience Act für Softwarehersteller im Finanzsektor

CRA vs. ISO 27001 — Standard vs. Verordnung

Wie sich der freiwillige ISO-Standard und die verbindliche EU-Verordnung ergänzen

CRA und NIS-2 im Griff — mit einer Plattform

Kunnus hilft Ihnen, die CRA-Anforderungen systematisch zu erfüllen und dabei Synergien zur NIS-2-Compliance zu nutzen. Starten Sie mit einer kostenlosen Erstbewertung.

Funktionen entdecken