Cluster A · Grundverständnis

CRA vs. NIS2: Unterschiede und Überschneidungen

Verfasst am
Lesezeit
7 Min. Lesezeit
Autor
Andrej Radkov · CRA-Compliance-Analyst
Hinweis: Diese Information ist eine indikative Einschätzung auf Basis der EU-Verordnung 2024/2847 und ersetzt keine Rechtsberatung. Bei rechtlichen Fragen wenden Sie sich bitte an einen spezialisierten Anwalt.

Was Sie wissen müssen

CRA reguliert Produkte, NIS2 reguliert Betreiber — beide gelten gleichzeitig. Vergleich: Anwendungsbereich, Pflichten, Sanktionen, Behörden, Fristen.

Inhaltsverzeichnis
  1. Zwei Regelwerke, eine Verwechslungsgefahr
  2. NIS2 im Überblick
  3. Wen betrifft NIS2?
  4. Was fordert NIS2?
  5. CRA im Überblick
  6. Wen betrifft der CRA?
  7. Was fordert der CRA?
  8. Vergleichstabelle: CRA vs. NIS2
  9. Überschneidungen: Wo sich beide Regelwerke berühren
  10. Schwachstellen-Management
  11. Lieferketten-Sicherheit
  12. Incident Response
  13. Die entscheidende Unterscheidung
  14. Wer beides beachten muss
  15. Fazit
  16. Quellen

Zwei Regelwerke, eine Verwechslungsgefahr

Immer wieder werden NIS2 und CRA in einem Atemzug genannt — als wären es Varianten desselben Gesetzes. Verständlich, denn beide verfolgen das Ziel eines höheren Cybersicherheitsniveaus in der EU. Aber die Ansatzpunkte sind grundlegend verschieden.

NIS2 reguliert Organisationen. Der Cyber Resilience Act reguliert Produkte. Die strukturelle Ähnlichkeit — beide sprechen von Risikoanalyse, Schwachstellenmanagement, Meldepflichten — verführt dazu, sie zu vermischen. Das ist ein Fehler. Wer NIS2-Konformität mit CRA-Konformität gleichsetzt, hat auf beiden Seiten Lücken — oft ohne es zu merken.

NIS2 im Überblick

Die Richtlinie (EU) 2022/2555 — bekannt als NIS2 — ist die überarbeitete Fassung der ersten NIS-Richtlinie aus dem Jahr 2016. In Kraft getreten am 16. Januar 2023, musste sie von den EU-Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. In Deutschland erfolgt die Umsetzung durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz).¹

Wen betrifft NIS2?

Betroffen sind Betreiber wesentlicher und wichtiger Einrichtungen in 18 Sektoren. Unterschieden wird zwischen zwei Kategorien:

  • Wesentliche Einrichtungen (Essential Entities): Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstemanagement, öffentliche Verwaltung, Weltraum — ab 250 Mitarbeitenden oder > 50 Mio. Euro Jahresumsatz
  • Wichtige Einrichtungen (Important Entities): Post, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung — ab 50 Mitarbeitenden oder > 10 Mio. Euro Jahresumsatz

Kleinstunternehmen (< 10 Mitarbeitende, < 2 Mio. Euro Umsatz) sind grundsätzlich ausgenommen, sofern sie nicht explizit als kritisch eingestuft werden.¹

Was fordert NIS2?

NIS2-Pflichten betreffen die gesamte Organisation:

  • Risikomanagementsystem für Informationssicherheit
  • Maßnahmen für Incident Response und Business Continuity
  • Sicherheit der Lieferkette (Supply Chain Security)
  • Meldepflicht für erhebliche Sicherheitsvorfälle — innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (Vorfallsmeldung)
  • Schulungen der Unternehmensleitung
  • Einsatz von Kryptographie und Multi-Faktor-Authentifizierung

Verantwortlich ist die Geschäftsleitung — sie haftet persönlich für die Umsetzung. NIS2 sieht Sanktionen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen vor.¹

CRA im Überblick

Der Cyber Resilience Act (EU-Verordnung 2024/2847) ist am 10. Dezember 2024 in Kraft getreten und gilt ab dem 11. Dezember 2027 vollständig. Verpflichtet werden Hersteller von Produkten mit digitalen Elementen — von industriellen MQTT-Gateways bis zur embedded-Software für Heizungssteuerungen — Sicherheitsanforderungen über den gesamten Produktlebenszyklus einzuhalten.²

Wen betrifft der CRA?

CRA betrifft Wirtschaftsakteure, die Produkte mit digitalen Elementen auf dem EU-Markt in Verkehr bringen:

  • Hersteller — umfangreichste Pflichten
  • Importeure — wenn der Hersteller außerhalb der EU sitzt
  • Händler — mit eingeschränkten Pflichten
  • Bevollmächtigte — EU-Vertreter von Nicht-EU-Herstellern

Was viele CRA-Berater nicht sagen: Es gibt keine Ausnahme für KMU oder Startups. Ausgenommen sind hingegen bestimmte Produktkategorien (Medizinprodukte, Kraftfahrzeuge, zivile Luftfahrt). Wer sich auf eine KMU-Ausnahme verlässt, sollte den Verordnungstext sorgfältig prüfen — eine solche Ausnahme existiert nicht.²

Was fordert der CRA?

CRA-Pflichten sind produktbezogen:

  • Produktsicherheits-Risikoanalyse (produktspezifisch, nicht organisationsweit)
  • Umsetzung der 10 Sicherheitsanforderungen aus Anhang I
  • SBOM (Software Bill of Materials) für alle Komponenten
  • Sicherheitsupdates für mindestens 5 Jahre
  • 24h-Meldepflicht für aktiv ausgenutzte Schwachstellen (ab 11. September 2026)
  • Technische Dokumentation nach Anhang VII
  • CE-Kennzeichnung und EU-Konformitätserklärung
  • Konformitätsbewertung (Selbstbewertung oder Notified Body je nach Klasse)

Sanktionen: bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes für schwerwiegende Verstöße. Das sind 5 Millionen mehr als bei NIS2. Kein symbolischer Unterschied.²

Vergleichstabelle: CRA vs. NIS2

MerkmalCRA (EU-Verordnung 2024/2847)NIS2 (Richtlinie EU 2022/2555)
RechtsformEU-Verordnung (unmittelbar anwendbar)EU-Richtlinie (nationale Umsetzung nötig)
AnsatzpunktProdukt (Hardware/Software)Organisation (Betreiber)
Wen betrifft es?Hersteller, Importeure, Händler von vernetzten ProduktenBetreiber wesentlicher/wichtiger Einrichtungen in 18 Sektoren
GrößenschwelleKeine (gilt für alle Unternehmensgrößen)Ja (ab 50 Mitarbeitende für Wichtige, 250 für Wesentliche)
Was wird bewertet?Sicherheitseigenschaften des ProduktsSicherheitsmanagement der Organisation
CE-KennzeichnungJa, zwingendNein
SBOM-PflichtJaNein
MeldepflichtAktiv ausgenutzte Produktschwachstellen (ab Sept. 2026)Erhebliche Sicherheitsvorfälle im Betrieb
Melde-Frist24h / 72h / 14 Tage24h / 72h
Zuständige Behörde (DE)Bundesnetzagentur (koordinierend)BSI
Max. Sanktion15 Mio. € oder 2,5 % Jahresumsatz10 Mio. € oder 2 % Jahresumsatz (wesentliche Einrichtungen)
Vollständige Geltung11. Dezember 2027Ab Umsetzung (DE: NIS2UmsuCG)

Überschneidungen: Wo sich beide Regelwerke berühren

Trotz der unterschiedlichen Ansatzpunkte gibt es inhaltliche Bereiche, in denen CRA und NIS2 parallel greifen.

Schwachstellen-Management

Beide Regelwerke fordern ein strukturiertes Schwachstellen-Management — NIS2 als Teil des organisatorischen Risikomanagements, CRA produktspezifisch für Sicherheitslücken in den eigenen Produkten. Die 24-Stunden-Meldepflicht findet sich in beiden, gilt aber für unterschiedliche Ereignistypen: NIS2 für Betriebsvorfälle, CRA für aktiv ausgenutzte Produktschwachstellen. Das klingt ähnlich. In der Praxis bedeutet es aber unterschiedliche Meldekanäle, unterschiedliche Behörden und unterschiedliche Dokumentationsanforderungen. Wer hier einen einzigen Prozess für beide Anforderungen aufzusetzen versucht, merkt das Problem spätestens beim ersten echten Vorfall.

Lieferketten-Sicherheit

NIS2 fordert explizit Sicherheitsmaßnahmen entlang der Lieferkette (Artikel 21 NIS2). Der CRA adressiert die Produktlieferkette: Hersteller müssen auch die Sicherheit von Open-Source- und Drittanbieter-Komponenten nachweisen. Sobald ein Unternehmen zugleich Betreiber und Hersteller ist, greifen beide Anforderungen ineinander — und verstärken sich gegenseitig.

Incident Response

Beide Regelwerke erfordern strukturierte Prozesse für Sicherheitsvorfälle. Die ISO-27001-ähnlichen Incident-Management-Strukturen, die NIS2-Betreiber aufbauen, bilden eine gute Grundlage für den CRA-Meldeprozess. Aber — und das ist der Punkt, den viele übersehen — die produktspezifischen Meldewege (ENISA, CSIRTs) sind CRA-spezifisch und müssen separat eingerichtet werden. Wer glaubt, mit einem einzigen Incident-Response-Prozess beide Anforderungen abzudecken, übersieht die regulatorisch getrennten Meldewege.

Die entscheidende Unterscheidung

Konkret bedeutet das: Beide Regelwerke lassen sich auf je eine Kernfrage reduzieren.

NIS2 fragt: „Betreibt Ihr Unternehmen kritische Dienste sicher?”
CRA fragt: „Ist Ihr Produkt sicher?”

Daraus folgen praktische Konsequenzen. Ein Krankenhaus, das eine Praxissoftware einsetzt, dürfte unter NIS2 fallen — aber als Betreiber, nicht als Hersteller. Der Hersteller der Praxissoftware fällt unter den CRA — aber nur dann auch unter NIS2, wenn er selbst einen wesentlichen oder wichtigen Dienst betreibt.

Wer beides beachten muss

Manche Unternehmen müssen beide Regelwerke gleichzeitig erfüllen. Typisch dafür sind:

  • Hersteller kritischer Infrastruktur-Software: Ein Unternehmen, das Steuerungssoftware für Energienetze entwickelt (CRA als Hersteller) und gleichzeitig als Betreiber im Energiesektor eingestuft ist (NIS2)
  • Cloud-Dienst-Anbieter mit Produktkomponente: Ein IaaS-Anbieter (NIS2: digitale Infrastruktur) der zugleich eine Client-Software vertreibt (CRA: Produkt)
  • Industrieautomations-Unternehmen: Entwickelt OT-Software (CRA) und betreibt eigene Fertigungsanlagen in einem NIS2-relevanten Sektor
  • Managed Security Service Provider (MSSP): Betreiber (NIS2) und Hersteller eigener Sicherheitsprodukte (CRA)

Für diese Unternehmen gilt: Beide Compliance-Programme von Anfang an koordiniert planen — nicht als getrennte Projekte, sondern mit geteilten Grundlagen (Risikoanalyse, Incident Management, Lieferantenmanagement). Wer NIS2 und CRA als zwei isolierte Projekte behandelt, zahlt den Aufwand doppelt. Das klingt nach bürokratischem Aufwand. Ist es auch — aber nur einmal, wenn man es richtig strukturiert.

Fazit

NIS2 und CRA sind keine Alternativen, zwischen denen ein Unternehmen wählen muss — sie sind komplementäre Regelwerke mit unterschiedlichen Adressaten. Die Verwechslung beider kann dazu führen, dass ein Hersteller glaubt, mit NIS2-Compliance auch CRA-konform zu sein — und umgekehrt.

Ausgangspunkt ist eine klare Rollenbeschreibung: Sind Sie Hersteller, Importeur oder Händler eines vernetzten Produkts? Dann gilt der CRA. Betreibt Ihr Unternehmen wesentliche oder wichtige Dienste in einem der 18 NIS2-Sektoren? Dann gilt NIS2. Wenn beides zutrifft, gelten beide.

Welche CRA-Pflichten konkret auf Ihr Produkt zutreffen, erfahren Sie über den kostenlosen CRA-Check. Für eine vollständige Übersicht lesen Sie Was ist der Cyber Resilience Act? und Wer ist vom CRA betroffen?.

Wenn Sie ein strukturiertes Dokumentationspaket für Ihre CRA-Compliance benötigen, erfahren Sie mehr unter Evidence Pack — CRA-Dokumentation.

Quellen

  1. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555
  2. EU-Verordnung 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyber Resilience Act): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402847
  3. BSI — NIS2: Umsetzung und nationale Anforderungen: https://www.bsi.bund.de/DE/Themen/Regulierung/NIS-2-Richtlinie/
  4. ENISA — NIS2 Directive Overview: https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new
  5. Bundesministerium des Innern — NIS2UmsuCG: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/nis2-umsetzungsgesetz.html

Weiterlernen

Verwandte Artikel

Nächster Schritt

Wissen allein schützt nicht. Prüfen Sie jetzt, welche CRA-Klasse Ihr Produkt betrifft — kostenlos, in unter 3 Minuten.

CRA-RouteCheck starten Evidence Pack ansehen

Quellen-Hinweis: Dieser Artikel basiert auf der EU-Verordnung 2024/2847 (Cyber Resilience Act), veröffentlicht im Amtsblatt der Europäischen Union am 20. November 2024. Bei regulatorischen Aussagen wird jeweils der einschlägige Artikel angegeben. Stand der Informationen: 20. Mai 2026.

Kein Rechtsrat: Dieser Artikel stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen konsultieren Sie bitte einen Fachanwalt für IT-Recht oder eine notifizierte Stelle.