NIS2 vs. CRA – vom ISMS zur Produktsicherheit

Inhalt

Mit der NIS2-Richtlinie und dem Cyber Resilience Act (CRA) gelten in der EU zwei Regelwerke parallel. Wer ein Informationssicherheits-Managementsystem (ISMS) betreibt und damit NIS2-Compliance erlangt, hat damit aber noch keine CRA-Konformität erreicht.

Wir erklären Gemeinsamkeiten und Unterschiede der Regelungen – und zeigen, wie sich ein bestehendes NIS2-ISMS gezielt für den CRA erweitern lässt.

Worin unterscheiden sich NIS2 und CRA?

CRA und NIS sind beides Regelwerke, die das Cybersicherheitsniveau in der EU heben sollen, setzen aber an unterschiedlichen Stellen an. Die NIS2-Richtlinie – in Deutschland umgesetzt durch das NIS2-Umsetzungsgesetz im novellierten BSI-Gesetz (BSIG) – verpflichtet Organisationen bestimmter Sektoren, ihre Netz- und Informationssysteme abzusichern und erhebliche Vorfälle zu melden. Der Cyber Resilience Act fokussiert hingegen auf alle Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden.

Merke: NIS2 fragt, wie sicher Sie als Betreiber arbeiten. Der CRA fragt, wie sicher das ist, was Sie herstellen und verkaufen.

Unterschiede von NIS2 und CRA im Überblick

Kriterium NIS2 CRA
Regelungsebene Organisation und Betrieb einzelnes Produkt
Rechtsform Richtlinie, nationale Umsetzung nötig Verordnung, unmittelbar geltend
Adressat wesentliche und wichtige Einrichtungen Hersteller, Importeure, Händler
Schutzziel Funktionsfähigkeit kritischer Dienste Sicherheit des Produkts über den Lebenszyklus
Nachweis Risikomanagement und Meldewesen Konformitätsbewertung, je nach Kritikalität des Produktes durch externe Prüfung belegt
Aufsicht nationale Behörden (in Deutschland: BSI) Marktüberwachungsbehörden
Geltungsbeginn in Kraft seit 06.12.2025 (ohne Übergangsfrist) Meldepflichten ab 11.09.2026, volle Anwendbarkeit ab 11.12.2027
Sanktionen bis 10 Mio. € bzw. 2 % des weltweiten Jahresumsatzes (besonders wichtige Einrichtungen); bis 7 Mio. € bzw. 1,4 % (wichtige Einrichtungen) bis 15 Mio. € bzw. 2,5 % des weltweiten Jahresumsatzes, Produktrückruf, Entzug der Marktzulassen (CE-Kennzeichnung)

Die beiden von NIS2 und CRA angesprochenen Ebenen greifen also ineinander, ersetzen sich aber nicht: Eine Einrichtung kann ihre NIS2-Pflichten vollständig erfüllen und trotzdem nicht-konforme Produkte herstellen – und umgekehrt.

Wo überschneiden sich die Anforderungen von CRA und NIS2?

Trotz der unterschiedlichen Ebene teilen NIS2 und CRA ein gemeinsames Fundament. Wer NIS2 umsetzt, hat mehrere Bausteine bereits aufgebaut, die auch der CRA verlangt:

  • Risikobasiertes Vorgehen: Beide verlangen, Risiken systematisch zu bewerten und Maßnahmen daran auszurichten.
  • Technische und organisatorische Maßnahmen: Zugriffskontrolle, Verschlüsselung sowie Patch- und Schwachstellenmanagement finden sich in beiden Regelwerken.
  • Meldepflichten bei Vorfällen: NIS2 verlangt die Meldung erheblicher Sicherheitsvorfälle, der CRA die Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Vorfälle.
  • Sicherheit in der Lieferkette: Beide nehmen Abhängigkeiten von Dritten und eingebundene Komponenten in den Blick.

Diese Überschneidungen erklären, warum NIS2 ein nützlicher Startpunkt ist. Sie verleiten aber auch zu dem Fehlschluss, mit NIS2 sei der CRA bereits miterledigt. Tatsächlich verlangt NIS2 diese Maßnahmen auf Organisationsebene, der CRA fordert sie nachweisbar für jedes einzelne Produkt – von der Konzeption bis zum Ende des Unterstützungszeitraums.

Welche Produkte betrifft der CRA und wo berührt das NIS2?

Der CRA stuft Produkte nach ihrem Risiko ein. Neben der großen Masse der Standardprodukte (Selbstbewertung) definiert er wichtige Produkte (in Anhang III) und kritische Produkte (in Anhang IV), für die strengere Konformitätsbewertungen gelten. Die technische Beschreibung dieser Kategorien hat die Kommission inzwischen mit der Durchführungsverordnung (EU) 2025/2392 konkretisiert.

Viele dieser Produkte sind genau die Sicherheitsbausteine, auf die NIS2-pflichtige Einrichtungen ihre Infrastruktur stützen. Hier greifen beide Regelwerke ineinander:

CRA-Produktklasse Beispiele Bezug zu NIS2
Kritisch (Anhang IV) Hardware-Sicherheitsmodule, Smart-Meter-Gateways, Chipkarten und Secure Elements Bilden die Vertrauensanker, auf denen NIS2-Einrichtungen etwa in Energie und Finanzwesen aufsetzen
Wichtig, Klasse II (Anhang III) Firewalls, Intrusion-Detection-/-Prevention-Systeme, Mikroprozessoren mit Sicherheitsfunktion Kernkomponenten der Netzsicherheit, die das NIS2-Risikomanagement praktisch voraussetzt
Wichtig, Klasse I (Anhang III) VPN, Passwortmanager, SIEM, Virenschutz, Identitäts- und Zugriffsmanagement, Router, Switches, Betriebssysteme Standardwerkzeuge, mit denen NIS2-Maßnahmen wie Zugriffskontrolle und Monitoring umgesetzt werden

Für betroffene Hersteller ergibt sich daraus eine doppelte Rolle: Sie müssen ihre Produkte CRA-konform machen und liefern zugleich die Bausteine, mit denen ihre Kunden ihre NIS2-Pflichten erfüllen. Die CRA-Konformität eines Zulieferprodukts wird damit zunehmend zum Beschaffungskriterium auch ohne, dass NIS2 das ausdrücklich verlangt.

Wie viel hilft NIS2-Compliance auf dem Weg zur CRA-Compliance?

NIS2-Compliance verschafft Ihnen einen Vorsprung, ersetzt die CRA-Arbeit aber nicht. Ein gut geführtes NIS2-ISMS liefert das organisatorische Fundament: ein etabliertes Risikomanagement mit klaren Verantwortlichkeiten, einen Meldeprozess, der sich auf die CRA-Fristen ausweiten lässt, und erste Ansätze zur Lieferketten- und Schwachstellenbewertung.

Der produktbezogene Teil des CRA liegt jedoch außerhalb dieses Fundaments. Er verlangt,

  • Sicherheit bereits in Konzeption und Entwicklung jedes Produkts zu verankern (Security by Design),
  • Schwachstellen über den gesamten Unterstützungszeitraum zu behandeln und sicher zu patchen,
  • sämtliche Komponenten in einer Software-Stückliste (SBOM – Software Bill of Materials) nachzuhalten und
  • die Produktsicherheit über eine technische Dokumentation nachweisbar zu machen.

Diese Anforderungen kennt ein NIS2-ISMS nicht – sie entscheiden aber über die CRA-Konformität und damit über die Zuteilung einer CE-Kennzeichnung, was wiederum die Voraussetzung für Marktzugang in der EU ist.

Wie erweitern Sie Ihr NIS2-ISMS für die CRA-Compliance?

Wenn Sie als Unternehmen bereits über NIS2-Compliance verfügen, ist der erste Schritt zur CRA-Konformität? eine ehrliche Bestandsaufnahme: Was deckt Ihr ISMS bereits ab, wo fehlen produktbezogene Prozesse und reichen Ihre Nachweise für eine Konformitätsbewertung?

Bewährtes hat sich folgendes Vorgehen, um von NIS2 zum CRA zu gelangen:

  1. Produkte erfassen: Bestimmen Sie, welche Produkte mit digitalen Elementen Sie in der EU bereitstellen und welche Rolle Sie einnehmen – als Hersteller, Importeur oder Händler.
  2. Einstufung klären: Ordnen Sie Ihre Produkte den CRA-Kategorien (Standard, wichtig (Klasse 1 oder 2), kritisch) zu. Davon hängt ab, ob eine Selbstbewertung genügt oder eine strengere Konformitätsbewertung nötig ist.
  3. Mapping: Ordnen Sie bestehende NIS2- und ISMS-Maßnahmen den produktbezogenen CRA-Anforderungen zu – von Security by Design über die Schwachstellenbehandlung bis zu den Sicherheitsupdates.
  4. Lücken identifizieren: Erfassen Sie fehlende Prozesse und Nachweise, mit besonderem Augenmerk auf Schwachstellenmanagement, SBOM und technische Dokumentation.
  5. Priorisieren und planen: Bringen Sie die Maßnahmen in eine Reihenfolge nach Risiko und Aufwand und hinterlegen Sie klare Verantwortlichkeiten und Termine.

Das methodische Gerüst dafür kennen Sie aus NIS2: Die Logik der NIS2-Gap-Analyse und NIS2-Projektplanung lässt sich direkt auf die Produktebene übertragen – statt der Organisation prüfen Sie nun jedes einzelne Produkt.

Tipp: Bauen Sie für jedes vom CRA betroffene Produkt eine eigene Compliance-Akte auf, in der Sicherheitsanforderungen, Designentscheidungen, Tests, SBOM, Schwachstellenprozesse, Update-Politik und technische Dokumentation zusammenlaufen.

Nutzen Sie dafür im Idealfall eine spezialisierte Softwarelösung wie activeMind.cloud, um stets alle aktuellen Informationen bereit zu haben und Synergieeffekte bei mehreren Produkten zu erzielen. Das reduziert den Aufwand bei Konformitätsbewertung und Marktüberwachung erheblich.

Wie kann activeMind NIS2-Unternehmen dabei helfen, CRA-Readiness zu entwickeln?

Um Unternehmen, die bereits unter die NIS2-Richtlinie fallen, für den Cyber Resilience Act vorzubereiten, beginnen wir mit einer CRA-Betroffenheitsprüfung, um die relevanten Produkte zu identifizieren. Darauf folgt ein CRA-Compliance-Kickoff, bei welchem wir Risiken und etwaige Lücken identifizieren sowie Maßnahmen und Verantwortlichkeiten festlegen. Auf Wunsch begleiten wir bis zur Konformitätsbewertung, je nach Kritikalität der Produkte als interne Prüfung oder als Vorbereitung auf ein externes Audit.

Ihre Vorteile:

  • Unsere Berater kennen sowohl NIS2 und BSIG als auch den CRA in der Tiefe und finden dadurch den besten Weg für Ihr Unternehmen.
  • Sie profitieren einerseits von Synergieeffekten aus beiden Normen und andererseits von einer tatsächlich verbesserten Unternemens- und Produktsicherheit, was die Risiken von Bußgeldern, Haftung und Produktrückrufen erheblich senkt.

Bestehende NIS2-Compliance kann zum Vorsprung auf dem Weg zur CRA-Readiness werden, allerdings wissen viele interne Temas nicht wie. Unsere Experten zeigen Ihnen gerne den besten Weg.

Vereinbaren Sie jetzt einen kostenfreies Erstgespräch!

Fazit: Ein gemeinsames Fundament, zwei Nachweise

NIS2 und CRA sind zwei Ebenen derselben Cybersicherheitsstrategie: NIS2 sichert die Organisation, der CRA das Produkt. Wer NIS2 umsetzt, startet nicht bei null – aber er ist auch nicht am Ziel. Das organisatorische Fundament steht; den produktbezogenen Teil des CRA müssen Unternehmen eigenständig aufbauen: Security by Design, Schwachstellenbehandlung über den gesamten Unterstützungszeitraum, sichere Updates, eine belastbare SBOM und eine prüffähige technische Dokumentation.

Ab 11. Dezember 2027 ist der CRA vollständig anwendbar. Belastbare Prozesse und Nachweise entstehen nicht kurzfristig. Am besten beginnen Sie jetzt mit der Bestandsaufnahme, solange Sie das Tempo noch selbst bestimmen können.

Weiterlesen

NIS2-Compliance: Darauf kommt es wirklich an!

Unsere Experten haben ihre Erfahrungen aus zahlreichen NIS2-Projekten für Sie gesammelt. 

Diese senden wir Ihnen kostenfrei und unverbindlich zu. Melden Sie sich jetzt an und erhalten alle Tipps zu NIS2 und BSIG! 

Für Unternehmen der
Finanzbranche

Vereinfachtes IKT-Risikomanagement
bei DORA

Webinar: 21. Okt. 2025 (11-12 Uhr)

Anmeldeschluss: 30. Sept. 2025!

Kostenfreies Erstgespräch

Sie schildern Ihr Anliegen zum CRA. Unsere Experten geben Ihnen eine ehrliche Einschätzung. 30 Minuten am Telefon, kostenfrei und unverbindlich. 

Wir melden uns umgehend mit einem Terminvorschlag!

Kostenfreies Erstgespräch

Sie schildern Ihr Anliegen zu NIS2. Unsere Experten geben Ihnen eine ehrliche Einschätzung. 30 Minuten am Telefon, kostenfrei und unverbindlich. 

Wir melden uns umgehend mit einem Terminvorschlag!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.