Framework-Vergleich
NIS2 vs CRA
NIS2 und der Cyber Resilience Act (CRA) sind beide EU-Cybersicherheitsrecht, setzen aber an unterschiedlichen Stellen an: NIS2 reguliert Organisationen, der CRA reguliert Produkte. Viele Unternehmen, gerade IT-Hersteller, fallen unter beide Regelwerke zugleich.
Kurzantwort
NIS2 verpflichtet Betreiber und Einrichtungen in kritischen Sektoren zu einem sicheren IT-Betrieb (die Organisation muss sicher sein). Der CRA verpflichtet Hersteller, Importeure und Händler, Produkte mit digitalen Elementen sicher zu bauen und zu warten (das Produkt muss sicher sein). Ein IT-Hersteller, der zugleich wichtige Einrichtung ist, muss beides erfüllen.
NIS2 und CRA im direkten Vergleich
| NIS2 | CRA | |
|---|---|---|
| Reguliert wird | Organisationen (Betreiber, Einrichtungen) | Produkte mit digitalen Elementen |
| Adressaten | Wesentliche und wichtige Einrichtungen in 18 Sektoren | Hersteller, Importeure, Händler |
| Rechtsform | Richtlinie (in DE über BSIG umgesetzt) | Verordnung (EU-weit unmittelbar geltend) |
| Kernpflicht | Risikomanagement + Meldepflichten für den Betrieb | Security by Design, Schwachstellenmanagement, CE-Kennzeichnung |
| Meldung an | BSI (24h/72h/1 Monat) | ENISA und CSIRT (24h/72h/14 Tage) |
| Bußgeld | Bis 10 Mio. € oder 2 % (wesentliche Einrichtung) | Bis 15 Mio. € oder 2,5 % des Umsatzes |
Die wichtigsten Unterschiede
Organisation vs. Produkt
NIS2 fragt: Ist Ihr Unternehmen sicher aufgestellt? Der CRA fragt: Sind Ihre Produkte sicher gebaut und gewartet? Das ist der grundlegende Unterschied der beiden Regelwerke.
Wer betroffen ist
NIS2 knüpft an Sektor und Unternehmensgröße an. Der CRA knüpft an die Rolle in der Produkt-Lieferkette an und kennt keine generelle Ausnahme für kleine Unternehmen.
Nachweis
NIS2 verlangt die nachweisbare Umsetzung gegenüber dem BSI. Der CRA verlangt eine Konformitätsbewertung, technische Dokumentation und die CE-Kennzeichnung als Voraussetzung für den Marktzugang.
Zeitplan
NIS2 ist in Deutschland in der nationalen Umsetzung. Der CRA gilt gestaffelt: Meldepflicht ab 11.09.2026, übrige Pflichten ab 11.12.2027.
Gemeinsamkeiten
- Beide sind EU-Cybersicherheitsrecht mit empfindlichen Bußgeldern
- Beide kennen enge Meldepflichten mit einer 24-Stunden-Frühwarnung
- Beide setzen ein systematisches Schwachstellen- und Risikomanagement voraus
- Ein sauber aufgebautes Sicherheits- und Schwachstellenmanagement zahlt auf beide Regelwerke ein
Welches brauche ich?
Die beiden schließen sich nicht aus, sondern können sich überlagern. Ein Hersteller vernetzter Produkte, der zugleich als wichtige oder wesentliche Einrichtung gilt, muss NIS2 für den eigenen Betrieb und den CRA für seine Produkte erfüllen.
Empfehlung: Klären Sie beide Fragen getrennt. Prüfen Sie einerseits Ihre NIS2-Betroffenheit nach Sektor und Größe, andererseits Ihre CRA-Rolle für Ihre Produkte. Ein gemeinsames Fundament aus Risikomanagement, Schwachstellenprozess und Meldewegen bedient den Kern beider Welten, die Meldewege und Nachweise unterscheiden sich aber.
Häufig gestellte Fragen
Kann mein Unternehmen unter NIS2 und CRA fallen?
Ja, das ist gerade bei IT-Herstellern häufig. NIS2 kann Ihren Betrieb als wichtige oder wesentliche Einrichtung erfassen, während der CRA parallel für Ihre Produkte mit digitalen Elementen gilt.
Was ist der Hauptunterschied zwischen NIS2 und CRA?
NIS2 reguliert Organisationen und deren sicheren IT-Betrieb, der CRA reguliert Produkte und deren sichere Entwicklung und Wartung. Kurz: NIS2 betrifft das Unternehmen, der CRA das Produkt.
Erfülle ich mit NIS2 automatisch den CRA?
Nein. Die Regelwerke überschneiden sich beim Risiko- und Schwachstellenmanagement, verfolgen aber unterschiedliche Ziele. Der CRA verlangt zusätzlich produktbezogene Pflichten wie Konformitätsbewertung, technische Dokumentation und CE-Kennzeichnung.
Weiterführend
NIS2 und CRA in einer Plattform
CompliantDesk bringt alle Frameworks über ein gemeinsames Kern-Modell zusammen. Check-Antworten fließen automatisch in alle relevanten Standards, kein doppeltes Dokumentieren.
