Framework-Vergleich

NIS2 vs CRA

NIS2 und der Cyber Resilience Act (CRA) sind beide EU-Cybersicherheitsrecht, setzen aber an unterschiedlichen Stellen an: NIS2 reguliert Organisationen, der CRA reguliert Produkte. Viele Unternehmen, gerade IT-Hersteller, fallen unter beide Regelwerke zugleich.

Kurzantwort

NIS2 verpflichtet Betreiber und Einrichtungen in kritischen Sektoren zu einem sicheren IT-Betrieb (die Organisation muss sicher sein). Der CRA verpflichtet Hersteller, Importeure und Händler, Produkte mit digitalen Elementen sicher zu bauen und zu warten (das Produkt muss sicher sein). Ein IT-Hersteller, der zugleich wichtige Einrichtung ist, muss beides erfüllen.

NIS2 und CRA im direkten Vergleich

NIS2CRA
Reguliert wirdOrganisationen (Betreiber, Einrichtungen)Produkte mit digitalen Elementen
AdressatenWesentliche und wichtige Einrichtungen in 18 SektorenHersteller, Importeure, Händler
RechtsformRichtlinie (in DE über BSIG umgesetzt)Verordnung (EU-weit unmittelbar geltend)
KernpflichtRisikomanagement + Meldepflichten für den BetriebSecurity by Design, Schwachstellenmanagement, CE-Kennzeichnung
Meldung anBSI (24h/72h/1 Monat)ENISA und CSIRT (24h/72h/14 Tage)
BußgeldBis 10 Mio. € oder 2 % (wesentliche Einrichtung)Bis 15 Mio. € oder 2,5 % des Umsatzes

Die wichtigsten Unterschiede

Organisation vs. Produkt

NIS2 fragt: Ist Ihr Unternehmen sicher aufgestellt? Der CRA fragt: Sind Ihre Produkte sicher gebaut und gewartet? Das ist der grundlegende Unterschied der beiden Regelwerke.

Wer betroffen ist

NIS2 knüpft an Sektor und Unternehmensgröße an. Der CRA knüpft an die Rolle in der Produkt-Lieferkette an und kennt keine generelle Ausnahme für kleine Unternehmen.

Nachweis

NIS2 verlangt die nachweisbare Umsetzung gegenüber dem BSI. Der CRA verlangt eine Konformitätsbewertung, technische Dokumentation und die CE-Kennzeichnung als Voraussetzung für den Marktzugang.

Zeitplan

NIS2 ist in Deutschland in der nationalen Umsetzung. Der CRA gilt gestaffelt: Meldepflicht ab 11.09.2026, übrige Pflichten ab 11.12.2027.

Gemeinsamkeiten

  • Beide sind EU-Cybersicherheitsrecht mit empfindlichen Bußgeldern
  • Beide kennen enge Meldepflichten mit einer 24-Stunden-Frühwarnung
  • Beide setzen ein systematisches Schwachstellen- und Risikomanagement voraus
  • Ein sauber aufgebautes Sicherheits- und Schwachstellenmanagement zahlt auf beide Regelwerke ein

Welches brauche ich?

Die beiden schließen sich nicht aus, sondern können sich überlagern. Ein Hersteller vernetzter Produkte, der zugleich als wichtige oder wesentliche Einrichtung gilt, muss NIS2 für den eigenen Betrieb und den CRA für seine Produkte erfüllen.

Empfehlung: Klären Sie beide Fragen getrennt. Prüfen Sie einerseits Ihre NIS2-Betroffenheit nach Sektor und Größe, andererseits Ihre CRA-Rolle für Ihre Produkte. Ein gemeinsames Fundament aus Risikomanagement, Schwachstellenprozess und Meldewegen bedient den Kern beider Welten, die Meldewege und Nachweise unterscheiden sich aber.

Häufig gestellte Fragen

Kann mein Unternehmen unter NIS2 und CRA fallen?

Ja, das ist gerade bei IT-Herstellern häufig. NIS2 kann Ihren Betrieb als wichtige oder wesentliche Einrichtung erfassen, während der CRA parallel für Ihre Produkte mit digitalen Elementen gilt.

Was ist der Hauptunterschied zwischen NIS2 und CRA?

NIS2 reguliert Organisationen und deren sicheren IT-Betrieb, der CRA reguliert Produkte und deren sichere Entwicklung und Wartung. Kurz: NIS2 betrifft das Unternehmen, der CRA das Produkt.

Erfülle ich mit NIS2 automatisch den CRA?

Nein. Die Regelwerke überschneiden sich beim Risiko- und Schwachstellenmanagement, verfolgen aber unterschiedliche Ziele. Der CRA verlangt zusätzlich produktbezogene Pflichten wie Konformitätsbewertung, technische Dokumentation und CE-Kennzeichnung.

NIS2 und CRA in einer Plattform

CompliantDesk bringt alle Frameworks über ein gemeinsames Kern-Modell zusammen. Check-Antworten fließen automatisch in alle relevanten Standards, kein doppeltes Dokumentieren.