CRA & NIS2: Was Mittelstand und Hersteller jetzt umsetzen müssen

Die EU zieht die Schrauben in Sachen Cybersicherheit massiv an. Mit der NIS2-Richtlinie und dem neuen Cyber Resilience Act (CRA) werden Unternehmen in ganz Europa verpflichtet, ihre Sicherheitsstrukturen auf ein neues Niveau zu heben. Für den deutschen Mittelstand bedeutet das: keine Option, sondern Pflicht.

Zwei Rechtsakte, ein Ziel: Mehr Cyber-Resilienz

Sowohl die NIS2-Richtlinie als auch der Cyber Resilience Act verfolgen dasselbe Ziel: die Widerstandsfähigkeit Europas gegen Cyberangriffe zu erhöhen. Doch die Wege dorthin sind unterschiedlich.

NIS2 betrifft Betreiber kritischer und wichtiger Dienste – also Unternehmen in Branchen wie Energie, Gesundheit, Transport, Maschinenbau oder Lebensmittelproduktion. Für alle gilt: Wer mehr als 50 Mitarbeiter hat oder über 10 Mio. Euro Umsatz macht, fällt in den Anwendungsbereich.

Der CRA richtet sich hingegen an Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Darunter fallen klassische Softwareprodukte ebenso wie Industrieanlagen mit eingebetteter Software, IoT-Geräte oder Automotive-Komponenten. Entscheidend ist: Sicherheitsanforderungen müssen über den gesamten Produktlebenszyklus hinweg eingehalten werden – von der Entwicklung über Updates bis hin zur Außerbetriebnahme.

Rechtslage und Zeitplan

Hier liegt ein wichtiger Unterschied: NIS2 ist eine Richtlinie. Sie muss in nationales Recht umgesetzt werden. Deutschland ist damit im Verzug – die Verabschiedung des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) wird frühestens Ende 2025 erwartet. Übergangsfristen dürften kurz sein, was Unternehmen unter erheblichen Handlungsdruck setzt.

Der CRA dagegen ist eine Verordnung. Er gilt bereits unmittelbar in allen EU-Mitgliedsstaaten seit Dezember 2024. Für Unternehmen bedeutet das: die Uhr tickt. Die wichtigsten Pflichten treten im Dezember 2027 in Kraft, Meldepflichten sogar schon ab September 2026. Wer bis dahin seine Entwicklungsprozesse, Update-Strategien und Schwachstellenmanagement nicht angepasst hat, darf seine Produkte schlicht nicht mehr auf den Markt bringen.

Gemeinsamkeiten – und der entscheidende Unterschied

Beide Gesetze erhöhen die Anforderungen an Cybersicherheit, sehen Meldepflichten für Sicherheitsvorfälle vor und drohen mit empfindlichen Sanktionen bei Nichteinhaltung. Managementhaftung, Audits und Bußgelder sind Teil des neuen europäischen Normalzustands.

Der entscheidende Unterschied liegt im Fokus:

• NIS2 verlangt Governance und Prozesse. Es geht um Risikoanalysen, Business-Continuity-Pläne und Vorfallmanagement in Organisationen.

• CRA verlangt Produktsicherheit. Hersteller müssen Updates bereitstellen, Schwachstellen beheben und durch eine CE-Kennzeichnung nachweisen, dass ihre Produkte cyberresilient sind.

ISO 27001 als pragmatische Brücke

Viele Mittelständler fragen sich: Wie lässt sich all das bewältigen? Ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 ist die naheliegende Antwort.

Denn ISO 27001 liefert:

• einen strukturierten Rahmen für Risikoanalysen, Policies und Verantwortlichkeiten,

• klare Prozesse für Incident Response und Meldewesen,

• etablierte Verfahren für Patch- und Schwachstellenmanagement,

• und regelmäßige Audits, die helfen, Lücken frühzeitig zu schließen.

Damit unterstützt ein ISMS nicht nur die organisatorischen Anforderungen von NIS2, sondern auch die technischen Anforderungen des CRA. Besonders in der Lieferkette – etwa bei der Dokumentation von Softwarekomponenten (SBOM) – wird ISO 27001 zur unverzichtbaren Grundlage.

Wer abwartet, verliert

NIS2 und CRA sind keine abstrakten Brüsseler Papiere. Sie sind geltendes Recht, das in den kommenden zwei Jahren spürbar durchschlägt. Für Mittelständler bedeutet das:

• Betreiber digitaler Dienste müssen ihre Governance und Risikoorganisation auf NIS2 ausrichten.

• Hersteller digitaler Produkte müssen ihre Entwicklungsprozesse so umbauen, dass sie die CRA-Pflichten erfüllen.

Wer jetzt investiert, sichert nicht nur die Compliance, sondern gewinnt auch Vertrauen bei Kunden und Partnern. Wer wartet, riskiert Marktverluste – und im schlimmsten Fall ein Verkaufsverbot.

👉 Ihr nächster Schritt: Erfahren Sie, wie Sie Ihr Unternehmen auf den Cyber Resilience Act vorbereiten. Besuchen Sie unsere Seite zu CRA Consulting oder buchen Sie ein unverbindliches Beratungsgespräch mit Opexa Advisory.