Was besagt NIS 2: Der Schutzschild für Ihr Unternehmen
Stellen Sie sich Ihr Unternehmen wie ein Haus vor. Die NIS-2-Richtlinie (in Deutschland als BSIG umgesetzt) kümmert sich um die Sicherheit des gesamten Gebäudes. Seit dem 06. Dezember 2025 ist dieses Gesetz offiziell in Kraft und verpflichtet Unternehmen bestimmter Sektoren dazu, ihre IT-Infrastruktur abzusichern.
Hier geht es nicht um ein einzelnes Gerät, sondern um die gesamte Organisation. Die EU möchte sicherstellen, dass wichtige Dienste – wie Energieversorgung, Gesundheitswesen oder digitale Plattformen – auch bei einem Hackerangriff weiter funktionieren. Erfüllt ein Unternehmen diese Auflagen nicht, droht nicht nur eine Unterbrechung der Dienstleistungen, sondern auch eine persönliche Haftung der Geschäftsleitung.
Was besagt CRA: Das Sicherheitssiegel für Ihre Produkte
Während NIS 2 das „Haus“ schützt, nimmt der Cyber Resilience Act (CRA) die „Einrichtungsgegenstände“ unter die Lupe. Der CRA gilt für fast alle Produkte mit digitalen Elementen – von der vernetzten Industriemaschine bis hin zur Softwarelösung.
Ziel der EU ist es, dass Produkte bereits bei der Herstellung sicher gestaltet werden, ein Konzept bekannt als „Security by Design“. Hersteller müssen künftig garantieren, dass sie Sicherheitslücken über Jahre hinweg durch Updates schließen. Am Ende steht oft eine CE-Kennzeichnung, die signalisiert: Dieses Produkt erfüllt die strengen europäischen Sicherheitsstandards.
Die wesentlichen Unterschiede zwischen CRA und NIS 2
Um die Abgrenzung zu verstehen, hilft ein Blick auf die Kernfragen:
- Wen betrifft es? NIS 2 richtet sich an die Betreiber von Infrastrukturen (die Nutzer der Technik), während der CRA die Hersteller, Importeure und Händler der Technik in die Pflicht nimmt.
- Was wird geschützt? Bei NIS 2 steht die Aufrechterhaltung des Betriebs im Vordergrund. Beim CRA geht es um die technische Integrität und Sicherheit des verkauften Produkts.
- Wie wird es nachgewiesen? NIS 2 verlangt regelmäßige Audits und Registrierungen beim BSI. Der CRA erfordert technische Dokumentationen, Konformitätserklärungen sowie Meldungen bei Schwachstellen und Sicherheitsvorfällen.
Zur Vereinfachung hier eine kompakte Übersicht der Unterschiede:
| Merkmal | NIS 2 mit Unternehmensfokus | CRA mit Produktfokus |
| Adressat | Wichtige und besonders wichtige Einrichtungen | Hersteller, Importeure und Händler digitaler Produkte |
| Gegenstand | Organisation, IT-Infrastruktur und Betriebsfähigkeit | Produkte mit digitalen Elementen |
| Nachweis | Sicherheitsmaßnahmen, Audits und Registrierung und Meldungen bei der zuständigen Behörde (z. B. BSI) | Technische Dokumentation, Konformitätserklärung und ggf. CE-Kennzeichnung, Meldungen zu Schwachstellen und Sicherheitsvorfällen |
| Haftung | Persönliche Verantwortung der Geschäftsleitung bei Pflichtverletzungen | Marktüberwachung, mögliche Rückrufe oder Verkaufsbeschränkungen |
Synergien nutzen: Warum Sie das Rad nicht neu erfinden müssen
Die gute Nachricht ist: Wer bereits Maßnahmen für NIS 2 umgesetzt hat, besitzt oft schon ein starkes Fundament für den CRA. Themen wie das Schwachstellenmanagement oder die Sicherheit in der Lieferkette tauchen in beiden Gesetzen auf.
Zusammen mit unseren Kunden konzeptionieren und begleiten wir die Operationalisierung dieser Anforderungen. Wir helfen Ihnen dabei, ein intelligentes Mapping zu erstellen, damit Ihre Compliance-Maßnahmen effizient ineinandergreifen.
Der d.works-Weg zur Compliance
Regulatorische Anforderungen sind nur dann beherrschbar, wenn sie strukturiert umgesetzt werden. Deshalb begleiten wir unsere Kunden in einem klar definierten Dreischritt:
- Konzeption: Wir identifizieren Ihre Betroffenheit und planen die notwendigen Schritte.
- Umsetzung: Wir entwickeln gemeinsam mit Ihnen die nötigen Richtlinien und führen sie in den laufenden Betrieb ein.
- Überprüfung: Wir messen die Ergebnisse und schließen letzte Lücken, um Ihre Zertifizierungsreife sicherzustellen.
Egal ob NIS 2 oder CRA – unter der Leitung von Jens Langguth unterstützt Sie unser Team dabei, regulatorische Hürden in einen echten Wettbewerbsvorteil zu verwandeln.
Sie sind unsicher, welches Gesetz für Sie aktuell Vorrang hat? Kontaktieren Sie uns für eine unverbindliche Ersteinschätzung oder eine gezielte CRA-Readiness-Analyse.