NIS-2 vs. Cyber Resilience Act: Zwei wichtige EU-Regelungen für mehr Cybersicherheit – aber was genau unterscheidet sie?

Die EU reagiert auf die steigenden Cyberbedrohungen mit zwei neuen Gesetzen, die Unternehmen und Hersteller stärker in die Verantwortung nehmen. Doch während sie beide dasselbe Ziel haben – eine sicherere digitale Welt – setzen sie an unterschiedlichen Stellen an.

NIS-2 (Network and Information Security Directive 2)

Die überarbeitete NIS-2-Richtlinie richtet sich an Unternehmen und Organisationen, die kritische oder wichtige Dienstleistungen erbringen. Dazu gehören u.a. Energieversorger, Banken, Transport- und Gesundheitsunternehmen, aber auch Hersteller von Gütern (z.B. Chemie, Maschinenbau etc.) und deren Lieferanten.

Als EU Richtlinie muss die NIS-2 in nationales Recht umgewandelt werden. Für Deutschland wird dies nicht vor November 2025 erwartet.

➡️ Unternehmen müssen Cyber-Risiken aktiv managen und robuste Sicherheitsmaßnahmen implementieren. Der Fokus liegt auf der Infrastruktur und Diensten (auch SaaS).

➡️ Meldepflicht für Cybervorfälle: Betroffene Organisationen müssen Sicherheitsvorfälle zeitnah den Behörden melden.

➡️ Erweiterter Geltungsbereich: Deutlich mehr Branchen und Unternehmen als bisher fallen unter die Regelung.

➡️ Hohe Strafen: Unternehmen, die sich nicht an die Vorgaben halten, die von der Wichtigkeit und Größe des Unternehmens abhängen, müssen mit empfindlichen Geldbußen rechnen.

Cyber Resilience Act (CRA)

Während NIS-2 sich auf die Sicherheit von Unternehmen konzentriert, geht der Cyber Resilience Act einen Schritt weiter: Er setzt bei den Produkten selbst an.

Als EU Act ist der CRA sofort gültig und bedarf keiner Umsetzung in nationales Recht. Eine Meldepflicht für Schwachstellen und Sicherheitsvorfälle besteht ab September 2026. Die Einhaltung aller Anforderungen ist ab Dezember 2027 verpflichtend.

➡️ Gilt für Hersteller von Hardware & Software mit digitalen Elementen – von IoT-Geräten über Betriebssysteme bis hin zu Cloud-Diensten.

➡️ Cybersicherheit „by Design“: Produkte müssen von Anfang an mit Sicherheitsmaßnahmen ausgestattet sein.

➡️ Klare Anforderungen für Updates & Support: Hersteller müssen Sicherheitslücken über den gesamten Produktlebenszyklus hinweg beheben.

➡️ Verpflichtende CE-Kennzeichnung für digitale Produkte, die EU-Sicherheitsstandards erfüllen.

Warum sind beide Regelungen so wichtig?

Während NIS-2 die Cybersicherheitsmaßnahmen in Unternehmen und Organisationen verschärft, stellt der Cyber Resilience Act sicher, dass digitale Produkte bereits bei ihrer Entwicklung höchsten Sicherheitsstandards entsprechen.

Kurz gesagt:

📌 NIS-2 = Stärkere Cybersicherheit für Unternehmen & kritische Infrastrukturen

📌 Cyber Resilience Act = Sichere digitale Produkte von Anfang an

Was das nun für Ihr Unternehmen bedeutet und wie Sie sicher durch die neuen EU-Anforderungen navigieren können, zeigen wir Ihnen gerne auf.

Hildegard von Waldenfels, Cyber Security Expertin und Senior Sales Managerin bei citema, berät Sie gerne!