Der Cyber Resilience Act (CRA) und die NIS2-Richtlinie sind zwei zentrale Saeulen der europaeischen Cybersicherheitsstrategie. Obwohl sie sich ergaenzen, verfolgen sie unterschiedliche Ziele und gelten fuer verschiedene Bereiche.

1. Was ist NIS2?

Die NIS2-Richtlinie (Network and Information Security 2) trat im Januar 2023 in Kraft und musste bis Oktober 2024 in nationales Recht umgesetzt werden. Sie gilt fuer wesentliche und wichtige Einrichtungen in kritischen Sektoren wie Energie, Verkehr, Gesundheit, digitale Infrastruktur und oeffentliche Verwaltung.

2. Was ist der CRA?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung mit direkter Geltung in allen Mitgliedstaaten. Er verpflichtet Hersteller von Produkten mit digitalen Elementen zu strengen Cybersicherheitsanforderungen: Sicherheit durch Design, SBOM, Schwachstellenmanagement und Meldung ausgenutzter Schwachstellen innerhalb von 24 Stunden.

3. Die wichtigsten Unterschiede

Anwendungsbereich: NIS2 gilt fuer Organisationen in kritischen Sektoren (Richtlinie, nationale Umsetzung erforderlich). CRA gilt fuer Produkte mit digitalen Elementen (Verordnung, direkt anwendbar).

Sanktionen: NIS2 bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes. CRA bis zu 15 Mio. Euro oder 2.5% des Umsatzes plus Marktruecknahme nicht konformer Produkte.

4. Ueberschneidungen und Synergien

Ein CRA-konformes Produkt hilft Unternehmen, ihre NIS2-Anforderungen an die Lieferkettensicherheit zu erfuellen. Die Meldepflichten beider Verordnungen betreffen haeufig dieselben Vorfaelle mit unterschiedlichen Fristen.

5. Praxisempfehlung

Erstellen Sie eine gemeinsame Compliance-Landkarte, nutzen Sie SBOM und technische Dokumentation fuer beide Zwecke und automatisieren Sie die Meldeprozesse mit einer Plattform wie Expert CRA.

Die CRA-Compliance ist in vielen Faellen eine Voraussetzung fuer die NIS2-Compliance. Behandeln Sie beide als komplementaer, nicht getrennt.