Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
NIS2 vs CRACyber Resilience Act NIS2CRA vs NIS2 VergleichNIS2 CRA Unterschied

NIS2 vs. CRA — Cyber Resilience Act und NIS2 im Vergleich

NIS2 regelt Betreiberpflichten, der CRA Produktsicherheit. Unsere Vergleichstabelle zeigt Unterschiede, Überschneidungen und Zeitpläne.

Veröffentlicht: 21. März 2026Letzte Aktualisierung: 21. März 202611 Min. Lesezeit

NIS2 vs. CRA — Cyber Resilience Act und NIS2 im Vergleich

NIS2 reguliert die Cybersicherheit von Betreibern und Dienstleistern, der Cyber Resilience Act (CRA) reguliert die Sicherheit von digitalen Produkten — beide Regulierungen können gleichzeitig gelten. Für die Einordnung von NIS2 vs CRA sind vier Zahlen besonders wichtig: NIS2 betrifft 18 Sektoren, der CRA erfasst grundsätzlich Produkte mit digitalen Elementen, die CRA-Meldepflichten starten am 11. September 2026, und die Bußgelder reichen beim CRA bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.

Die kurze Antwort lautet deshalb: NIS2 und CRA verfolgen unterschiedliche Regulierungsziele, überschneiden sich aber in der operativen Umsetzung. NIS2 fragt, ob Ihre Organisation Cyberrisiken beherrscht, Vorfälle meldet und Management-Verantwortung wahrnimmt. Der CRA fragt, ob Ihr Produkt sicher entwickelt, dokumentiert, gepflegt und über seinen Lebenszyklus hinweg mit einem belastbaren Schwachstellenmanagement betrieben wird. Wenn Sie bereits an einer NIS2-Checkliste arbeiten, die NIS2-Meldepflicht in 24 Stunden strukturieren oder NIS2 mit ISO 27001 vergleichen, sollten Sie den CRA nicht als Detailthema betrachten, sondern als separates Produktregime.

Wichtig ist die juristische Grundlinie: NIS2 ist die Richtlinie (EU) 2022/2555 und musste von den Mitgliedstaaten bis zum 17. Oktober 2024 umgesetzt werden; in Deutschland gilt das NIS2-Umsetzungsgesetz seit dem 6. Dezember 2025. Der CRA ist dagegen die Verordnung (EU) 2024/2847 und gilt unmittelbar in der EU. Genau daraus ergibt sich der wichtigste Unterschied im Projektalltag: NIS2 ist organisationsbezogene Cyber-Governance, der CRA ist produktbezogene Cybersicherheits- und Marktregulierung.

NIS2 vs. CRA — der zentrale Unterschied auf einen Blick

Der zentrale Unterschied zwischen NIS2 und CRA ist einfach: NIS2 reguliert Einrichtungen, der CRA reguliert Produkte. Wenn Ihr Unternehmen als Betreiber wesentlicher oder wichtiger Dienste eingeordnet wird, stehen bei NIS2 Governance, Risikomanagement, Lieferkette, Business Continuity und Vorfallmeldung im Mittelpunkt. Wenn Ihr Unternehmen Software, IoT-Geräte, Maschinen mit Konnektivität oder andere Produkte mit digitalen Elementen entwickelt oder vertreibt, stehen beim CRA Security by Design, Konformitätsbewertung, technische Dokumentation und Schwachstellenmanagement im Mittelpunkt.

Für Compliance-Verantwortliche ist diese Trennung wichtig, weil sie Verantwortlichkeiten sauber aufteilt. NIS2 ist typischerweise ein Thema für Geschäftsführung, Informationssicherheit, Recht, Compliance und Incident Response. Der CRA zieht zusätzlich Produktmanagement, Entwicklung, Product Security, Qualitätssicherung, Einkauf und oft auch Support in die Pflicht. Dass beide Regime dieselbe Sprache der Cybersicherheit verwenden, ändert nichts daran, dass sie unterschiedliche Objekte regeln.

Genau deshalb ist die Frage "NIS2 oder CRA?" in der Praxis oft falsch gestellt. Richtig ist die Frage: Regeln wir gerade die Resilienz unserer Organisation oder die Sicherheit unseres Produkts? Sobald ein Unternehmen beides gleichzeitig ist, also beispielsweise ein kritischer Dienstleister mit eigener Softwareplattform oder ein Industrieunternehmen mit vernetzten Produkten, wird aus der Abgrenzung eine Doppelpflicht. Dann müssen Sie zwei Regime koordinieren, aber nicht doppelt dokumentieren.

Die Abgrenzung hilft auch strategisch. Wer NIS2 mit dem CRA verwechselt, baut häufig zwar gute organisatorische Prozesse auf, verfehlt aber Produktpflichten wie technische Unterlagen, Supportzeiträume, Sicherheitsupdates oder die Vorbereitung auf Marktüberwachung. Umgekehrt kann ein Hersteller starke CRA-Prozesse etablieren und trotzdem NIS2-relevante Management- oder Meldepflichten unterschätzen. Für die Umsetzung bedeutet das: ein gemeinsamer Steuerungsrahmen, aber getrennte Pflichtmappen.

Vergleichstabelle NIS2 und CRA

Die folgende Tabelle verdichtet die wichtigsten Unterschiede zwischen NIS2 und CRA in der Form, die für Management, Compliance und Produktverantwortliche am schnellsten nutzbar ist:

DimensionNIS2CRA
RechtsformRichtlinie mit nationaler UmsetzungVerordnung, unmittelbar in der EU gültig
ZielgruppeBetreiber wesentlicher und wichtiger EinrichtungenHersteller, Importeure und teils Händler digitaler Produkte
Inkrafttreten / AnwendungEU-Umsetzungsfrist 17. Oktober 2024; in Deutschland seit 6. Dezember 2025In Kraft seit 10. Dezember 2024; Meldepflichten ab 11. September 2026; volle Anwendung ab 11. Dezember 2027
KernpflichtenMaßnahmen nach Art. 21, Governance, Risikomanagement, VorfallsteuerungSecurity by Design, Konformitätsbewertung, technische Dokumentation, Schwachstellenmanagement
AufsichtNationale Behörden und CSIRTs, in Deutschland insbesondere BSI-StrukturenMarktüberwachungsbehörden und produktbezogene Aufsichtsmechanismen
BußgeldBis 10 Mio. EUR oder 2 Prozent Umsatz bei wesentlichen Einrichtungen; bis 7 Mio. EUR oder 1,4 Prozent bei wichtigen EinrichtungenBis 15 Mio. EUR oder 2,5 Prozent Umsatz; in bestimmten Fällen auch 10 Mio. EUR oder 2 Prozent
MeldepflichtenFrühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht binnen 1 MonatAktiv ausgenutzte Schwachstellen und schwere Vorfälle binnen 24 Stunden an ENISA; zusätzlich Information an Nutzer
PrüfobjektDie Organisation und ihre Netz- und InformationssystemeDas Produkt mit digitalen Elementen über seinen Lebenszyklus

Für das Management lässt sich die Tabelle auf einen Satz reduzieren: NIS2 ist ein Governance-Regime für Einrichtungen, der CRA ein Produkt-Compliance-Regime für digitale Produkte. Diese Differenz erklärt fast alle Unterschiede bei Pflichten, Rollen, Nachweisen und Fristen.

Gleichzeitig zeigt die Tabelle, warum Unternehmen Überschneidungen nicht ignorieren dürfen. Beide Regime verlangen dokumentiertes Risikomanagement, belastbare Meldewege, Lieferkettenkontrolle und nachvollziehbare Verantwortlichkeiten. Wer diese Bausteine modular aufbaut, spart Aufwand. Wer zwei vollständig getrennte Programme startet, produziert doppelte Gremien, doppelte Register und trotzdem Lücken.

Wann gilt NIS2, wann der CRA — und wann beides?

NIS2 gilt, wenn Ihre Organisation unter den sachlichen und persönlichen Anwendungsbereich der Richtlinie beziehungsweise des nationalen Umsetzungsgesetzes fällt. Typisch sind Unternehmen in Sektoren wie Energie, Gesundheit, Verkehr, digitale Infrastruktur, Verwaltung, Trinkwasser, Abwasser, Produktion kritischer Güter oder bestimmte digitale Dienste. Der CRA gilt dagegen, wenn Sie Produkte mit digitalen Elementen in der EU bereitstellen, also beispielsweise Software, Apps, industrielle Steuerungen, eingebettete Systeme, Smart Devices oder IoT-Produkte.

Beides gilt gleichzeitig, wenn ein Unternehmen sowohl regulierte Einrichtung als auch Hersteller oder Anbieter digitaler Produkte ist. Ein Beispiel ist ein IoT-Hersteller für kritische Infrastrukturen, der selbst als wichtiger Dienstleister eingestuft wird. Ein weiteres Beispiel ist ein Softwareunternehmen, das Lösungen für regulierte Sektoren bereitstellt und gleichzeitig eigene NIS2-relevante Betriebsprozesse unterhält. Auch größere Industrieunternehmen mit vernetzten Produkten und kritischen Servicefunktionen landen häufig in dieser Überschneidung.

In der Praxis hilft eine einfache Dreiteilung:

  1. Nur NIS2: Sie betreiben keine eigenen digitalen Produkte am Markt, fallen aber als Einrichtung unter NIS2.
  2. Nur CRA: Sie stellen Produkte mit digitalen Elementen bereit, ohne selbst unter NIS2 zu fallen.
  3. NIS2 und CRA: Sie sind regulierte Einrichtung und Produktanbieter zugleich.

Der operative Fehler besteht oft darin, nur auf die eigene Branche zu schauen. Für den CRA ist nicht entscheidend, ob Sie klassisch als Hersteller wahrgenommen werden, sondern ob Sie ein Produkt mit digitalen Elementen entwickeln oder unter eigener Marke auf den Markt bringen. Für NIS2 ist umgekehrt nicht entscheidend, ob Sie Software bauen, sondern ob Ihre Einrichtung in einen erfassten Sektor fällt und die Größen- oder Relevanzkriterien erfüllt. Deshalb sollte die Erstprüfung immer zwei Fragen trennen: Welche Einrichtung sind wir? und welche Produkte bringen wir in Verkehr?

Wenn Sie die NIS2-Perspektive organisatorisch schärfen wollen, ist unsere NIS2-Checkliste der schnellste Einstieg. Für die Meldeuhr lohnt sich zusätzlich der Beitrag zur NIS2-Meldepflicht in 24 Stunden, weil genau dort später die Abgrenzung zu den CRA-Meldepflichten beginnt.

Überschneidungen bei Meldepflichten und Schwachstellenmanagement

Die größte praktische Überschneidung zwischen NIS2 und CRA liegt bei Incident Handling, Schwachstellenmanagement und Lieferkette. NIS2 verlangt nach Art. 21 Risikomanagementmaßnahmen und nach den Meldevorschriften gestufte Vorfallmeldungen an die zuständigen Stellen. Der CRA verlangt produktbezogenes Schwachstellenmanagement über den gesamten Lebenszyklus, Sicherheitsupdates, Nutzerinformation und Meldungen aktiv ausgenutzter Schwachstellen oder schwerer Sicherheitsvorfälle an ENISA.

Diese Überschneidung ist aber keine Identität. NIS2 meldet organisationsbezogen, der CRA produktbezogen. Wenn ein Angriff Ihre Betriebsfähigkeit oder Ihren Dienst beeinträchtigt, prüfen Sie zuerst den NIS2-Pfad. Wenn eine aktiv ausgenutzte Schwachstelle in Ihrem Produkt vorliegt oder ein schwerer Sicherheitsvorfall ein Produkt mit digitalen Elementen betrifft, prüfen Sie den CRA-Pfad. Ein einzelnes Ereignis kann deshalb beide Uhren gleichzeitig starten.

Für die Praxis bedeutet das, dass Sie einen gemeinsamen Incident Intake mit zwei Rechtsprüfungen brauchen:

  1. Betrifft der Vorfall die Einrichtung und ihre Dienste im Sinne von NIS2?
  2. Betrifft der Vorfall ein Produkt mit digitalen Elementen im Sinne des CRA?
  3. Liegt eine aktiv ausgenutzte Schwachstelle, ein schwerer Sicherheitsvorfall oder beides vor?
  4. Welche externe Stelle ist zuständig: nationale Behörde, CSIRT, ENISA oder mehrere?
  5. Welche Nutzer- oder Kundeninformation muss parallel vorbereitet werden?

Beim Schwachstellenmanagement ist die Lage ähnlich. NIS2 verlangt ein belastbares Sicherheitsniveau für Systeme, Prozesse und Lieferketten. Der CRA verlangt zusätzlich, dass Sicherheitslücken im Produktlebenszyklus erkannt, bewertet, dokumentiert, gepatcht und kommuniziert werden. Damit wird aus klassischem IT-Sicherheitsmanagement ein Produkt-Sicherheitsprozess. Unternehmen, die bisher nur Betriebs-IT absichern, müssen für den CRA oft erstmals eine echte Product-Security-Funktion oder zumindest ein formalisiertes PSIRT-Modell aufbauen.

Gerade hier lohnt sich die Verbindung zu etablierten Frameworks. Wenn Sie bereits prüfen, wie sich NIS2 zu ISO 27001 verhält, sollten Sie den CRA nicht als Konkurrenz, sondern als Ergänzung betrachten: ISO 27001 strukturiert Managementsysteme, NIS2 setzt regulatorischen Druck auf Organisationssicherheit, und der CRA verlagert Cybersicherheit in Produktentwicklung, Support und Marktbereitstellung.

Zeitplan — Wann müssen Sie was umsetzen?

Beim Zeitplan ist Präzision entscheidend, weil NIS2 und CRA unterschiedliche rechtliche Mechaniken haben. NIS2 hatte auf EU-Ebene die Umsetzungsfrist 17. Oktober 2024. In Deutschland gilt das Umsetzungsgesetz seit 6. Dezember 2025. Der CRA ist seit 10. Dezember 2024 in Kraft, seine Meldepflichten gelten ab 11. September 2026, und die vollständige Anwendung startet am 11. Dezember 2027.

Der wichtigste Unterschied im Projektkalender lautet daher: NIS2 ist in Deutschland bereits operatives Betriebsregime, der CRA ist noch gestufte Vorbereitungs- und Umsetzungsphase. Unternehmen mit Doppelbetroffenheit dürfen daraus aber nicht schließen, dass der CRA warten kann. Gerade weil die erste harte CRA-Stufe die Meldepflichten betrifft, müssen Product Security, Support, Incident Response und Kommunikation bereits vor September 2026 belastbar funktionieren.

Ein pragmischer Zeitplan sieht so aus:

DatumNIS2CRAWas jetzt praktisch zählt
17. Oktober 2024EU-Umsetzungsfrist der RichtlinieNoch nicht in KraftMitgliedstaaten mussten NIS2 national umsetzen.
10. Dezember 2024Nationale Umsetzung läuftCRA tritt in KraftProduktunternehmen beginnen mit Scope- und Gap-Analyse.
6. Dezember 2025NIS2-Umsetzungsgesetz gilt in DeutschlandVorbereitungsphaseNIS2 ist kein Zukunftsthema mehr, sondern laufende Pflicht.
11. September 2026NIS2-Meldelogik bleibt laufend relevantCRA-Meldepflichten startenHersteller brauchen ENISA- und Nutzerkommunikation.
11. Dezember 2027NIS2 bleibt dauerhaft anwendbarCRA vollständig anwendbarProdukt-Compliance wird zum Marktzugangsthema.

Für die Umsetzung heißt das: Wenn Sie heute nur NIS2 priorisieren, aber Produkte mit digitalen Elementen vertreiben, schaffen Sie möglicherweise Governance, aber noch keine CRA-Readiness. Wenn Sie nur CRA vorbereiten, aber als wichtige oder besonders wichtige Einrichtung eingeordnet sind, riskieren Sie NIS2-Lücken bei Management, Meldepflichten, Business Continuity und Lieferkette. Die richtige Antwort ist ein gemeinsamer Programmplan mit getrennten Deliverables.

Praxisbeispiel: IoT-Hersteller unter NIS2 + CRA

Ein mittelständischer IoT-Hersteller für Gebäudeautomation liefert vernetzte Sensoren, Gateways und eine Cloud-Plattform an Betreiber kritischer Infrastrukturen. Gleichzeitig betreibt das Unternehmen selbst digitale Dienste, verarbeitet sicherheitsrelevante Daten und fällt wegen seiner Rolle und Größe unter die NIS2-Logik. Genau hier zeigt sich, wie NIS2 vs CRA in der Praxis nicht als Entweder-oder, sondern als Doppelarchitektur funktioniert.

Unter NIS2 muss das Unternehmen seine eigene Organisation absichern: Risikomanagement, Incident Response, Management-Verantwortung, Lieferkettensicherheit, Business Continuity und Meldeprozesse. Unter CRA muss dasselbe Unternehmen zusätzlich nachweisen, dass seine Produkte sicher entwickelt werden, Schwachstellen über den Lebenszyklus gemanagt werden, Updates organisiert sind, Sicherheitsvorfälle produktbezogen gemeldet werden und die technische Dokumentation belastbar ist.

Die Trennung der Verantwortlichkeiten könnte in diesem Beispiel so aussehen:

  1. Geschäftsführung und Compliance verantworten das NIS2-Governance-Programm.
  2. CISO oder Informationssicherheit steuert NIS2-Risikomanagement, Meldeprozesse und Betriebsresilienz.
  3. Product Security und Entwicklung verantworten CRA-Risikoanalyse, Security by Design, SBOM, Updates und Dokumentation.
  4. Support und Customer Success steuern Nutzerinformation und Rückmeldungen aus dem Feld.
  5. Einkauf bindet Lieferantenpflichten für Komponenten, Bibliotheken und OEM-Teile vertraglich ein.

Die größte Gefahr liegt in getrennten Silos. Wenn dieselbe aktiv ausgenutzte Schwachstelle im Gateway sowohl ein Produktproblem als auch ein Betriebsproblem auslöst, brauchen Sie eine gemeinsame Lagebewertung. Sonst meldet das Security-Team vielleicht nach NIS2, während Product Security die CRA-Meldung verspätet oder unvollständig behandelt. Umgekehrt kann ein sauberer gemeinsamer Intake beide Pfade parallel bedienen, ohne dieselben Fakten doppelt zu erheben.

Für solche Konstellationen ist auch der Schulungsaspekt relevant. Management und Compliance brauchen ein gemeinsames Grundverständnis für beide Regime, während Entwicklung und Product Security eine tiefergehende produktbezogene Perspektive benötigen. Wenn Sie diese Governance-Seite systematisch aufbauen wollen, ist unsere NIS2-Schulung der richtige Einstieg für Management, Compliance und verantwortliche Rollen im Unternehmen.

Häufig gestellte Fragen (FAQ)

Was ist der Unterschied zwischen NIS2 und CRA?

NIS2 reguliert Einrichtungen und ihre Cyber-Governance, der CRA reguliert Produkte mit digitalen Elementen und ihre Sicherheit über den Lebenszyklus. NIS2 fragt also, ob Ihre Organisation cyberresilient geführt wird; der CRA fragt, ob Ihr Produkt sicher entwickelt, gepflegt und überwacht wird.

Brauche ich NIS2 und CRA gleichzeitig?

Ja, wenn Ihr Unternehmen sowohl unter NIS2 fällt als auch Produkte mit digitalen Elementen in der EU bereitstellt. Das ist besonders häufig bei Industrieunternehmen, IoT-Herstellern, Plattformanbietern oder Softwareunternehmen mit regulierten Betriebs- und Produktfunktionen der Fall.

Gilt der CRA auch für Software-Unternehmen?

Ja. Der CRA ist kein reines Hardware-Gesetz. Er erfasst grundsätzlich auch Software und andere digitale Produkte, sofern sie mit digitalen Elementen auf dem EU-Markt bereitgestellt werden. Genau deshalb ist der CRA auch für SaaS-nahe, embedded und klassische Softwareanbieter relevant.

Wann tritt der Cyber Resilience Act in Kraft?

Die Verordnung ist am 10. Dezember 2024 in Kraft getreten. Die Meldepflichten gelten ab dem 11. September 2026, und die vollständige Anwendung startet am 11. Dezember 2027.

Welche Produkte fallen unter den CRA?

Erfasst sind Produkte mit digitalen Elementen, etwa vernetzte Geräte, Apps, Software, industrielle Steuerungen, Smart-Home-Produkte und viele eingebettete Systeme. Entscheidend ist der Produktcharakter und die digitale Verbindung oder Vernetzung.

Wie hängen NIS2-Meldepflichten und CRA-Meldepflichten zusammen?

Sie können parallel ausgelöst werden. NIS2 nutzt eine organisationsbezogene Meldeuhr mit 24 Stunden, 72 Stunden und einem Abschlussbericht nach einem Monat. Der CRA verlangt bei aktiv ausgenutzten Schwachstellen und schweren Sicherheitsvorfällen eine Meldung binnen 24 Stunden an ENISA sowie eine Information betroffener Nutzer. Unternehmen mit Doppelbetroffenheit brauchen deshalb einen gemeinsamen Meldeprozess mit zwei Rechtsprüfungen.

Fazit: NIS2 oder CRA ist die falsche Frage

Die richtige Frage lautet nicht "NIS2 oder CRA?", sondern welches Objekt reguliert die Pflicht gerade: die Organisation oder das Produkt? NIS2 ist das Regime für Betreiberpflichten, Management-Verantwortung und Cyber-Governance. Der CRA ist das Regime für Produktsicherheit, Security by Design und produktbezogenes Schwachstellenmanagement. Für viele Unternehmen im Mittelstand gilt deshalb nicht entweder oder, sondern beides mit unterschiedlicher Schwerpunktsetzung.

Wenn Sie die NIS2-Perspektive zuerst operationalisieren wollen, starten Sie mit unserer NIS2-Checkliste und dem Leitfaden zur NIS2-Meldepflicht in 24 Stunden. Wenn Sie Governance und Managementsystem ergänzend einordnen möchten, hilft der Vergleich NIS2 vs. ISO 27001. Und wenn Sie Verantwortliche im Unternehmen strukturiert vorbereiten wollen, ist die NIS2-Schulung der direkte nächste Schritt.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →