10.09.2025

NIS-2, DORA und CRA: Der regulatorische Dreiklang für IT-Sicherheit (Teil 1)

Der regulatorische Dreiklang für IT-Sicherheit (Teil 1) IT-Security im Mittelstand

Mit NIS-2, DORA und dem CRA hat die europäische Union drei zentrale Regelwerke als Fundament für eine resiliente digitale Zukunft geschaffen. Aber was bedeuten die Vorgaben konkret? Im ersten Teil geben wir einen Überblick über die Inhalte sowie Gemeinsamkeiten und Unterschiede.

Obwohl die Bedrohungslage seit Jahren massiv steigt, tun sich viele Unternehmen in Europa schwer, ihre IT-Sicherheit auf ein neues Level zu heben. Zahlreiche Verantwortliche setzen auf das Prinzip Hoffnung, anstatt in moderne Technologien und weitere Schutzmaßnahmen zu investieren. Vor diesem Hintergrund hat die Politik schon vor längerer Zeit begonnen, Mindestanforderungen zu formulieren und verpflichtet Unternehmen zu deren Umsetzung. Waren die ersten Regularien nur für Betreiber kritischer Infrastrukturen oder anderer besonders gefährdeter Branchen gedacht, zielen die aktuellen Bemühungen auf mehr Branchen und damit auch auf mehr Unternehmen. Wir stellen drei aktuelle Säulen der europäischen Cybersecurity-Strategie vor und geben Handlungsempfehlungen für die Umsetzung.

In den Gesamtrahmen gehören dabei selbstverständlich weitere Regelwerke wie die KI-Verordnung oder die DSGVO, auch wenn wir in diesem Artikel nicht noch einmal gesondert auf diese eingehen Speziell zur KI-Verordnung haben wir jedoch weiterführende Informationen in einem Webinar, das auf Abruf bereitsteht. Die DSGVO-Anforderungen sind in diesem Kontext eher als Teil der Gesamtanforderungen zu betrachten. Wir erwähnen sie an einigen Stellen im Text.

NIS-2: Das neue Rückgrat der IT-Sicherheit

Die zweite Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert deren Anwendungsbereich erheblich. Während sich die erste NIS-Richtlinie hauptsächlich auf kritische Infrastrukturen konzentrierte, erfasst NIS-2 nun deutlich mehr Sektoren und Unternehmen.

Was macht NIS-2 so besonders? Die Richtlinie führt ein risikobasiertes Cybersecurity-Management ein und stellt klare Anforderungen an die Governance. IT-Verantwortliche müssen nicht nur technische Maßnahmen implementieren, sondern auch nachweisen, dass die Cybersecurity-Strategie in der Unternehmensführung verankert ist. Es geht im Wesentlichen um die Stärkung der Informationssicherheit im Unternehmen.

Die neue Richtlinie betrifft mehrere zehntausend Unternehmen in Deutschland und umfasst insgesamt 18 Wirtschaftssektoren, von denen 11 als "Sektoren von hoher Kritikalität" eingestuft werden. Dazu gehören unter anderem Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Abwasserentsorgung und Anbieter digitaler Dienste.

DORA: Digitale Resilienz für den Finanzsektor

Der Digital Operational Resilience Act (DORA) wird bereits seit Mitte Januar 2025 angewendet. Diese EU-Verordnung richtet sich spezifisch an den Finanzsektor und deren IT-Dienstleister. Sie harmonisiert erstmals europaweit die IT-Sicherheitsanforderungen für Finanzunternehmen.

DORA schafft ein universelles Framework für den Umgang mit und die Minderung von IKT-Risiken im Finanzsektor. Die Verordnung adressiert im Kern fünf Kernbereiche:

  1. IKT-Risikomanagement: Implementierung robuster Governance-Strukturen, um alle digitalen Assets abzusichern
  2. Incident Reporting: Strukturierte Meldepflichten und Behandlung bei Sicherheitsvorfällen
  3. Testen der digitalen operationalen Resilienz: Regelmäßige Tests von Anwendungen und Systemen der digitalen Widerstandsfähigkeit (mindestens einmal jährlich)
  4. Management des IKT-Drittparteienrisikos: Überwachung von IKT-Dienstleistern, die kritische oder wichtige Funktionen unterstützen
  5. Vereinbarungen über den Austausch von Informationen: Freiwilliger Austausch von Informationen über aktuelle Cybergefahren, um die Fähigkeiten zur angemessenen Bewertung, Überwachung, Abwehr von und Reaktion auf Cyber-Bedrohungen zu erhöhen

Ergänzt werden diese Kernbereiche um Regelungen hinsichtlich der behördlichen Aufsichts- und Durchsetzungsrechte. Auch bei DORA geht es im Wesentlichen um die Verankerung der Informationssicherheit im Unternehmen. Vereinfacht gesagt, das ist die NIS-2, aber spezialisiert auf den Finanzsektor.

CRA: Produktsicherheit von der ersten Codezeile an

Der Cyber Resilience Act (CRA) legt verbindliche Sicherheitsstandards für alle im EU-Markt bereitgestellten Hardware- und Softwareprodukte mit digitalen Elementen fest. Diese Verordnung revolutioniert die Art, wie Unternehmen Produkte entwickeln.

Der CRA nimmt Hersteller stärker in die Pflicht, korrekt und risikobewusst zu arbeiten und bekanntwerdende Schwachstellen auch nach Verkauf des Produktes zu beheben. Das Prinzip "Security by Design" wird damit nicht nur zur bewährten Praxis, sondern zur rechtlichen Verpflichtung.

Im Gegensatz zu NIS-2 und DORA stehen hierbei also nicht Unternehmen, sondern die Produkte eines Unternehmens im Fokus. Es ist eine Produktsicherheitsverordnung, wie man auch am wichtigsten Merkmal erkennt: Dem Siegel für geprüfte Sicherheit („Conformité Européenne“) , das nach CRA-Anforderungen hergestellte Produkte erhalten.

Gemeinsamkeiten und Unterschiede: Wo sich die Welten treffen

Alle drei Regelwerke verfolgen ein gemeinsames Ziel: die Stärkung der Cybersecurity in Europa. Doch ihre Ansätze unterscheiden sich erheblich.

Die Gemeinsamkeiten:

  • Risikobasierter Ansatz: Alle drei Regelwerke setzen auf risikoorientierte Bewertungen
  • Incident Management: Strukturierte Meldepflichten bei Sicherheitsvorfällen bzw. Schwachstellen
  • Supply Chain Security: Besondere Aufmerksamkeit für Drittanbieter und Lieferketten
  • Governance-Fokus: Verankerung der Cybersecurity im Unternehmen, wenn auch mit jeweils anderem Fokus (Unternehmen oder Produkt)

Die Unterschiede:

  • Sektoraler vs. horizontaler Ansatz: Während DORA spezifisch den Finanzsektor adressiert, wirkt NIS-2 sektorübergreifend. Beide zielen auf Unternehmensprozesse ab. Der CRA hingegen fokussiert auf digitale Produkte, unabhängig von der Branche.
  • Nationale vs. direkte Anwendung: NIS-2 erfordert als Richtlinie nationale Umsetzung, während DORA und CRA als EU-Verordnungen direkt gelten. Spezialfall: Einzelne zu NIS-2 gehörende Regelungen sind direkt in den Mitgliedsstaaten gültig, wenn das nationale Regelwerk grundsätzlich existiert, so etwa die NIS-2-Durchführungsverordnung.

Wer ist betroffen? Die Landkarte der Verantwortung

NIS-2: Der weite Kreis

Die deutsche Umsetzung ist nach aktuellem Stand für Ende 2025/ Anfang 2026 geplant, da das parlamentarische Verfahren der Ampelregierung aufgrund vorgezogener Wahlen nicht abgeschlossen werden konnte. Betroffen sind: Wer mehr als 50 Mitarbeitende und/ oder einen Jahresumsatz beziehungsweise Jahresbilanzsumme größer 10 Millionen hat sowie zu einem der 18 betroffenen Sektoren gehört, fällt künftig unter NIS-2. (Hier finden sie eine Übersicht der betroffenen Sektoren)) Zusätzlich unterscheidet NIS-2 noch zwischen wesentlichen Einrichtungen (bzw. „besonders wichtigen“ Einrichtungen) in kritischen Sektoren und wichtigen Einrichtungen in weniger kritischen Bereichen. Kleinstunternehmen bleiben grundsätzlich ausgenommen, mit Ausnahme einiger Spezialfälle.

DORA: Finanzfokus mit Ausstrahlung

DORA trat am 16. Januar 2023 in Kraft und ist seit dem 17. Januar 2025 anzuwenden. Im Fokus stehen unter anderem Kreditinstitute und Wertpapierfirmen, Zahlungsinstitute und E-Geld-Institute sowie Versicherungsunternehmen und Verwaltungsgesellschaften von Investmentfonds sowie deren IT-Dienstleister.

CRA: Die Produktperspektive

Der CRA erfasst praktisch alle Unternehmen, die Produkte mit digitalen Elementen in der EU auf den Markt bringen. Also alles, was Software enthält, wie Computer, Smartphones, IoT-Geräte, Router oder Smart-Home-Produkte. Dazu zählen auch Geräte im Haushalt wie die vernetzte Zahnbürste oder der autonome Saug- oder Mähroboter. Besonders gesichert werden müssen beispielsweise Betriebssysteme (z. B. Windows), Antivirensoftware, virtuelle Assistenten wie Alexa und Chipkarten wie die Krankenkassenkarte. Auch Importeure und Händler digitaler Produkte müssen den CRA umsetzen.

Zeitschienen: Wann wird es ernst?

Die regulatorische Uhr tickt unterschiedlich schnell. So gilt DORA bereits seit Mitte Januar 2025.

Die ursprüngliche EU-Frist für NIS-2 vom 17. Oktober 2024 ist bereits verstrichen und neben Deutschland haben viele andere Länder die Regelungen noch nicht in nationales Recht umgesetzt. Aktuell ist davon auszugehen, dass der Gesetzgebungsprozess Ende 2025 abgeschlossen wird, sodass NIS-2 Ende 2025/ Anfang 2026 in Kraft treten kann.

CRA ist seit Dezember 2024 in Kraft. Bis spätestens Dezember 2027 haben die betroffenen Unternehmen Zeit, die Vorgaben umzusetzen und zu erfüllen. Einzelne Vorgaben gelten bereits vorher, insbesondere die Regelungen zum Schwachstellenmanagement ab September 2026.

Im zweiten Teil geben wir Hinweise für eine erfolgreiche Umsetzung.

Zum Blog
Artikel teilen
Alles zu NIS-2

Alles zu NIS-2

Wer ist betroffen? Was schreibt NIS-2 vor? Die EU-Richtlinie im Überblick und was jetzt für Unternehmen wichtig ist.

Stefan Karpenstein

Stefan Karpenstein

Public Relations Manager

Mehr erfahren
Artikel teilen

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren und Schutz-Tipps
  • Speziell für Unternehmen