Die Regulierung der Cybersicherheit entwickelt sich rasant weiter. Unternehmen in zahlreichen Branchen prüfen derzeit, welche Auswirkungen die neuen Anforderungen konkret auf sie haben.
Unternehmen müssen entscheiden, welche Anforderungen Priorität haben, in welchem Zeitrahmen sie umgesetzt werden müssen und welche Ressourcen dafür erforderlich sind. Die Herausforderung besteht häufig nicht nur darin, eine einzelne Regulierung zu verstehen. Vielmehr müssen Unternehmen eine wachsende Zahl an Regelwerken und Standards berücksichtigen, die gleichzeitig eingeführt werden und sich in ihren Anforderungen teilweise überschneiden. Umso wichtiger ist es, ein umfassendes Verständnis dafür zu entwickeln, welche Regulierungen für das eigene Geschäftsumfeld relevant sind, wo Überschneidungen bestehen und wie sich die Anforderungen systematisch in Produkte, Prozesse, Governance-Strukturen und Verantwortungsmodelle integrieren lassen.
Neue Pflichten und Erwartungen ergeben sich unter anderem aus dem Cyber Resilience Act (CRA), der NIS2-Richtlinie, der Funkanlagenrichtlinie (Radio Equipment Directive, RED), den Ergänzungen zur Cybersicherheit in der Maschinenrichtlinie, den Cybersicherheitsanforderungen für Medizinprodukte sowie den Anforderungen UR E26 und UR E27 für die Schifffahrtsbranche. Hinzu kommen Regelwerke wie der AI Act und der Space Act. In diesem komplexen regulatorischen Umfeld bilden CRA und NIS2 für viele Unternehmen wichtige Ausgangspunkte.
Der EU Cyber Resilience Act (CRA) führt verpflichtende Cybersicherheitsanforderungen für digitale Produkte über ihren gesamten Lebenszyklus hinweg ein. NIS2 verschärft hingegen die Pflichten von Unternehmen in den Bereichen Cybersicherheits-Governance, Risikomanagement und Geschäftskontinuität. Beiden Regelwerken ist gemeinsam, dass sie weit über rein technische Anforderungen hinausgehen. Sie betreffen die Governance, Betriebsmodelle, Prozesse und Verantwortlichkeiten im gesamten Unternehmen.
Was ist der CRA?
Der Cyber Resilience Act (CRA) ist eine EU-weite Verordnung zur Verbesserung der Cybersicherheit von Produkten mit digitalen Elementen. Sie gilt sowohl für Hardware- als auch für Softwareprodukte mit digitalen Komponenten.
In der Praxis bedeutet dies, dass Unternehmen die Cybersicherheit bereits in den frühesten Phasen der Produktentwicklung berücksichtigen und über den gesamten Produktlebenszyklus hinweg gewährleisten müssen. Die Einhaltung der Vorgaben ist verpflichtend: Erfüllt ein Unternehmen die Anforderungen nach Ablauf der jeweiligen Fristen nicht, darf das Produkt möglicherweise nicht mehr auf dem EU-Markt angeboten oder muss vom Markt genommen werden. Weitere Informationen zum Zeitplan und zu den wichtigsten Fristen des CRA findest du in meinem früheren Blogbeitrag.
Was ist NIS2 und wie unterscheidet sich die Richtlinie vom CRA?
NIS2 ist die aktualisierte Fassung der EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie konzentriert sich auf das unternehmensweite Management der Cybersicherheit, das Risikomanagement, die Meldung von Sicherheitsvorfällen und die betriebliche Resilienz.
Während der CRA die Cybersicherheit von Produkten mit digitalen Elementen in den Mittelpunkt stellt, betrifft NIS2 die Fähigkeit eines Unternehmens, Cyberrisiken zu bewältigen und kritische Prozesse zu schützen. Vereinfacht gesagt: Beim CRA geht es darum, wie sicher ein Produkt ist. Bei NIS2 geht es darum, wie wirksam ein Unternehmen seine Cybersicherheit steuert. Weitere Informationen zur NIS2-Richtlinie findest du hier.
Für wen gelten die Regelungen?
Der CRA gilt für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. In der Praxis betrifft dies eine Vielzahl von Produkten, sofern sie digital kommunizieren oder Teil einer vernetzten Umgebung sind.
NIS2 gilt hingegen für bestimmte Branchen und Unternehmen, die eine wichtige Rolle für Gesellschaft oder Wirtschaft spielen. Für viele Unternehmen lautet die entscheidende Frage inzwischen nicht mehr, ob sie von den Regelungen betroffen sind, sondern in welchem Umfang sich diese auf ihre Produkte, Prozesse, Lieferketten und Governance-Strukturen auswirken.
Warum sollten Unternehmen jetzt handeln?
Die Fristen rücken näher. Gleichzeitig stellen viele Unternehmen fest, dass die notwendigen Veränderungen umfangreicher sind als ursprünglich angenommen. Für den CRA sind zwei Termine besonders wichtig: Ab dem 11. September 2026 gelten die Meldepflichten für Schwachstellen. Ab dem 11. Dezember 2027 müssen die grundlegenden Cybersicherheitsanforderungen verpflichtend erfüllt werden.
Unternehmen benötigen ausreichend Zeit, um ihren aktuellen Stand zu bewerten, Lücken zu identifizieren, die erforderliche Dokumentation zu erstellen, Rollen und Verantwortlichkeiten zu klären und praxistaugliche Betriebsmodelle im Arbeitsalltag zu verankern. Je später diese Arbeit beginnt, desto größer ist das Risiko, dass daraus eine hektische Compliance-Maßnahme wird, statt einer kontrollierten Transformation des Unternehmens.
Was bedeutet Compliance in der Praxis?
Unternehmen müssen regulatorische Anforderungen einordnen, ihren aktuellen Reifegrad bewerten, Lücken identifizieren und entscheiden, wie Cybersicherheit in Produkte, Betriebsabläufe und Entscheidungsprozesse integriert werden soll. Dafür ist eine enge Zusammenarbeit zwischen Geschäftsbereichen, IT, OT, Produktentwicklung, Qualitätsmanagement, Einkauf und Unternehmensleitung erforderlich.
Die Aufgaben gehen weit über die technische Umsetzung hinaus. Dazu gehören der Aufbau von Governance-Modellen, das Management von Risiken, die klare Festlegung von Verantwortlichkeiten, eine kontinuierliche Dokumentation, die Berichterstattung über Fortschritte und die laufende Überwachung der Compliance.
Wer ist für die Einhaltung der Cybersicherheitsanforderungen verantwortlich?
Die Verantwortung liegt nicht bei einem einzelnen Team. Fachleute für Cybersicherheit und Compliance spielen zwar eine zentrale Rolle. Eine erfolgreiche Umsetzung erfordert jedoch auch die Unterstützung der Unternehmensleitung, die aktive Beteiligung der Geschäftsbereiche und klar definierte Verantwortlichkeiten in den verschiedenen Funktionen.
Regulatorische Anforderungen sollten nicht als isolierte rechtliche Verpflichtung betrachtet werden. Sie sind ein wesentlicher Bestandteil des Risikomanagements, der Produktentwicklung, der betrieblichen Resilienz und der unternehmerischen Entscheidungsfindung.
Welche Unterstützung benötigen Unternehmen typischerweise?
Eine der größten Herausforderungen besteht häufig darin, komplexe regulatorische Anforderungen in konkrete Maßnahmen zu übersetzen. Unternehmen benötigen daher oft Unterstützung bei der Auslegung der Regelwerke, bei Gap-Analysen, im Programm- und Projektmanagement, bei der Koordination relevanter Stakeholder sowie bei der Steuerung und Überwachung von Compliance-Initiativen auf Leitungsebene.
Der größte Mehrwert entsteht, wenn aus regulatorischen Vorgaben strukturierte Fortschritte werden: aus einzelnen Maßnahmen koordinierte Veränderungsprogramme und aus Bestandsaufnahmen messbare Handlungsfähigkeit.
Was ist ein guter erster Schritt?
Ein sinnvoller erster Schritt besteht darin, ein gemeinsames Verständnis der aktuellen Situation zu schaffen. Dafür muss geklärt werden, welche Bedeutung die regulatorischen Anforderungen für dein Unternehmen haben, welche Produkte, Dienstleistungen oder Geschäftsabläufe betroffen sind, wo Lücken bestehen und welche Maßnahmen als Nächstes erforderlich sind.
Sobald ein Gesamtbild vorliegt, lässt sich eine realistische Roadmap entwickeln. Maßnahmen können priorisiert und Compliance-Aktivitäten so gestaltet werden, dass sie sowohl die regulatorischen Anforderungen als auch übergeordnete Geschäftsziele unterstützen.
Cybersicherheitsregulierung ist nicht nur eine weitere Compliance-Verpflichtung. Sie bietet auch die Chance, die Produktsicherheit, die betriebliche Resilienz und das Vertrauen der Kunden zu stärken. Werden CRA und NIS2 strukturiert und aus einer geschäftsorientierten Perspektive umgesetzt, können sie mehr sein als reine Compliance-Projekte: Sie können zu einem besseren Risikomanagement, einer stärkeren Governance und nachhaltigeren digitalen Geschäftsprozessen beitragen.
Möchtest du den aktuellen Stand deines Unternehmens bewerten oder mögliche Verbesserungspotenziale identifizieren? Unsere Expert:innen unterstützen dich dabei, deine Ausgangssituation zu analysieren und die nächsten Schritte zu planen.
