Neue Pflichten, mehr Sicherheit! Hier lesen Sie alles, was Sie über NIS2 und den Cyber Resilience Act wissen müssen.

NIS2 and CRA: Cyber Regulations for Your Security

NIS2 und CRA: Cyber-Regularien für Ihre Sicherheit
Neue Pflichten, mehr Sicherheit! Hier lesen Sie alles, was Sie über NIS2 und den Cyber Resilience Act wissen müssen.

Sebastian Rohr16. Dezember 2024
„Wieder neue Anforderungen“, seufzen die einen. Die anderen sind schon einen Schritt weiter und erkennen die Chancen, die Cyber-Regelungen mit sich bringen. Denn zu viel Sicherheit kann es gar nicht geben. Wir geben Ihnen wichtige Einblicke in NIS2 und den Cyber Resilience Act, und zeigen auf wie Sie die neuen Bürden der Compliance in Ihre Strategie einbauen können.

Regelwerk für Schutz und Vertrauen
Mit der NIS2-Richtlinie und dem Cyber Resilience Act hat die EU zwei bedeutende Regelwerke verabschiedet. Sie verpflichten Unternehmen, ihre Cyber-Sicherheitsmaßnahmen auf ein neues Niveau zu heben (oder überhaupt eine geordnete Betrachtung der Risiken anzugehen). Beide Vorgaben zielen darauf ab, Angriffsflächen zu minimieren, Infrastruktur zu sichern und ein Mehr an Transparenz zu schaffen – die eine mit allgemeinem Ansatz, die andere eher mit Software-Supply-Chain-Fokus.

Das erhoffte Ergebnis der verschärften Anforderungen an Organisationen: digitale Widerstandsfähigkeit. Doch dass viele Verantwortlich dem gewachsenen Aufgabenpäckchen kritisch gegenübertreten, ist angesichts der damit verbundenen Aufwände verständlich. Letztlich sind die Regelungen jedoch ein Geschenk. Denn sie sorgen dafür, dass sich unsere Gesellschaft und die Unternehmen darin besser vor Cyber-Attacken schützen, die bei Erfolg nicht nur mehr Zeit, sondern auch viel mehr Geld kosten – laut der Auswertung des BSI über mehrere Studien liegen diese Kosten zwischen 20.000 und 150.000 € je Vorfall.

NIS2 – Strengere Sicherheitsvorgaben für mehr Unternehmen
Die überarbeitete NIS2-Richtlinie (EU 2022/2555) löst die bisherige NIS-Direktive ab und führt strengere Cyber-Sicherheitsanforderungen ein. Die Richtlinie ist seit Anfang 2023 in Kraft, und bis Oktober 2024 mussten die EU-Mitgliedsstaaten sie in nationales Recht umsetzen. Mit ihr will Brüssel die Cybersicherheit in Europa weiter stärken und die Anforderungen harmonisieren. Und JA – das nationale Recht hinkt hinterher, und wir sind bereits in der Nachfrist zur Umsetzung in Deutschland…

Unternehmen müssen im Rahmen der EU-Richtlinie zur Netzwerk- und Informationssicherheit, wie NIS2 ausgesprochen lautet, einige Punkte beachten:

Erweiterter Geltungsbereich:
Die Zahl der betroffenen Sektoren steigt auf 18, darunter elf kritische (z. B. Energie, Gesundheitswesen) und sieben wichtige Sektoren (z. B. Telekommunikation, Logistik).
Unternehmen mit mehr als 50 Mitarbeitenden oder einem Umsatz von über 10 Mio. EUR fallen ebenfalls unter die Richtlinie.
Einige Betreiber, wie Teile der digitalen Infrastruktur und der öffentlichen Verwaltung, werden unabhängig von ihrer Größe reguliert.
Strengere Sicherheitsanforderungen: Unternehmen müssen umfassendere Sicherheitsmaßnahmen einführen, wie regelmäßige Risikoanalysen, Schutz vor Cyberangriffen und detaillierte Überwachungs- und Meldeprozesse.
Verschärfte Meldepflichten: Sicherheitsvorfälle müssen unverzüglich, spätestens jedoch innerhalb von 24 Stunden mit einer Frühwarnung gemeldet werden. Innerhalb von 72 Stunden ist eine detaillierte Meldung erforderlich.
Stärkere Durchsetzung und höhere Strafen: Nationale Regulierungsbehörden erhalten mehr Befugnisse, und Verstöße können mit erheblichen Strafen geahndet werden.
Es ist also weiter Teil des für Deutschland und Mitteleuropa so wichtigen Mittelstands – und hier steht den Unternehmen ohne eine Sicherheitsstrategie und ohne nachhaltige Konzepte jede Menge Arbeit ins Haus.

Cyber Resilience Act – Sicherheit von Anfang an
Der Cyber Resilience Act, kurz CRA, richtet sich an Hersteller digitaler Produkte und legt einen besonderen Fokus auf die Resilienz der Software Supply Chain. Ziel ist es, Sicherheitslücken bereits während der Entwicklung zu vermeiden und Produkte über ihren gesamten Lebenszyklus sicher zu halten.

Einige der wichtigsten Punkte des Cyber Resilience Acts:
Erweiterter Anwendungsbereich: Betroffen sind Hersteller digitaler Produkte wie Hardware, Software und IoT-Geräte sowie Importeure von White-Label-Waren. Medizinprodukte und Fahrzeugsicherheitssysteme sind ausgenommen.
Pflicht zur Cybersicherheit: Hersteller müssen Sicherheitsfunktionen bereits in der Entwicklungsphase („Security by Design“) integrieren und Cybersicherheitsanforderungen während der Produktion, Vermarktung und Nutzung erfüllen.
Sicherheitsupdates und Monitoring: Produkte müssen über mindestens fünf Jahre überwacht werden, und Hersteller sind verpflichtet, kostenlose Updates zur Behebung von Sicherheitslücken bereitzustellen.
Meldepflichten: Sicherheitsvorfälle, die ein Produkt gefährden, müssen der EU-Cybersicherheitsbehörde ENISA gemeldet werden.
Konformitätsverfahren für kritische Produkte: Produkte wie Passwortmanager, VPNs oder IoT-Geräte unterliegen einem speziellen Prüfverfahren, bevor sie mit dem CE-Kennzeichen auf den Markt kommen.
Durch die Besonderheiten im deutschen Mittelstand, mit vielfältigen Cyber-physischen Systemen aus Produktionsmaschinen und zugehöriger oder eingebetteter Software stehen insbesondere Unternehmen des Maschinen- und Anlagenbaus aber auch Elektronik und Elektrotechnik im Fokus.

Chancen erkennen und nutzen
Mit der NIS2-Richtlinie und dem Cyber Resilience Act hat die EU den Rahmen für eine stärkere Cybersicherheit in Europa geschaffen. Unternehmen sollten die Gelegenheit nutzen, nicht nur gesetzliche Vorgaben zu erfüllen, sondern ihre digitale Resilienz aktiv zu verbessern. Wer frühzeitig investiert, schützt nicht nur seine IT-Systeme, sondern stärkt auch das Vertrauen von Kunden und Partnern in eine sichere, verlässliche Zusammenarbeit.

Pflicht und Kür – Sicherheitsmaßnahmen gehören in jedes Unternehmen.
Wir helfen Ihnen, die für Sie passenden Lösungen zu identifizieren und implementieren!

“More new requirements,” some will sigh. Others are already one step ahead and recognize the opportunities these cyber regulations bring. Because when it comes to security, there is really no such thing as too much of it. We want to give you key insights into NIS2 and the Cyber Resilience Act—and show you how to integrate these new compliance burdens into your strategy.

A framework for protection and trust

With the NIS2 Directive and the Cyber Resilience Act, the EU has adopted two major regulatory frameworks. Both require companies to raise their cybersecurity measures to a new level—or, in some cases, to begin approaching risks in a more structured way at all. Both aim to reduce attack surfaces, secure infrastructure, and create greater transparency—one with a broader, more general scope, the other with a stronger focus on the software supply chain.

The intended result of these tighter requirements is clear: digital resilience. It is understandable that many decision-makers view the growing workload critically. In the end, however, these regulations are a gift. They help make our society—and the companies within it—better protected against cyberattacks, which, if successful, cost not only time but also a great deal of money. According to the German Federal Office for Information Security (BSI), based on several studies, the costs per incident range from €20,000 to €150,000.

NIS2 – stricter security requirements for more companies

The revised NIS2 Directive (EU 2022/2555) replaces the previous NIS Directive and introduces stricter cybersecurity requirements. The directive entered into force at the beginning of 2023, and EU member states were required to transpose it into national law by October 2024. With it, Brussels aims to strengthen cybersecurity across Europe and harmonize requirements. And yes—national implementation is lagging behind, and Germany is already beyond the formal deadline.

Under the EU Directive on Network and Information Security, as NIS2 is formally called, companies need to pay attention to several key points:

  • Expanded scope:
    The number of affected sectors increases to 18, including 11 critical sectors (such as energy and healthcare) and 7 important sectors (such as telecommunications and logistics).
  • Broader company coverage:
    Companies with more than 50 employees or annual turnover above EUR 10 million also fall under the directive.
  • Size-independent regulation for certain operators:
    Some operators, such as parts of the digital infrastructure and the public administration sector, are regulated regardless of their size.
  • Stricter security requirements:
    Companies must introduce more comprehensive security measures, including regular risk analyses, stronger protection against cyberattacks, and detailed monitoring and reporting processes.
  • Tighter incident reporting obligations:
    Security incidents must be reported without undue delay, with an early warning no later than 24 hours after detection. A detailed report must follow within 72 hours.
  • Stronger enforcement and higher penalties:
    National regulatory authorities are given broader powers, and violations may lead to significant penalties.

This means that Germany’s Mittelstand—so important for Germany and Central Europe—remains very much in scope. And for companies without a security strategy and without sustainable concepts, that means a substantial amount of work lies ahead.

Cyber Resilience Act – security from the start

The Cyber Resilience Act, or CRA, is aimed at manufacturers of digital products and places a particular focus on the resilience of the software supply chain. Its goal is to prevent security vulnerabilities during development and to keep products secure throughout their entire lifecycle.

Some of the key elements of the Cyber Resilience Act include:

  • Expanded scope:
    The CRA applies to manufacturers of digital products such as hardware, software, and IoT devices, as well as importers of white-label goods. Medical devices and automotive safety systems are excluded.
  • Mandatory cybersecurity:
    Manufacturers must integrate security features already during development (security by design) and meet cybersecurity requirements throughout production, marketing, and product use.
  • Security updates and monitoring:
    Products must be monitored for at least five years, and manufacturers are required to provide free updates to address security vulnerabilities.
  • Incident reporting obligations:
    Security incidents affecting a product must be reported to the EU cybersecurity agency ENISA.
  • Conformity procedures for critical products:
    Products such as password managers, VPNs, or IoT devices are subject to a special assessment procedure before they can enter the market with a CE mark.

Given the specific realities of the German Mittelstand—with its wide range of cyber-physical systems involving production machines and the related or embedded software—companies in mechanical engineering, plant engineering, electronics, and electrical engineering are particularly in focus.

Recognizing and using the opportunity

With the NIS2 Directive and the Cyber Resilience Act, the EU has created a framework for stronger cybersecurity across Europe. Companies should use this opportunity not only to comply with legal requirements, but also to actively improve their digital resilience. Those who invest early protect not only their IT systems, but also strengthen the trust of customers and partners in secure, reliable collaboration.

Mandatory or not—security measures belong in every company.

We help you identify and implement the solutions that are right for you.
Contact us