
Stand: 2026-07-18
Drei EU-Rechtsakte werden im Cybersecurity-Kontext regelmäßig in einem Atemzug genannt – und regelmäßig verwechselt: der Cyber Resilience Act (CRA), die NIS2-Richtlinie und die DORA-Verordnung. Sie überschneiden sich thematisch, verfolgen aber unterschiedliche Regelungsgegenstände. Der wichtigste Merksatz vorweg: Der CRA reguliert Produkte, NIS2 und DORA regulieren Organisationen. Wer diese Ebenen sauber trennt, ordnet die eigene Betroffenheit deutlich zielsicherer ein.
Kurz gesagt: Der CRA (Verordnung (EU) 2024/2847) betrifft, wer Produkte mit digitalen Elementen in Verkehr bringt. NIS2 (Richtlinie (EU) 2022/2555) betrifft, wer eine wesentliche oder wichtige Einrichtung betreibt. DORA (Verordnung (EU) 2022/2554) betrifft Finanzunternehmen und deren IKT-Drittdienstleister. Ein Unternehmen kann von mehreren gleichzeitig erfasst sein.
Der CRA: Produktregulierung mit CE-Kennzeichnung
Der Cyber Resilience Act – Verordnung (EU) 2024/2847 – ist eine horizontale Produktregulierung. Er stellt Cybersicherheitsanforderungen an Produkte mit digitalen Elementen (Software und Hardware mit direkter oder indirekter Datenverbindung zu einem Gerät oder Netz). Adressaten sind Wirtschaftsakteure entlang der Lieferkette: Hersteller, Importeure und Händler.
Der Hersteller muss die grundlegenden Anforderungen aus Anhang I erfüllen, ein Konformitätsbewertungsverfahren durchlaufen, technische Dokumentation erstellen, eine EU-Konformitätserklärung ausstellen und die CE-Kennzeichnung anbringen. Über die gesamte Support-Periode – mindestens fünf Jahre oder die kürzere erwartete Nutzungsdauer – ist ein Schwachstellen-Management zu betreiben, einschließlich einer SBOM (Software Bill of Materials) und einer verpflichtenden Richtlinie zur koordinierten Offenlegung von Schwachstellen (CVD). Für Importeure und Händler gelten abgestufte Sorgfalts- und Prüfpflichten – sie führen keine eigene Konformitätsbewertung durch, müssen aber sicherstellen, dass nur konforme Produkte in Verkehr gelangen.
Nicht jedes Produkt braucht eine benannte Stelle: Die meisten Produkte durchlaufen eine Selbstbewertung. Eine benannte Stelle wird erst bei den höheren Produktklassen zwingend – bei „important" Klasse II und bei kritischen Produkten. Der CRA ist damit horizontal, aber risikoabgestuft: je sicherheitsrelevanter die Produktfunktion, desto strenger der Konformitätsweg.
Der CRA gilt gestaffelt: Inkrafttreten am 10. Dezember 2024, die Meldepflichten nach Art. 14 ab dem 11. September 2026, die allgemeine Anwendung mit Konformitätsbewertung und CE-Kennzeichnung ab dem 11. Dezember 2027. Kein Datum aus 2024 oder 2025 ist ein Compliance-Stichtag für die materiellen Produktpflichten. Details dazu auf unserer Seite zum Cyber Resilience Act.
NIS2: Organisations- statt Produktregulierung
Die NIS2-Richtlinie – Richtlinie (EU) 2022/2555 – reguliert nicht das Produkt, sondern die Organisation, die kritische Dienste betreibt. Sie unterscheidet wesentliche und wichtige Einrichtungen in Sektoren wie Energie, Transport, Gesundheit, Trinkwasser, digitale Infrastruktur, IKT-Dienstemanagement, öffentliche Verwaltung und weiteren. Als Richtlinie muss NIS2 in nationales Recht umgesetzt werden; die Umsetzungsfrist lief am 17. Oktober 2024 aus, in Deutschland steht die vollständige nationale Umsetzung zum Zeitpunkt dieses Artikels noch aus.
Im Zentrum stehen organisatorische Pflichten: Risikomanagement, technische und organisatorische Maßnahmen, Lieferkettensicherheit, Governance-Verantwortung der Leitung sowie Meldepflichten für erhebliche Sicherheitsvorfälle. NIS2 verlangt keine CE-Kennzeichnung und bewertet keine einzelnen Produkte auf Konformität – es geht um das Sicherheitsniveau des Betriebs.
Wichtig für die Abgrenzung: Eigenständige SaaS- oder reine Cloud-Dienste fallen tendenziell unter NIS2, nicht unter den CRA. Der CRA erfasst Cloud/Backend nur dann, wenn es als integrale Fernverarbeitung Teil eines Produkts mit digitalen Elementen ist. Die Grenze ist an den Rändern ausdrücklich unscharf und wartet auf Leitlinien der Kommission.
DORA: sektorspezifisch für den Finanzsektor
Die DORA-Verordnung – Verordnung (EU) 2022/2554, „Digital Operational Resilience Act" – ist sektorspezifisch. Sie richtet sich an Finanzunternehmen (Banken, Versicherungen, Wertpapierfirmen, Zahlungsinstitute, Krypto-Dienstleister und weitere Kategorien) und deren IKT-Drittdienstleister. Ziel ist die digitale operationelle Resilienz: die Fähigkeit, IKT-Störungen zu widerstehen, auf sie zu reagieren und sich zu erholen.
DORA gilt als unmittelbar anwendbare Verordnung seit dem 17. Januar 2025 – ohne nationale Umsetzung. Sie verlangt ein IKT-Risikomanagement-Rahmenwerk, Vorfallmeldung, Resilienztests, das Management von Drittparteienrisiken (inklusive eines Informationsregisters) und schafft einen EU-Aufsichtsrahmen für kritische IKT-Drittdienstleister. Anders als NIS2, das branchenübergreifend viele Sektoren adressiert, ist DORA bewusst auf den Finanzsektor zugeschnitten und dort spezifischer und detaillierter. Wo beide theoretisch greifen könnten, geht die sektorspezifische Regelung (lex specialis) für Finanzunternehmen in der Regel vor – die genaue Abgrenzung ergibt sich aus den jeweiligen nationalen Umsetzungsgesetzen zu NIS2.
Die Vergleichstabelle
| Kriterium | CRA | NIS2 | DORA |
|---|---|---|---|
| Rechtsakt | Verordnung (EU) 2024/2847 | Richtlinie (EU) 2022/2555 | Verordnung (EU) 2022/2554 |
| Regelungsgegenstand | Produkte mit digitalen Elementen | Organisationen / Betreiber | Finanzsektor + IKT-Drittdienstleister |
| Wer ist betroffen? | Hersteller, Importeure, Händler | Wesentliche & wichtige Einrichtungen | Finanzunternehmen & deren IKT-Dienstleister |
| Fokus | Produktsicherheit, CE-Kennzeichnung | Organisatorisches Risikomanagement | Operationelle Resilienz |
| Rechtsform | Verordnung (unmittelbar) | Richtlinie (nationale Umsetzung) | Verordnung (unmittelbar) |
| Anwendung | gestaffelt bis 11.12.2027 | ab nationaler Umsetzung | seit 17.01.2025 |
Ein Unternehmen, mehrere Regime
Die Rechtsakte schließen sich nicht aus – sie überlagern sich. Typische Konstellationen:
- Ein Hersteller vernetzter Geräte, der zugleich als mittleres oder großes Unternehmen eine wichtige Einrichtung im Sinne von NIS2 ist, muss seine Produkte nach dem CRA konformitätsbewerten und seinen Betrieb nach NIS2 absichern.
- Eine Bank unterliegt DORA für ihre operationelle Resilienz; bringt sie eigene Software- oder Hardware-Produkte in Verkehr, kann zusätzlich der CRA greifen.
- Ein IKT-Dienstleister kann DORA-Pflichten (als Drittdienstleister für Finanzunternehmen), NIS2-Pflichten (als eigene Einrichtung) und CRA-Pflichten (für ausgelieferte Produkte) gleichzeitig tragen.
Der häufigste Denkfehler: Produktregulierung (CRA) mit Organisationsregulierung (NIS2/DORA) zu verwechseln. Der CRA fragt: „Ist mein Produkt sicher und CE-konform?" NIS2 und DORA fragen: „Ist meine Organisation ausreichend widerstandsfähig?" Beides kann gleichzeitig zutreffen – die Pflichten ersetzen einander nicht.
Ob und in welcher Kombination Sie betroffen sind, klären Sie am besten anhand einer strukturierten Betroffenheitsprüfung. Einen Einstieg bietet unsere Seite zur CRA-Betroffenheit. Speziell für kleinere Unternehmen haben wir die Erleichterungen und Besonderheiten auf der Seite für KMU zusammengestellt. Diese Informationen sind allgemeiner technisch-organisatorischer Natur und ersetzen keine Rechtsberatung im Einzelfall.
Häufige Fragen
Was ist der Hauptunterschied zwischen CRA, NIS2 und DORA?+
Kann ein Unternehmen von mehreren dieser Rechtsakte gleichzeitig betroffen sein?+
Fällt ein reiner SaaS- oder Cloud-Dienst unter den CRA oder unter NIS2?+
Ab wann gelten die drei Rechtsakte jeweils?+
Warum ist es wichtig, Produkt- und Organisationsregulierung zu trennen?+
Quellen
Diese Inhalte dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar (keine Rechtsdienstleistung i.S.d. RDG).