CRA-Insights

Cyber Resilience Act

CRA × NIS2 × DORA × AI Act: die Konvergenz

CRA × NIS2 × DORA × AI Act: die Konvergenz

Stand: 2026-07-18

Vier Rechtsakte, vier Objekte — kein Wortlaut ist wie der andere

Kaum ein technologiegetriebenes Unternehmen unterliegt heute nur noch einer einzigen EU-Cyber-Regulierung. In der Praxis treffen der Cyber Resilience Act (CRA), NIS2, DORA und der AI Act oft gleichzeitig auf dasselbe Haus — aber sie regeln unterschiedliche Dinge. Der häufigste Denkfehler ist, sie in einen Topf zu werfen. Es handelt sich um vier getrennte Rechtsakte mit vier verschiedenen Anknüpfungspunkten: der CRA reguliert das Produkt, NIS2 die Organisation als Betreiber, DORA die Resilienz des Finanzsektors und der AI Act das KI-System. Wer diese vier Objekte sauber auseinanderhält, versteht auch, warum sich die Pflichten überlappen, ohne sich zu ersetzen.

Der CRA (Verordnung (EU) 2024/2847) trat am 10.12.2024 in Kraft. Für Hersteller wird er in zwei Stufen scharf: die produktbezogene Melde- und Berichtspflicht (Art. 14) gilt ab dem 11.09.2026, die vollständige Anwendung aller Produktanforderungen ab dem 11.12.2027. Diese Fristen sind der Taktgeber, an dem sich eine koordinierte Umsetzung ausrichten lässt.

Wer ist von was betroffen — die Mehrfach-Regulierungs-Karte

Die folgende Übersicht ordnet die vier Rechtsakte schematisch zu. Sie ersetzt keine Einzelfallprüfung und stellt keine Rechtsberatung dar — die konkrete Betroffenheit hängt vom jeweiligen Produkt, Geschäftsmodell und der Rolle im Markt ab.

RechtsaktReguliertes ObjektAdressatKernpflichten
CRA — VO (EU) 2024/2847das Produkt mit digitalen ElementenHersteller, Importeur, Händler, BevollmächtigterSecurity-by-Design/Default, SBOM, Schwachstellen-Handling mit CVD-Policy, technische Doku, Meldepflicht
NIS2 — RL (EU) 2022/2555der Betrieb der Einrichtungwesentliche & wichtige EinrichtungenRisikomanagement, Lieferkettensicherheit, Vorfallsmeldung, Governance-Verantwortung der Leitung
DORA — VO (EU) 2022/2554digitale operationale ResilienzFinanzunternehmen & IKT-DrittdienstleisterIKT-Risikomanagement, Drittparteirisiko (TPRM), Resilienztests, IKT-Vorfallmeldung
AI Act — VO (EU) 2024/1689das KI-SystemAnbieter & Betreiber von KIRisikoklassen, Transparenz, Konformitätsbewertung von Hochrisiko-KI

Wichtig: NIS2 ist eine Richtlinie und wird über nationales Recht (in Deutschland das NIS2-Umsetzungsgesetz) wirksam — CRA, DORA und AI Act sind unmittelbar geltende Verordnungen. Auch das ist ein Grund, sie nicht gleichzusetzen.

Wo die Regime sich überlappen — und wo nicht

Die Effizienzgewinne liegen genau in den Schnittmengen. Sie betreffen fast immer dieselben drei Bausteine: Risikobewertung, Lieferkette/SBOM und Vorfalls-/Schwachstellenmeldung.

  • CRA ↔ NIS2: Ein Hersteller nach CRA ist häufig zugleich eine NIS2-Einrichtung. Umgekehrt machen die NIS2-Lieferkettenpflichten die CRA-Konformität eingekaufter Produkte zu einem Beschaffungskriterium — die CE-gekennzeichnete Konformität wird zum Argument im Vertrieb.
  • CRA ↔ DORA: IKT-Produkte, die ein Finanzunternehmen einsetzt, unterliegen als Produkt dem CRA, während DORA den Einsatz und das Drittparteirisiko in der Institution regelt. Ein CRA-konformes Produkt mit sauberer SBOM und dokumentiertem Support-Zeitraum erleichtert dem Abnehmer die DORA-Nachweisführung.
  • CRA ↔ AI Act: Ein KI-Produkt kann beiden unterliegen — dem AI Act für das KI-Risiko, dem CRA für die Produkt-Cybersicherheit. Beide verlangen eine dokumentierte Risikobewertung; die Methoden (Threat-Modeling, Risikoklassifizierung) lassen sich gemeinsam aufsetzen.

Die stärkste operative Überlappung ist das Melde- und Reporting-Thema. CRA, NIS2 und DORA verlangen jeweils Frühwarnung, Zwischen- und Abschlussberichte an Behörden — mit unterschiedlichen Fristen und Adressaten, aber vergleichbaren Prozessschritten. Wer den Prozess einmal baut, kann ihn über die Regime hinweg parametrisieren.

Die CRA-Melde-Kaskade — der Anker für den gemeinsamen Prozess

Weil die CRA-Meldepflicht als erste hart wird (11.09.2026), lohnt es sich, den Vorfallsprozess an ihr auszurichten. Der CRA (Art. 14) sieht bei aktiv ausgenutzten Schwachstellen und schweren Sicherheitsvorfällen eine gestufte Meldung über die ENISA Single Reporting Platform (SRP) an das zuständige CSIRT und ENISA vor:

StufeFristInhalt
Frühwarnung24 Stunden ab Kenntniserste Meldung des Ereignisses
Vollständige Meldung72 Stundeninkl. Korrektur-/Minderungsmaßnahmen
Abschlussbericht (Schwachstelle)14 Tagenach Verfügbarkeit einer Korrekturmaßnahme, bei aktiv ausgenutzter Schwachstelle
Abschlussbericht (Vorfall)1 Monatnach der 72-h-Meldung, bei schwerem Sicherheitsvorfall

Ein verbreiteter Fehler ist, den Abschlussbericht pauschal mit „14 Tagen" anzusetzen. Korrekt ist die Unterscheidung: 14 Tage bei der Schwachstelle, ein Monat beim Vorfall. Die SRP soll zum 11.09.2026 bereitstehen; bis dahin sind die internen Abläufe so einzurichten, dass die 24-/72-Stunden-Uhr eingehalten werden kann.

Ein durchgespieltes Beispiel: ein Mittelständler mit einem KI-gestützten Netzwerk-Sensor

Nehmen wir einen fiktiven Hersteller, der ein IDS-ähnliches Produkt mit einer KI-Anomalieerkennung vertreibt und selbst als mittelgroßer IT-Dienstleister arbeitet. Schematisch könnte sich folgendes Bild ergeben:

  • CRA: Das Produkt fiele je nach Einordnung in die Kategorie „wichtiger" Produkte (Anhang III, z. B. IDS/IPS als Klasse II) — die technische Beschreibung dieser Kategorien richtet sich nach der Durchführungsverordnung (EU) 2025/2392. Für Klasse II wäre regelmäßig eine notifizierte Stelle einzubinden. Es wären eine SBOM (maschinenlesbar, CycloneDX ≥ 1.6 oder SPDX ≥ 3.0.1 gemäß BSI TR-03183-2), eine dokumentierte Risikobewertung, ein Schwachstellen-Handling über den Support-Zeitraum (Richtwert mind. 5 Jahre) und die technische Dokumentation nach Anhang VII aufzubauen — 10 Jahre aufzubewahren.
  • AI Act: Die KI-Komponente wäre nach Risikoklasse einzuordnen; die dafür nötige Risikobewertung ließe sich mit der CRA-Risikobewertung gemeinsam methodisch aufsetzen.
  • NIS2: Als IT-Dienstleister könnte das Unternehmen selbst eine wichtige Einrichtung sein — mit Risikomanagement, Lieferkettenpflichten und einem organisationsweiten Vorfallsprozess, der den CRA-Produktprozess mitnutzt.

Der Hebel: SBOM, Risikobewertung, CVD-Policy und Vorfallsprozess werden einmal sauber gebaut und bedienen dann große Teile aller drei betroffenen Regime. Getrennte Silos pro Rechtsakt sind teuer, redundant und fehleranfällig.

Bußgeldrahmen — nüchtern eingeordnet

Der CRA staffelt Sanktionen (Art. 64, jeweils der höhere Betrag): bis 15 Mio € / 2,5 % des weltweiten Jahresumsatzes bei Verstößen gegen die grundlegenden Anforderungen (Anhang I, Art. 13/14); bis 10 Mio € / 2 % bei sonstigen Pflichten; bis 5 Mio € / 1 % bei falschen Angaben gegenüber Behörden oder notifizierten Stellen. NIS2 und DORA kennen jeweils eigene Sanktionsrahmen. Diese Zahlen sind ein Grund für strukturierte Vorbereitung — nicht für Panik.

Was Blackfort tut

Die Blackfort Technology UG (haftungsbeschränkt) begleitet Hersteller und Betreiber dabei, die vier Regime nicht als vier Projekte, sondern als einen integrierten Nachweisaufbau zu behandeln. Wir strukturieren die gemeinsamen Bausteine — Risikobewertung und Threat-Modeling, SBOM-Erzeugung, CVD- und Vorfallsprozess entlang der CRA-Melde-Kaskade — so, dass sie über CRA, NIS2, DORA und AI Act hinweg wiederverwendbar sind. Ergebnisse und Empfehlungen sind schematisch und ersetzen keine Rechtsberatung; die verbindliche rechtliche Einordnung bleibt Ihrer Prüfung bzw. Ihren Rechtsberatern vorbehalten.

Ein guter erster Schritt ist unser Betroffenheits-Check: Er ordnet schematisch ein, welche der vier Regime auf Ihr Produkt und Ihre Organisation zutreffen könnten. Kleine und mittlere Unternehmen finden im KMU-Bereich einen pragmatischen Einstieg, branchenspezifische Perspektiven im Branchen-Überblick. Wenn Sie die Konvergenz konkret für Ihr Haus durchspielen möchten, sprechen Sie uns an: Kontakt aufnehmen.

Quellen

  • Verordnung (EU) 2024/2847 (Cyber Resilience Act), EUR-Lex
  • Richtlinie (EU) 2022/2555 (NIS2), EUR-Lex
  • Verordnung (EU) 2022/2554 (DORA), EUR-Lex
  • Verordnung (EU) 2024/1689 (AI Act), EUR-Lex
  • Durchführungsverordnung (EU) 2025/2392; ENISA Single Reporting Platform; BSI TR-03183-2

Häufige Fragen

Muss ich CRA und NIS2 getrennt umsetzen?+
Die beiden Rechtsakte adressieren unterschiedliche Objekte — der CRA das Produkt, NIS2 den Betrieb der Einrichtung. Sie überschneiden sich aber stark bei Risikomanagement, Lieferkette und Meldung. In der Praxis lässt sich ein integrierter Nachweisaufbau (Risikobewertung, SBOM, Vorfallsprozess) so gestalten, dass er beide Regime effizient bedient. Das ist schematisch zu verstehen und ersetzt keine Rechtsberatung.
Ab wann greift der CRA konkret?+
Der CRA trat am 10.12.2024 in Kraft. Die produktbezogene Melde- und Berichtspflicht nach Art. 14 gilt ab dem 11.09.2026, die vollständige Anwendung aller Produktanforderungen ab dem 11.12.2027. Wichtig: Ab September 2026 gilt nicht der ganze CRA, sondern zunächst die Meldepflicht. Beide Daten sollten in der Planung nicht verwechselt werden.
Welche Meldefristen sieht die CRA-Melde-Kaskade vor?+
Bei aktiv ausgenutzten Schwachstellen und schweren Vorfällen gilt: 24 Stunden Frühwarnung ab Kenntnis, 72 Stunden vollständige Meldung inkl. Minderungsmaßnahmen. Der Abschlussbericht ist zu unterscheiden — 14 Tage bei einer Schwachstelle (nach Verfügbarkeit einer Korrekturmaßnahme) und 1 Monat bei einem schweren Vorfall (nach der 72-h-Meldung). Gemeldet wird über die ENISA Single Reporting Platform an das zuständige CSIRT und ENISA.
Kann ein KI-Produkt gleichzeitig unter CRA und AI Act fallen?+
Ja, das ist möglich — die Rechtsakte schließen sich nicht aus. Der AI Act adressiert das KI-Risiko des Systems (Risikoklassen, Transparenz), der CRA die Produkt-Cybersicherheit (Security-by-Design, SBOM, Schwachstellen-Handling). Beide verlangen eine dokumentierte Risikobewertung, die sich methodisch gemeinsam aufsetzen lässt. Die konkrete Einordnung hängt vom Einzelfall ab und ist keine Rechtsberatung.
Wie hilft eine SBOM über mehrere Regime hinweg?+
Eine maschinenlesbare SBOM (CycloneDX ≥ 1.6 oder SPDX ≥ 3.0.1, vgl. BSI TR-03183-2) ist Teil der technischen CRA-Dokumentation und bildet zugleich die Grundlage für die Lieferketten-Nachweise, die NIS2-Beschaffung und die DORA-Drittparteibetrachtung nutzen. Einmal sauber erzeugt, reduziert sie den Aufwand über die Regime hinweg — ein zentraler Effizienzhebel der koordinierten Umsetzung.

Quellen

Diese Inhalte dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar (keine Rechtsdienstleistung i.S.d. RDG).