Blackfort TechnologyBlackfort Technology

CRA vs. NIS2 vs. DORA: unterschiedliche Regelungsgegenstände, teils dieselben Unternehmen

Blackfort Technology · Wissen zum Cyber Resilience Act

Hinweis: Dieser Beitrag bietet allgemeine technisch-organisatorische Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und ist keine Rechtsberatung. Maßgeblich ist stets der geltende Verordnungstext; eine verbindliche Beurteilung Ihres Einzelfalls ersetzt dieser Beitrag nicht. Blackfort Technology erbringt technisch-organisatorische IT-Security- und Compliance-Beratung, keine Rechtsdienstleistungen i.S.d. RDG.

Drei EU-Rechtsakte werden im Cybersecurity-Kontext regelmäßig in einem Atemzug genannt – und regelmäßig verwechselt: der Cyber Resilience Act (CRA), die NIS2-Richtlinie und die DORA-Verordnung. Sie überschneiden sich thematisch, verfolgen aber unterschiedliche Regelungsgegenstände. Der wichtigste Merksatz vorweg: Der CRA reguliert Produkte, NIS2 und DORA regulieren Organisationen. Wer diese Ebenen sauber trennt, ordnet die eigene Betroffenheit deutlich zielsicherer ein.

Kurz gesagt: Der CRA (Verordnung (EU) 2024/2847) betrifft, wer Produkte mit digitalen Elementen in Verkehr bringt. NIS2 (Richtlinie (EU) 2022/2555) betrifft, wer eine wesentliche oder wichtige Einrichtung betreibt. DORA (Verordnung (EU) 2022/2554) betrifft Finanzunternehmen und deren IKT-Drittdienstleister. Ein Unternehmen kann von mehreren gleichzeitig erfasst sein.

Der CRA: Produktregulierung mit CE-Kennzeichnung

Der Cyber Resilience ActVerordnung (EU) 2024/2847 – ist eine horizontale Produktregulierung. Er stellt Cybersicherheitsanforderungen an Produkte mit digitalen Elementen (Software und Hardware mit direkter oder indirekter Datenverbindung zu einem Gerät oder Netz). Adressaten sind Wirtschaftsakteure entlang der Lieferkette: Hersteller, Importeure und Händler.

Der Hersteller muss die grundlegenden Anforderungen aus Anhang I erfüllen, ein Konformitätsbewertungsverfahren durchlaufen, technische Dokumentation erstellen, eine EU-Konformitätserklärung ausstellen und die CE-Kennzeichnung anbringen. Über die gesamte Support-Periode – mindestens fünf Jahre oder die kürzere erwartete Nutzungsdauer – ist ein Schwachstellen-Management zu betreiben, einschließlich einer SBOM (Software Bill of Materials) und einer verpflichtenden Richtlinie zur koordinierten Offenlegung von Schwachstellen (CVD). Für Importeure und Händler gelten abgestufte Sorgfalts- und Prüfpflichten – sie führen keine eigene Konformitätsbewertung durch, müssen aber sicherstellen, dass nur konforme Produkte in Verkehr gelangen.

Nicht jedes Produkt braucht eine benannte Stelle: Die meisten Produkte durchlaufen eine Selbstbewertung. Eine benannte Stelle wird erst bei den höheren Produktklassen zwingend – bei „important" Klasse II und bei kritischen Produkten. Der CRA ist damit horizontal, aber risikoabgestuft: je sicherheitsrelevanter die Produktfunktion, desto strenger der Konformitätsweg.

Der CRA gilt gestaffelt: Inkrafttreten am 10. Dezember 2024, die Meldepflichten nach Art. 14 ab dem 11. September 2026, die allgemeine Anwendung mit Konformitätsbewertung und CE-Kennzeichnung ab dem 11. Dezember 2027. Kein Datum aus 2024 oder 2025 ist ein Compliance-Stichtag für die materiellen Produktpflichten. Details dazu auf unserer Seite zum Cyber Resilience Act.

NIS2: Organisations- statt Produktregulierung

Die NIS2-RichtlinieRichtlinie (EU) 2022/2555 – reguliert nicht das Produkt, sondern die Organisation, die kritische Dienste betreibt. Sie unterscheidet wesentliche und wichtige Einrichtungen in Sektoren wie Energie, Transport, Gesundheit, Trinkwasser, digitale Infrastruktur, IKT-Dienstemanagement, öffentliche Verwaltung und weiteren. Als Richtlinie muss NIS2 in nationales Recht umgesetzt werden; die Umsetzungsfrist lief am 17. Oktober 2024 aus, in Deutschland steht die vollständige nationale Umsetzung zum Zeitpunkt dieses Artikels noch aus.

Im Zentrum stehen organisatorische Pflichten: Risikomanagement, technische und organisatorische Maßnahmen, Lieferkettensicherheit, Governance-Verantwortung der Leitung sowie Meldepflichten für erhebliche Sicherheitsvorfälle. NIS2 verlangt keine CE-Kennzeichnung und bewertet keine einzelnen Produkte auf Konformität – es geht um das Sicherheitsniveau des Betriebs.

Wichtig für die Abgrenzung: Eigenständige SaaS- oder reine Cloud-Dienste fallen tendenziell unter NIS2, nicht unter den CRA. Der CRA erfasst Cloud/Backend nur dann, wenn es als integrale Fernverarbeitung Teil eines Produkts mit digitalen Elementen ist. Die Grenze ist an den Rändern ausdrücklich unscharf und wartet auf Leitlinien der Kommission.

DORA: sektorspezifisch für den Finanzsektor

Die DORA-VerordnungVerordnung (EU) 2022/2554, „Digital Operational Resilience Act" – ist sektorspezifisch. Sie richtet sich an Finanzunternehmen (Banken, Versicherungen, Wertpapierfirmen, Zahlungsinstitute, Krypto-Dienstleister und weitere Kategorien) und deren IKT-Drittdienstleister. Ziel ist die digitale operationelle Resilienz: die Fähigkeit, IKT-Störungen zu widerstehen, auf sie zu reagieren und sich zu erholen.

DORA gilt als unmittelbar anwendbare Verordnung seit dem 17. Januar 2025 – ohne nationale Umsetzung. Sie verlangt ein IKT-Risikomanagement-Rahmenwerk, Vorfallmeldung, Resilienztests, das Management von Drittparteienrisiken (inklusive eines Informationsregisters) und schafft einen EU-Aufsichtsrahmen für kritische IKT-Drittdienstleister. Anders als NIS2, das branchenübergreifend viele Sektoren adressiert, ist DORA bewusst auf den Finanzsektor zugeschnitten und dort spezifischer und detaillierter. Wo beide theoretisch greifen könnten, geht die sektorspezifische Regelung (lex specialis) für Finanzunternehmen in der Regel vor – die genaue Abgrenzung ergibt sich aus den jeweiligen nationalen Umsetzungsgesetzen zu NIS2.

Die Vergleichstabelle

KriteriumCRANIS2DORA
RechtsaktVerordnung (EU) 2024/2847Richtlinie (EU) 2022/2555Verordnung (EU) 2022/2554
RegelungsgegenstandProdukte mit digitalen ElementenOrganisationen / BetreiberFinanzsektor + IKT-Drittdienstleister
Wer ist betroffen?Hersteller, Importeure, HändlerWesentliche & wichtige EinrichtungenFinanzunternehmen & deren IKT-Dienstleister
FokusProduktsicherheit, CE-KennzeichnungOrganisatorisches RisikomanagementOperationelle Resilienz
RechtsformVerordnung (unmittelbar)Richtlinie (nationale Umsetzung)Verordnung (unmittelbar)
Anwendunggestaffelt bis 11.12.2027ab nationaler Umsetzungseit 17.01.2025

Ein Unternehmen, mehrere Regime

Die Rechtsakte schließen sich nicht aus – sie überlagern sich. Typische Konstellationen:

  • Ein Hersteller vernetzter Geräte, der zugleich als mittleres oder großes Unternehmen eine wichtige Einrichtung im Sinne von NIS2 ist, muss seine Produkte nach dem CRA konformitätsbewerten und seinen Betrieb nach NIS2 absichern.
  • Eine Bank unterliegt DORA für ihre operationelle Resilienz; bringt sie eigene Software- oder Hardware-Produkte in Verkehr, kann zusätzlich der CRA greifen.
  • Ein IKT-Dienstleister kann DORA-Pflichten (als Drittdienstleister für Finanzunternehmen), NIS2-Pflichten (als eigene Einrichtung) und CRA-Pflichten (für ausgelieferte Produkte) gleichzeitig tragen.

Der häufigste Denkfehler: Produktregulierung (CRA) mit Organisationsregulierung (NIS2/DORA) zu verwechseln. Der CRA fragt: „Ist mein Produkt sicher und CE-konform?" NIS2 und DORA fragen: „Ist meine Organisation ausreichend widerstandsfähig?" Beides kann gleichzeitig zutreffen – die Pflichten ersetzen einander nicht.

Ob und in welcher Kombination Sie betroffen sind, klären Sie am besten anhand einer strukturierten Betroffenheitsprüfung. Einen Einstieg bietet unsere Seite zur CRA-Betroffenheit. Speziell für kleinere Unternehmen haben wir die Erleichterungen und Besonderheiten auf der Seite für KMU zusammengestellt. Diese Informationen sind allgemeiner technisch-organisatorischer Natur und ersetzen keine Rechtsberatung im Einzelfall.

Häufige Fragen

Was ist der Hauptunterschied zwischen CRA, NIS2 und DORA?
Der CRA (Verordnung (EU) 2024/2847) reguliert Produkte mit digitalen Elementen (Produktebene, CE-Kennzeichnung). NIS2 (Richtlinie (EU) 2022/2555) reguliert Organisationen – wesentliche und wichtige Einrichtungen – auf Betriebsebene. DORA (Verordnung (EU) 2022/2554) ist sektorspezifisch für den Finanzsektor und dessen IKT-Drittdienstleister.
Kann ein Unternehmen von mehreren dieser Rechtsakte gleichzeitig betroffen sein?
Ja. Die Regime überlagern sich. Ein Hersteller vernetzter Geräte, der zugleich eine wichtige Einrichtung ist, unterliegt dem CRA für seine Produkte und NIS2 für seinen Betrieb. Ein IKT-Dienstleister für Finanzunternehmen kann sogar alle drei tragen.
Fällt ein reiner SaaS- oder Cloud-Dienst unter den CRA oder unter NIS2?
Eigenständige SaaS- und reine Cloud-Dienste fallen tendenziell unter NIS2, nicht unter den CRA. Der CRA erfasst Cloud/Backend nur, wenn es als integrale Fernverarbeitung Teil eines Produkts mit digitalen Elementen ist. Die Grenze ist an den Rändern unscharf und wartet auf Leitlinien der Kommission.
Ab wann gelten die drei Rechtsakte jeweils?
DORA gilt unmittelbar seit dem 17. Januar 2025. NIS2 war bis zum 17. Oktober 2024 in nationales Recht umzusetzen und gilt ab der jeweiligen nationalen Umsetzung. Der CRA gilt gestaffelt: Meldepflichten ab 11. September 2026, allgemeine Anwendung mit CE-Kennzeichnung ab 11. Dezember 2027.
Warum ist es wichtig, Produkt- und Organisationsregulierung zu trennen?
Weil sich sonst die Betroffenheit und die Pflichten verwechseln lassen. Der CRA fragt, ob ein Produkt sicher und CE-konform ist; NIS2 und DORA fragen, ob eine Organisation ausreichend widerstandsfähig ist. Die Pflichten ersetzen einander nicht, sondern können parallel bestehen.

Sprechen wir über Ihre CRA-Readiness

Unsicher, welche dieser Regelungen auf Ihr Unternehmen zutreffen? Mit einer strukturierten Betroffenheitsprüfung ordnen wir CRA, NIS2 und DORA für Ihren konkreten Fall ein. Jetzt Betroffenheit klären.

Erstgespräch anfragen Betroffenheit prüfen
Die Inhalte dieser Website dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar. Blackfort Technology erbringt IT-Security- und Compliance-Beratung im technisch-organisatorischen Sinne, keine Rechtsdienstleistungen i.S.d. RDG.