Zum Inhalt springen
SBOMfunkSBOMfunk
Wissensartikel · Zuletzt aktualisiert: April 2026

NIS2 vs. CRA: Abgrenzung und Doppelmeldung

TL;DR

NIS2 gilt für Betreiber kritischer Infrastrukturen, CRA für Hersteller von Produkten. Beide verlangen 24h-Frühwarnungen — an unterschiedliche Behörden. Wer beides ist, muss doppelt melden.

NIS2 und CRA: Zwei Verordnungen, zwei Zielgruppen

Viele Unternehmen fragen sich, ob NIS2 oder der Cyber Resilience Act für sie gilt — oder beide. Die Antwort hängt davon ab, welche Rolle das Unternehmen einnimmt:

  • NIS2 (Richtlinie EU 2022/2555): Gilt für Betreiber wesentlicher und wichtiger Einrichtungen — also Unternehmen, die kritische Dienste betreiben (Energie, Transport, Gesundheit, Finanzen, digitale Infrastruktur).
  • CRA (Verordnung EU 2024/2847): Gilt für Hersteller von Produkten mit digitalen Elementen — also Unternehmen, die Software oder Hardware mit digitalen Komponenten auf dem EU-Markt bereitstellen.

Beide Verordnungen sind unabhängig voneinander — sie ergänzen sich, schließen sich aber nicht aus. Ein Unternehmen kann sowohl NIS2- als auch CRA-pflichtig sein.

NIS2: Wer ist betroffen?

NIS2 erfasst Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz in kritischen Sektoren. In Deutschland wurde NIS2 durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) in nationales Recht umgesetzt.

Betroffene Sektoren (Auswahl):

  • Energie (Strom, Gas, Öl, Fernwärme)
  • Transport und Verkehr
  • Gesundheit und Pharmaindustrie
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren)
  • Finanzmarktinfrastruktur und Banken
  • Öffentliche Verwaltung

NIS2-Pflichten umfassen: Risikomanagement, Meldepflichten an das BSI, Sicherheitsmaßnahmen und Lieferkettensicherheit. Die 24h-Frühwarnung bei erheblichen Sicherheitsvorfällen geht an das BSI (national) und an ENISA (europäisch, über das CSIRT-Netzwerk).

CRA: Wer ist betroffen?

Der CRA gilt für alle Hersteller von Produkten mit digitalen Elementen — unabhängig von Unternehmensgröße oder Branche. Auch KMU und Startups sind betroffen, wenn sie Software oder Hardware in der EU vermarkten.

CRA-Pflichten umfassen: SBOM-Erstellung, Schwachstellenmanagement, 24h-Meldepflicht aktiv ausgenutzter Schwachstellen an die ENISA Single Reporting Platform (nicht das BSI direkt).

Nutzen Sie unseren CRA-Pflicht-Check, um zu ermitteln, ob und in welcher Klasse Ihr Produkt betroffen ist.

Überschneidung: Hersteller die auch Betreiber sind

Ein Softwareunternehmen, das ein SaaS-Produkt für kritische Infrastrukturen betreibt (NIS2) und gleichzeitig das Produkt herstellt (CRA), unterliegt beiden Verordnungen.

Beispiele für Doppelbetroffenheit:

  • Ein Cloud-Anbieter für Gesundheitsdaten: Betreiber (NIS2) + Hersteller der Plattform (CRA)
  • Ein Energiemanagementsystem-ISV, der seine eigene SaaS-Plattform betreibt: NIS2 (als Betreiber im Energiesektor) + CRA (als Softwarehersteller)
  • Ein Fintech-Unternehmen mit eigenentwickelter Kernbanken-Software: NIS2 (Finanzsektor) + CRA (Softwarehersteller)

Die Meldepflichten im Vergleich: NIS2 an BSI, CRA an ENISA

Trotz ähnlicher Fristen unterscheiden sich die Meldepflichten erheblich:

  • NIS2 — erheblicher Sicherheitsvorfall: 24h-Frühwarnung an BSI (national) + ENISA über CSIRT-Netzwerk. Trigger: erhebliche Auswirkung auf Dienstverfügbarkeit oder Datenintegrität.
  • CRA Art. 14 — aktiv ausgenutzte Schwachstelle: 24h-Frühwarnung direkt an ENISA SRP. Trigger: CVE in Ihrem Produkt wird aktiv in freier Wildbahn ausgenutzt (CISA-KEV-Eintrag oder eigene Erkenntnis).

Wichtiger Unterschied: Bei NIS2 meldet der Betreiber einen Vorfall. Bei CRA meldet der Hersteller eine Schwachstelle — auch wenn diese noch nicht zu einem Vorfall geführt hat.

Gemeinsames Incident-Response-Framework: Doppelarbeit vermeiden

Für doppelbetroffene Unternehmen empfehlen wir einen gemeinsamen Incident-Response-Prozess, der beide Meldepflichten berücksichtigt:

  • Schritt 1 — Klassifizierung: Ist der Vorfall eine CRA-Schwachstelle (aktiv ausgenutzte CVE) oder ein NIS2-Sicherheitsvorfall (Dienststörung)? Oft beides.
  • Schritt 2 — Parallelmeldung: CRA-Meldung an ENISA SRP (24h) + NIS2-Frühwarnung an BSI (24h) — separat, aber koordiniert.
  • Schritt 3 — Dokumentation: Einheitlicher Audit-Trail für beide Meldungen — verhindert Inkonsistenzen bei Behördenrückfragen.

SBOMfunk: Fokus auf CRA — NIS2 als optionaler Export-Kanal

SBOMfunk ist spezialisiert auf den CRA-Compliance-Workflow: SBOM-Generierung, Vulnerability-Tracking und ENISA-SRP-Meldung. NIS2-Meldungen an das BSI sind nicht der primäre Fokus.

Auf der Roadmap für 2026/2027: NIS2-Meldung als optionaler Export-Kanal aus dem Vulnerability-Dashboard — für doppelbetroffene Unternehmen, die beide Meldepflichten aus einem System heraus erfüllen wollen.

CRA-Compliance strukturiert aufsetzen

SBOMfunk fokussiert auf den CRA-Compliance-Workflow — SBOM, Vulnerability-Tracking und ENISA-Meldung in einem System.

Beta-Zugang sichernCRA-Pflicht-Check starten