Geschrieben am 28.07.2025 von:
Noureddine Jerbi
Penetration Tester | IT Security Consultant
zum Profil
Kontaktiere mich:
+49 (0) 261 – 9886236 44
E-Mail senden
Die zunehmende Bedrohungslage durch immer komplexere und fortschrittlichere Cyberangriffe hat gezeigt, dass eine Verbesserung der Cybersicherheit ohne tiefgreifende Reformen und klare gesetzliche Vorgaben kaum realisierbar ist. Mit der NIS-2-Richtlinie und dem Cyber Resilience Act (CRA) reagiert die Europäische Union auf diese Herausforderung – und verpflichtet Unternehmen branchenübergreifend zu mehr Verantwortung und konkreten Schutzmaßnahmen. In diesem Beitrag werfen wir einen Blick auf die neuen regulatorischen Anforderungen, die entscheidend für die Zukunft der IT-Sicherheit sein werden.
NIS-2: Einheitliche Sicherheitsstandards für Unternehmen in der Europäischen Union
Die NIS-2-Richtlinie stellt eine Weiterentwicklung der 2016 eingeführten ursprünglichen Richtlinie zur Netzwerk- und Informationssicherheit dar und verfolgt das Ziel, der Dynamik moderner Cyberangriffe entgegenzuwirken. Die NIS-2-Richtlinie verschärft die Anforderungen an Cybersicherheitsmaßnahmen erheblich und erweitert den Anwendungsbereich auf 18 Sektoren, die in wesentliche und wichtige Einrichtungen unterteilt sind. Zudem wurden die Sanktionen bei Nichteinhaltung deutlich angehoben: Es drohen Geldstrafen von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Vorjahresumsatzes, je nachdem, welcher Betrag höher ist.
Mit der NIS-2-Richtlinie werden Organisationen verpflichtet, umfangreiche Maßnahmen zur Verbesserung ihrer Cybersicherheitsstandards umzusetzen. Dazu gehört die Durchführung von Risikoanalysen, um potenzielle Gefahren frühzeitig zu erkennen und zu bewerten. Sicherheitsvorfälle sind verpflichtend zu melden und es müssen effektive Verfahren zur Erkennung und Bewältigung solcher Vorfälle etabliert werden. Ein zentraler Bestandteil ist die Einführung eines Informationssicherheitsmanagementsystems (ISMS), das eine strukturierte und kontinuierliche Überwachung sowie Anpassung der Cybersicherheitsstrategie ermöglicht. Darüber hinaus legt die Richtlinie großen Wert auf die Zusammenarbeit mit nationalen Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland, die eine entscheidende Rolle bei der Überwachung, Beratung und Durchsetzung der Maßnahmen spielen. Unternehmen sind verpflichtet, ihre Sicherheitsvorkehrungen gegenüber diesen Behörden nachzuweisen und zentrale Ansprechpartner für die Cybersicherheit zu benennen. Technische Schutzmaßnahmen wie der Einsatz von Kryptografie und Multi-Faktor-Authentifizierung sowie die Sicherstellung grundlegender Cyberhygiene sind ebenfalls zwingend erforderlich.
Cyber Resilience Act: Neue Sicherheitsvorgaben für digitale Produkte
Der Cyber Resilience Act (CRA) ist eine Verordnung der Europäischen Kommission, die darauf abzielt, die Cybersicherheit von Produkten mit digitalen Elementen innerhalb der Europäischen Union zu verbessern. Ziel des CRA ist es, die Sicherheitsstandards zu harmonisieren und sicherzustellen, dass Produkte von der Entwicklung bis zum Ende ihres Lebenszyklus widerstandsfähig(er) gegenüber Cyber-Bedrohungen sind. Damit reagiert die EU auf die steigende Zahl von Cyberangriffen und Sicherheitslücken, die sowohl Unternehmen als auch Verbraucher betreffen.
Der Cyber Resilience Act betrifft vor allem Hersteller, Importeure und Vertreiber von digitalen Produkten, darunter Software, Hardware und IoT-Geräte. Unternehmen, die Produkte in der EU in Verkehr bringen, müssen die Anforderungen des CRA erfüllen. Zu den zentralen Vorgaben gehören unter anderem die Implementierung von „Security-by-Design“-Prinzipien, die Bereitstellung von Sicherheitsupdates über einen festgelegten Zeitraum sowie die Erstellung von Risikobewertungen und technischen Dokumentationen.
Der CRA ist bereits am 10. Dezember 2024 in Kraft getreten, für die Umsetzung der relevanten Anforderungen gibt es jedoch für die betroffenen Organisationen noch Übergangsfristen, sodass diese erst bis 2027 sukzessive verpflichtend sein werden. Dennoch ist es notwendig, dass betroffene Unternehmen bereits jetzt mit der Analyse der Anforderungen beginnen und entsprechende Anpassungen in ihren Entwicklungsprozessen und Sicherheitsstrategien vornehmen, um rechtzeitig die notwendigen Voraussetzungen zur Erfüllung aller Anforderungen schaffen zu können. Dazu gehört auch die Schulung von Mitarbeitenden, die Einbindung von Cybersicherheits-Experten und die Prüfung bestehender Produktportfolios auf Schwachstellen.
Für Unternehmen ist es entscheidend, proaktiv zu handeln, um nicht nur Compliance zu gewährleisten, sondern auch das Vertrauen von Kunden und Partnern zu stärken. Eine frühzeitige Auseinandersetzung mit den Regelungen des CRA bietet zudem die Möglichkeit, Wettbewerbsvorteile zu sichern, indem innovative und sichere Produkte entwickelt werden. Der Cyber Resilience Act stellt somit nicht nur eine regulatorische Herausforderung, sondern auch eine Chance für Unternehmen dar, ihre Marktposition zu stärken und sich zukunftssicher aufzustellen.
Mit immer strenger werdenden Compliance-Anforderungen wie NIS-2 und dem Cyber Resilience Act kommen Unternehmen nicht mehr an einer strukturierten Auseinandersetzung mit dem Thema Cybersicherheit vorbei. Doch wie lassen sich die neuen Vorgaben konkret und praxisnah umsetzen – und gleichzeitig die tatsächlichen Bedrohungen aus dem Cyberraum wirksam bewältigen?
Im nächsten Beitrag geben wir dir konkrete Handlungsempfehlungen an die Hand, mit denen du sowohl die regulatorischen Anforderungen erfüllen als auch deine IT-Sicherheit nachhaltig stärken kannst.