Mit NIS-2 und dem Cyber Resilience Act stehen Unternehmen vor den größten Umbrüchen im europäischen Cybersicherheitsrecht seit Jahren. Fünf konkrete Praxistipps zeigen, wie Unternehmen die neuen Pflichten rechtssicher und zukunftsorientiert umsetzen können.
NIS-2 und der CRA markieren einen Paradigmenwechsel: Cybersicherheit in Unternehmen, Dienstleistungen und Produkten wird durch die neuen gesetzlichen Anforderungen vom technischen Thema zur knallharten Compliance-Pflicht.
Die NIS-2-Richtlinie und der Cyber Resilience Act (CRA) bilden die neuen Grundpfeiler des europäischen Cybersicherheitsrechts. Während NIS-2 die Sicherheit von Netzwerken und Informationssystemen in wichtigen und besonders wichtigen Einrichtungen adressiert, regelt der CRA die Cybersicherheit von Produkten mit digitalen Elementen über deren gesamten Lebenszyklus. Beide Regime greifen ineinander und führen zu erheblichen Compliance-Pflichten für Unternehmen.
NIS-2-Richtlinie: Neue Anforderungen und Haftungsrisiken
Die NIS-2-Richtlinie erfasst mittlere und große Unternehmen in 18 Sektoren, darunter Energie, Transport, Finanzwesen, Gesundheit, digitale Infrastrukturen und das verarbeitende Gewerbe. Durch den weiten Anwendungsbereich werden erstmals als auch viele bislang unregulierte Unternehmen erfasst. Betroffene Unternehmen müssen Risiken für die Cybersicherheit managen und geeignete technische und organisatorische Schutzmaßnahmen umsetzen. Die NIS-2-Richtlinie nennt insgesamt zehn Handlungsbereiche in denen Unternehmen aktiv werden müssen. Darunter sind unter anderem die Bewältigung von Sicherheitsvorfällen, Krisenmanagement, die Sicherheit des Personals und – für viele Unternehmen neu – Cybersicherheit der Lieferkette. Darüber hinaus nimmt die NIS-2-Richtlinie Vorstände und Geschäftsführer in den Fokus. Sie müssen die Umsetzung der Schutzmaßnahmen überwachen und haften bei Verletzung ihrer Pflicht zur Governance persönlich. Wichtige und besonders wichtige Einrichtungen müssen sich zudem bei der nationalen Aufsichtsbehörde registrieren und erhebliche IT-Sicherheitsvorfälle melden. Die Meldepflicht ist abgestuft ausgestaltet (24 Stunden: Erstmeldung, 72 Stunden: Detailmeldung, Ggfs. Fortschrittsbericht, 1 Monat nach Behandlung: Abschlussbericht). In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zuständige Aufsichtsbehörde. Verstöße können harte Maßnahmen der Aufsichtsbehörden und im schlimmsten Fall Geldbußen in Millionenhöhe nach sich ziehen.
Cyber Resilience Act: Cybersicherheit als Produkteigenschaft
Der CRA erfasst nahezu alle Hardware- und Softwareprodukte, die direkt oder indirekt mit anderen Geräten oder Netzwerken verbunden werden können – von Smart-Home-Applikationen bis hin zu industriellen Steuerungssystemen. Hersteller, Importeure und Händler dürfen solche Produkte nur dann im EU-Binnenmarkt bereitstellen, wenn sie die verbindlichen Cybersicherheitsanforderungen des CRA erfüllen. Diese umfassen insbesondere „Security by Design“ und „Security by Default“, die Durchführung einer systematischen Risikobewertung, die Erstellung einer technischen Dokumentation, ein kontinuierliches Schwachstellenmanagement sowie die fristgerechte Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Sicherheitsvorfälle. Sicherheitsupdates sind für die gesamte Lebensdauer eines Produkts kostenfrei bereitzustellen. Die CE-Kennzeichnung dient als Nachweis der Konformität mit den CRA-Vorgaben und ist Voraussetzung für das Inverkehrbringen. Bei Verstößen drohen erhebliche Sanktionen, darunter Bußgelder von bis zu 2,5 Prozent des weltweiten Jahresumsatzes sowie behördliche Maßnahmen wie Vertriebsbeschränkungen, Rückrufe oder Marktverbote.
Auswirkungen auf Compliance und Unternehmenspraxis
Durch die neuen regulatorischen Anforderungen wird Cybersicherheit wird zu einem zentralen Bestandteil von Governance und Compliance. Geschäftsleitungen sind verpflichtet, Cyberrisiken aktiv zu steuern, Verantwortlichkeiten eindeutig zuzuweisen und ausreichende personelle wie finanzielle Ressourcen bereitzustellen. Die Einrichtung eines eigenständigen Verantwortlichen für die Cybersicherheitsstrategie, wie z.B eines Chief Information Security Officer (CISO) – wird daher zunehmend Teil einer guter Unternehmenspraxis.
Praktisch extrem relevant und in der Umsetzung herausfordernd ist die Absicherung der gesamten Wertschöpfungskette. Unternehmen müssen Cyberrisiken bei Zulieferern und Dienstleistern strukturiert identifizieren, bewerten und steuern. Dies umfasst eine methodische Risikoanalyse und klare vertragliche Regelungen gegenüber Lieferanten und Dienstleistern. Zudem müssen Informationsaustausch und Incident-Response nicht nur in das unternehmensweite Krisenmanagement eingebettet werden, sondern auch im Austausch mit Dritten funktionieren.
Die folgenden fünf Praxistipps zeigen, wie Unternehmen die neuen Compliance-Anforderungen effizient umsetzen können:
1. Frühzeitige Compliance-Gap-Analyse Prüfen Sie Ihre Betroffenheit von NIS-2 und CRA und vergleichen Sie Ihre bestehenden Cybersecurity-Maßnahmen mit den gesetzlichen Anforderungen. Erstellen Sie auf dieser Basis einen Maßnahmenplan.
2. Vertragsgestaltung entlang der Lieferkette Verankern Sie Mindeststandards zur Cybersicherheit und spezifische Maßnahmen wie den Umgang mit Schwachstellen, Nachweise und Audits in Verträgen mit Zulieferern und Partnern.
3. Schulungen Führen Sie regelmäßige Schulungen für alle Mitarbeitenden im Unternehmen durch, um das Bewusstsein für Cybersicherheit und Cyberrisiken zu stärken.
4. Kontinuierliche Verbesserung Setzen Sie eine Gruppe aus internen und externen Experten ein, um den Reifegrad Ihres Unternehmen zu überwachen. Behalten Sie die Bedrohungslage, aber auch regulatorische Änderungen im Blick und Best Practices zu entwickeln.
5. Unternehmenskultur Verankern Sie Cybersicherheit als integralen Bestandteil der Unternehmensstrategie und -kultur und denken Sie daran: Cybersicherheit ist eine Leitungsaufgabe.
Digital Business Conference 2026
Das neue Digitalrecht in der Praxis – KI, Daten und Cybersicherheit
Am 7. Mai 2026 treffen sich führende Vertreter:innen aus der Wirtschaft, öffentlichen Stellen und Wissenschaft, um die drängendsten rechtlichen Herausforderungen und praktikable Lösungen für Cybersicherheitsstrategien zu diskutieren. Im Fokus stehen die neuen Regelwerke des EU-Digitalrechts – darunter der AI Act, der Data Act und aktuelle Entwicklungen im Cybersicherheitsrecht. Wir freuen uns auf Sie!
Mit dem Code DBC26_SI20 erhalten Sie exklusiv 20% Rabatt auf den Ticketpreis.
NIS-2 und der CRA markieren einen Paradigmenwechsel im europäischen Cybersicherheitsrecht. Cybersicherheit in Unternehmen sowie in Dienstleistungen und Produkten wird durch die neuen gesetzlichen Anforderungen von einem eher technischen Thema zu einer knallharten Compliance-Pflicht wird. Unternehmen sind deshalb gefordert, Cybersicherheit als strategisches Governance-Thema zu begreifen und Cybersecurity-Compliance als kontinuierlichen Prozess zu etablieren. Die Umsetzung erfordert erhebliche Investitionen, bietet aber die Chance, die eigene Resilienz und das Vertrauen bei Stakeholdern zu stärken.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über den Autor: Rechtsanwalt Stefan Hessel, LL.M. ist Partner und Head of Digital Business bei der Kanzlei reuschlaw in Saarbrücken. Er berät Unternehmen und die öffentliche Hand zu komplexen Fragestellungen in den Bereichen IT-Recht, Cybersicherheit sowie Datenschutz.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f2/f3/f2f38be8340a8b744e5c693e90aabfd4/0128625667v2.jpeg "Auch 2026 ist der Microsoft Patchday immer am zweiten Dienstag des Monats. (Bild: Microsoft, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/fb/fa/fbfad3864ef2a802462c0e63f2b7dff2/0122470970v1.jpeg "Aktive Angriffe laufen auf Microsoft-Produkte derzeit zwar nicht. Dennoch waren einige der Schwachstellen vor dem Patchen öffentlich bekannt und die Updates des Microsoft Patchdays sollten dringend umgesetzt werden. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/40/2e404520283714af15431e4963d7ea71/0129740507v2.jpeg "Trotz der Zerschlagung im Mai 2025 ist LummaStealer laut Bitdefender wieder aktiv und verbreitet sich vor allem über Social Engineering mit CastleLoader, um Zugangsdaten und Sitzungen von Opfern abzugreifen. (Bild: donald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/62/32620eb62e7bf8901adb3e3c64e6a101/0129882648v1.jpeg "Ransomware-Angriffe auf OT-Systeme stiegen 2025 um 64 Prozent bei 3.300 betroffenen Organisationen. Dragos identifizierte drei neue Angreifergruppen, die industrielle Prozesse analysieren, um physische Schäden zu verursachen. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/ed/82ed8e528452a616405d60e5233468b5/0129895942v2.jpeg "Protected Users härtet privilegierte AD-Konten durch technische Einschränkungen auf Clients und Domänencontrollern. Die Sicherheitsgruppe reduziert Angriffsflächen messbar, verlangt aber Betriebsdisziplin. (Bild: © Alexej - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/8d/d98d7787e5351a5674cf0cd94cee8e5a/0129910237v2.jpeg "Für Android-Nutzer bedeutet die Zero-Day-Schwachstelle bei Qualcomm, dass Daten offenlegt werden oder Systeme abstürzen könnten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/92/049241d64160979bbcff397d28d51bd2/0129753548v2.jpeg "Cyberkriminelle nutzen die Content-Type-Confusion-Schwachstelle aus, indem sie manipulierte Webhook-Requests mit falschem Content-Type senden und darüber ein gefälschtes „files“-Objekt einschleusen. So können sie lokale Dateien und Secrets auslesen und Schadcode schmuggeln. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/7d/f37dc8c76ed53109bcb9f0685833b476/0129556118v1.jpeg "Die neue App soll Unternehmen helfen, die eigene Krisen-Resilienz zu überprüfen. (Bild: © Wanan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cc/83cc8ef3d0201c8a899011eb2428a3a4/0129633537v1.jpeg "Bei einem amerikanischen Unternehmen, das sich auf KI-basierte Identitätsverifikation spezialisiert hat, kam es zu einem massiven Datenleck. Dabei wurden drei Milliarden Datensätze, darunter rund eine Milliarde sensible Daten, aus 26 Ländern offengelegt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9b/95/9b95467aad0c6c19529d9ccb0edb0ce5/0129748679v2.jpeg "Ein Cyberkrimineller konnte 150 Gigabyte an Daten von mexikanischen Behörden stehlen. Darunter Informationen zu Steuerzahlungen, Ausweisdaten, Registerdaten, Mitarbeiterzugangsdaten sowie Betriebsdaten. (Bild: Benjamin - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3b/00/3b00ece51f9d7136ddba9ddf090c7826/0129889664v1.jpeg "NIS-2 und der CRA markieren einen Paradigmenwechsel: Cybersicherheit in Unternehmen, Dienstleistungen und Produkten wird durch die neuen gesetzlichen Anforderungen vom technischen Thema zur knallharten Compliance-Pflicht. (Bild: © mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0d/4a/0d4a805981611f7acce37b36a12efb3c/0129887977v1.jpeg "Das KRITIS-Dachgesetz führt Unternehmen zu einem systematischen, überprüfbaren Umgang mit Risiken. Digitale Informationszwillinge helfen hier, weil sie Komplexität beherrschbar machen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/9d/699da109d631b/onapsis-logo-full-color-rgb-150dpi.png "onapsis-logo-full-color-rgb-150dpi (Onapsis)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/77/12/77121080c64b9e12202e2df5f5ec46cb/0128017720v2.jpeg "NIS 2 verankert Verantwortung im Management und verschärft Meldepflichten. Wir zeigen sechs typische Fehler von Geltungsbereich bis Lieferketten- und Incident-Readiness. (Bild: © FARIHA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/de/7fde7f3479bb930bd007e1d8e7a09ffb/0128963385v1.jpeg "Wir sprechen im Security-Insider-Podcast mit Rechtsanwalt Dr. Dr. Fabian Teichmann über Haftungsfragen im Rahmen der NIS-2-Richtlinie und geben auch gleich konkrete Handlungsempfehlungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/4b/38/4b3842a64741d2dbd1f76ec5478ae444/0126170958v1.jpeg "Der Cyber Resilience Act verschiebt Cybersicherheit vom „Nice-to-have“ zur Pflichtvoraussetzung für das CE-Zeichen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ac/7d/ac7de267fffd98226a6feeee8275e6de/0128963385v2.jpeg "NIS 2 gilt! Alles, was Unternehmen dazu nun wissen müssen, gibt es im Fakten-Check mit Prof. Dennis-Kenji Kipker im Security-Insider-Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/45/96/4596d2bb47d7e50fb1261cfa87688992/0125812908v2.jpeg "Mit den NIS-2-Infopaketen gibt das BSI Unternehmen und Organisationen Hilfestellungen an die Hand, um die angekündigten Vorgaben umzusetzen. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/1d/341d2ec96cf12f54d5baa76cda2ffba7/0129424332v2.jpeg "Der EU AI Act macht Cybersicherheit zur Compliance-Pflicht für KI-Systeme. Gerade Hochrisiko-KI-Systeme sind besonders schutzbedürftig. Ein risikobasierter Rechtsrahmen soll helfen. (Bild: © Franklin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")