Regelungen wie NIS2, DORA sowie CRA verfolgen alle das Ziel, die IT-Security bzw. die Betriebsstabilität zu stärken. Bei näherer Betrachtung können sie manche Unternehmen vor große Herausforderungen stellen. Was müssen CISOs und IT-Security-Teams dabei beachten?
Die Gesetzesvorhaben sollen die von der EU geschätzten Kosten durch Cyber-Kriminalität von 5,5 Bio. Euro pro Jahr reduzieren.
(Bild: Lulla - stock.adobe.com)
Die Gefahr der Hackerangriffe hat auf allen Ebenen erheblich zugenommen. Gestiegen sind auch die Bedrohungen hinsichtlich kritischer Infrastrukturen wie beispielsweise die der Finanzwirtschaft. Aus diesem Grunde verwundert es kaum, dass auf die Regelungen von NIS2 (Network and Information Security) und DORA (Digital Operational Resilience Act) nun der CRA (EU Cyber Resilience Act) folgen soll.
Abgrenzung nach Rechtsform und Begrifflichkeit
DORA und CRA gelten als Verordnungen, während NIS2 eine europäische Richtlinie darstellt. Vergleichbar mit der Einführung der DSGVO im Jahr 2018 sind DORA und CRA nach ihrem Inkrafttreten für alle EU-Mitgliedstaaten verbindlich. NIS2 hingegen gilt nicht unmittelbar in der EU, sondern muss zunächst von den einzelnen Mitgliedstaaten in nationales Recht umgesetzt werden.
Die Richtlinie NIS2 verweist auf die Vereinheitlichung der IT-Security innerhalb der EU, verbunden mit der Anforderung, die Sicherheit entlang der gesamten Lieferkette zu prüfen. DORA zielt im Wesentlichen auf die Stärkung der Betriebsstabilität der IT in den Finanz- und Versicherungsunternehmen ab. Ein besonderer Schwerpunkt kommt dabei dem Management der Risiken von IKT-Drittanbietern zu, für den DORA ebenfalls gelten soll.
Der CRA soll verbindliche Anforderungen der IT-Security für Produkte mit digitalen Elementen aufstellen, die sich über den gesamten Produktlebenszyklus erstrecken. Dies wird bisweilen erhebliche Veränderungen für alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen mit sich bringen.
Problemstellung des CRA
Im Grunde dreht sich alles um Produkte mit digitalen Elementen, die sowohl Software als auch Hardware erfassen, und auf denen ein Zugriff über ein Produkt oder ein Netzwerk möglich ist. Dazu zählen jedoch keine digitalen Dienste wie etwa Cloud-Services oder SaaS sowie Open-Source-Software, die außerhalb der Geschäftstätigkeit eines betreffenden Unternehmens existieren. Zu den Produkten mit digitalen Elementen gehören beispielsweise Sensoren, Kameras, Router, intelligente Lautsprecher, Festplatten, mobile Endgeräte und viele mehr.
Anforderungen an die IT-Security
Der CRA fordert die Unternehmen auf, mit der Einhaltung folgender Anforderungen ein Mindestmaß an IT-Security zu gewährleisten:
Produkte mit bekannten Schwachstellen dürfen nicht am Markt angeboten werden.
Standard-Konfigurationen (security by design) als Sicherheit.
Minimierung der Angriffsflächen und Auswirkungen von Kompromittierungen.
Vertraulichkeit durch Verschlüsselung, Schutz der Datenintegrität und Datenminimierung.
Lassen sich während des Lebenszyklus eines Produkts Schwachstellen der IT-Security feststellen, muss der Hersteller diese beheben und automatisch kostenlose Updates bereitstellen. Der Update-Zeitraum ist jedoch auf höchstens fünf Jahre limitiert. Des Weiteren sind die Hersteller dazu angehalten, Schwachstellen in ihren Produkten durch regelmäßige Tests zu identifizieren und unverzüglich zu beheben.
Melde- und Prüfpflichten
Hat sich bereits ein Vorfall ereignet, der Auswirkungen auf die Sicherheit der Produkte haben könnte, bzw. wurden Schwachstellen bereits kompromittiert, muss der Hersteller dies spätestens innerhalb von 24 Stunden nach Bekanntwerden an die ENISA, die zuständige Aufsichtsbehörde, melden.
Liegt gleichzeitig auch eine Sicherheitsverletzung im Sinne der DSGVO oder anderer Gesetze vor, können zusätzliche Meldungen an die zuständige Datenschutzbehörde oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) erforderlich sein.
Die Hersteller müssen die Konformität gegenüber dem CRA entweder durch interne Prüfverfahren, eine EU-Typenprüfung oder durch eine Konformitätsbewertung auf Basis einer umfassenden Qualitätszusicherung sicherstellen (EU Declaration of Conformity).
Besondere Regelungen sind für kritische Produkte mit digitalen Elementen zu beachten, da potenzielle Schwachstellen dieser Produkte aufgrund ihrer IT-Security-Funktion oder ihrer Verwendung schwerwiegende Folgen haben können. Solche Produkte müssen dann ein och strengeres Verfahren durchlaufen, die sich nach gewissen Klassifizierungen richten.
Dazu gehören beispielsweise Browser, Antiviren-Programme, Firewalls, Netzwerkmanagement, Systeme, Router, Desktop- und Mobilgeräte, virtualisierte Betriebssysteme, Aussteller digitaler Zertifikate, Allzweck-Mikroprozessoren, Kartenlesegeräte, CPUs und Robotersensoren.
Anforderungen für Importeure und Händler
Neben den Herstellern gilt der CRA auch für Importeure und Händler von Produkten mit digitalen Elementen von Herstellern außerhalb der EU, wenn sie diese in der EU in den Umlauf bringen. Wobei mit Importeuren oder Händler Unternehmen gemeint sind, die Produkte in fremdem Namen am Markt anbieten. Erfolgt dies im eigenen Namen, gelten sie beispielsweise als Hersteller im Sinne des CRA.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Importeuren wird es auferlegt, sicherzustellen, dass der Hersteller ein entsprechendes Konformitätsverfahren im Sinne des CRA durchgeführt und die technische Dokumentation erstellt hat. Ferner müssen Importeure und Händler gleichsam gewährleisten, dass ihre Produkte die von dem CRA geforderte CE-Kennzeichnung tragen und alle erforderlichen Informationen sowie die Gebrauchsanweisung beiliegen. Der Importeur muss zudem seine Kontaktinformationen auf dem Produkt bzw. auf der Verpackung anbringen, und der Händler muss überprüfen, ob der Importeur dem nachgekommen ist.
Vorbereitende Maßnahmen
Geplant ist, dass die Verordnungen des CRA Anfang 2024 in Kraft treten sollen. Die betreffenden Unternehmen müssen die Vorschriften voraussichtlich 24 Monate nach dem Inkrafttreten anwenden. Es ist empfehlenswert, dass sich die Hersteller, Händler und Importeure aufgrund der oftmals langen Produktentwicklungszyklen (Security by Design) schon jetzt auf die geplanten Regeln vorbereiten. Zudem gilt es zu beachten, dass die Meldepflichten bei Sicherheitsverletzungen bereits 12 Monate nach dem Inkrafttreten eingehalten werden müssen.
Als vorbereitende Aktivitäten empfehlen sich folgende Maßnahmen:
Aufmerksam bestehende Produkte im Hinblick auf IT-Security und Schwachstellen beobachten.
Geplante Produkte sollten möglichst wenige IT-Security-Schwachstellen aufweisen.
Dokumentation der IT-Security sowie Dokumentation von Schwachstellen und der verwendeten Bestandteile Dritter für jedes Produkt.
Wahl einer Methode zur Konformitätsbewertung als auch für notwendige Vorbereitungen.
Bereitstellung von Informationen und Handlungsempfehlungen zur IT-Security für jedes Produkt.
Produktbeobachtung für den gesamten Lebenszyklus sowie notwendige Sicherheitsupdates bereitstellen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/b9/2f/b92f69a8714905c2feecc8081fdce668/0124940765v2.jpeg "Da der CRA Teil der CE-Kennzeichnung wird, müssen alle betroffenen Produkte die neuen Anforderungen erfüllen, bevor sie auf den EU-Markt gelangen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/38/da3889157477ba71878663a90c7a9ab5/0126746662v2.jpeg "EU-Verordnung Cyber Resilience Act: Herausforderung für Hersteller, Importeure und Händler. (Bild: frei lizenziert)")