DORA und NIS2-sind umgesetzt – bleibt jetzt Zeit zum Durchatmen?
Ab September 2026 ist der Cyber Resilience Act (CRA) anzuwenden.
Viele Unternehmen wiegen sich in vermeintlicher Sicherheit: Mit der Umsetzung von DORA- und NIS2-Anforderungen scheint das Thema digitale Resilienz erledigt. Doch mit dem Cyber Resilience Act (CRA) greift ab September 2026 ein weiteres neues Regelwerk – mit neuen Produktpflichten, neuen Haftungsrisiken und detaillierten Anforderungen an Sicherheitsnachweise, technische Dokumentation und Offenlegungspflichten.
Unsere Expert:innen empfehlen Unternehmen frühzeitig zu prüfen, welche Produkte betroffen sind, wie sich die Wertschöpfungskette verändert – und wo bestehende Prozesse angepasst werden müssen. Denn der CRA verlangt nicht nur IT-Compliance, sondern einen ganzheitlichen Blick auf Produktverantwortung, Lieferantenintegration und regulatorische Nachweispflichten.
Auf diese 6 Unterschiede müssen Unternehmen jetzt besonders achten
1. Geltungsbereich
DORA: Betrifft die Finanzinstitute sowie IT-Systeme, die deren geschäftskritische Funktionen unterstützen.
NIS2: Betrifft alle Organisationen der kritischen Sektoren
CRA: Richtet sich an Produkte mit digitalen Elementen, die im EU-Binnenmarkt in Verkehr gebracht werden.
Was Unternehmen jetzt tun müssen: Analysieren Sie, welche Ihrer Produkte unter den CRA fallen – unabhängig davon, ob sie zentral für Ihre internen Geschäftsprozesse sind.
2. Rollen von Dritten in der Lieferkette
DORA: Bezieht sich ausschließlich auf Anbieter von IKT-Dienstleistungen (z. B. Konzerninterne, Dienstleister, Subunternehmer).
NIS2: Cybersicherheit Maßnahmen müssen für die gesamte Lieferkette umgesetzt werden.
CRA: Verlangt die Identifikation aller Anbieter und deren Rolle in der Lieferkette Ihrer digitalen Produkte.
Was Unternehmen jetzt tun müssen: Erstellen Sie ein vollständiges Mapping Ihrer Lieferkette – inklusive Hersteller-, Vertriebs- und Importeur-Rollen für jedes relevante Produkt.
3. Kritikalitätsbewertung
DORA: Bewertung erfolgt auf Basis geschäftlicher Anforderungen an Funktionen und unterstützende IKT-Systeme.
NIS2: Die Kritikalität betrifft die Industriesektoren.
CRA: Beurteilt wird das Produkt selbst – anhand seiner technischen Eigenschaften, nicht seiner geschäftlichen Bedeutung.
Was Unternehmen jetzt tun müssen: Entwickeln Sie eine produktspezifische Risikobewertung – unabhängig vom Einsatzkontext in der Organisation.
4. Resilienz Maßnahmen
DORA: Verlangt Richtlinien und Maßnahmen zur Absicherung von IKT-Assets in Finanzunternehmen.
NIS2: Verlangt 10 allgemeine Risikomanagementmaßnahmen um Netzwerke, Informationssysteme und die physische Umgebung zu schützen.
CRA: Gibt konkrete Sicherheitskontrollen vor, die während des gesamten Produktlebenszyklus umgesetzt werden müssen – vom Design bis zum Rückzug vom Markt.
Was Unternehmen jetzt tun müssen: Integrieren Sie Sicherheitsmaßnahmen in Ihre Produktentwicklung – mit besonderem Fokus auf „Security by Design“.
5. Compliance-Bewertung & Dokumentation
DORA: Erfordert jährlich eine umfassende Überprüfung des IKT-Risikomanagements und die Berichterstattung an die FMA.
NIS2: Staatliche CSIRT sind für die Überwachung der Konformität von nationalen Unternehmen verantwortlich. Unternehmen aus relevanten Sektoren müssen sich ihrem nationalen CSIRT registrieren.
CRA: Verlangt eine produktspezifische Compliance-Bewertung im gesetzlich vorgeschriebenen Format – inklusive technischer und nutzerbezogener Dokumentation.
Was Unternehmen jetzt tun müssen: Richten Sie interne Prozesse ein, um alle betroffenen Produkte systematisch zu dokumentieren – von Risikoanalyse bis Benutzerinformation.
6. Meldepflichten
DORA: Meldepflicht besteht bei schwerwiegenden IKT-Vorfällen an die FMA – auf Basis definierter Schwellenwerte.
NIS2: Wesentliche Cybersicherheitsvorfälle sind bei dem nationalen CSIRT zu melden.
CRA: Meldungen müssen an BKA und BMI erfolgen – bei allen sicherheitsrelevanten Produktvorfällen oder Schwachstellen.
Was Unternehmen jetzt tun müssen: Etablieren Sie getrennte Meldeprozesse für DORA- und CRA-relevante Vorfälle – mit klaren Zuständigkeiten und Zeitlinien.
Unsere Services für Ihre digitale Resilienz
Setzen Sie auf einen zukunftsfähigen Kontrollansatz – lean, adaptiv und digitalisiert. Wir unterstützen Sie dabei, Ihre Produktlandschaft ganzheitlich zu analysieren und Synergien gezielt zu identifizieren.
Wir schaffen Transparenz über Ihren aktuellen Status und den Weg zum Ziel
- Bewertung der Anwendbarkeit und Identifikation von Lücken
- Analyse Ihrer Produktlandschaft
Wir koordinieren für Sie alle relevanten Stakeholder
- Abstimmung mit Herstellern, Vertriebs- und Importpartnern
- Durchführung von Audits in der Lieferkette
Wir verstehen die Erwartungen der Behörden und was bedeutet resiliente digitale Produkte
- Abgleich des Cyber Resilience Act mit Best-Practice-Standards und anderen Vorgaben
- Identifikation von Quick Wins aus vorangegangenen Umsetzungen
Wir beschleunigen Ihren Weg zur Compliance
- Umsetzung der wesentlichen Resilienz-Anforderungen
- Erstellung und Pflege von Nutzer- und technischen Dokumentationen
Wir gewährleisten kontinuierliche Compliance
- Durchführung regelmäßiger Compliance-Assessments
- Externe Kommunikation mit Geschäftspartnern, Nutzern und Behörden
Weitere Serviceleistungen für mehr Sicherheit in Ihrem Unternehmen
Christa Janhsen, WP
