• Kommentare deaktiviert für Cyber Resilience Act & NIS-2 – Was 2025 auf KMU zukommt

Cyber Resilience Act & NIS-2 – Was 2025 auf KMU zukommt

Ab 2025 tritt eine neue Phase der europäischen Cybersicherheitsgesetzgebung in Kraft. Mit dem Cyber Resilience Act (CRA) und der NIS-2-Richtlinie verschärft die Europäische Union die Anforderungen an Unternehmen deutlich – auch an kleine und mittlere Unternehmen (KMU). Ziel ist es, digitale Produkte sicherer zu machen, die Meldepflichten bei Cybervorfällen zu vereinheitlichen und die Cyber-Resilienz der europäischen Wirtschaft insgesamt zu stärken. Für KMU bedeutet das: Informationssicherheit wird zur gesetzlichen Verpflichtung, nicht mehr zur freiwilligen Maßnahme.

Warum neue Regeln nötig wurden

Die Zahl der Cyberangriffe in Europa ist in den letzten Jahren drastisch gestiegen. Besonders betroffen sind Unternehmen ohne eigenes IT-Sicherheitsteam. Viele Angriffe bleiben unentdeckt oder werden zu spät gemeldet, wodurch Schadensausmaß und Folgekosten steigen. Die EU reagiert darauf mit verbindlichen Sicherheitsstandards, die für alle Mitgliedsstaaten gelten.
NIS-2 erweitert die bisherige Richtlinie NIS-1 deutlich: Sie umfasst nun mehr Branchen und verlangt strengere organisatorische und technische Schutzmaßnahmen. Der Cyber Resilience Act ergänzt diese Vorgaben um konkrete Anforderungen an Hersteller und Anbieter digitaler Produkte.

NIS-2 im Überblick

Die NIS-2-Richtlinie („Network and Information Security Directive 2“) verpflichtet Unternehmen, ein systematisches Sicherheitsmanagement zu etablieren. Betroffen sind nicht nur große Betreiber kritischer Infrastrukturen, sondern auch viele KMU, die in wichtigen Lieferketten tätig sind. Dazu gehören IT-Dienstleister, Energieversorger, Transport- und Gesundheitsunternehmen, aber auch Teile der Fertigungsindustrie.

Die zentralen Anforderungen sind:

  • Einführung angemessener technischer und organisatorischer Maßnahmen zum Schutz von IT-Systemen
  • Benennung einer für Informationssicherheit verantwortlichen Person
  • regelmäßige Risikoanalysen und Sicherheitsbewertungen
  • Meldepflicht schwerwiegender Sicherheitsvorfälle binnen 24 Stunden
  • Nachweis geeigneter Schulungen und Sensibilisierungsmaßnahmen

Die Umsetzung muss bis Oktober 2025 erfolgen. Nationale Aufsichtsbehörden, in Deutschland insbesondere das BSI, sind befugt, Kontrollen durchzuführen und Verstöße zu ahnden.

Der Cyber Resilience Act (CRA)

Während NIS-2 organisatorische Strukturen betrifft, richtet sich der CRA an Hersteller und Anbieter digitaler Produkte – also auch an Softwareentwickler, IT-Dienstleister und Hersteller vernetzter Geräte (IoT).
Ziel ist es, Sicherheitslücken bereits im Entwicklungsprozess zu vermeiden. Unternehmen müssen nachweisen, dass ihre Produkte während des gesamten Lebenszyklus sicher sind, Updates erhalten und bekannte Schwachstellen behoben werden.

Konkret fordert der CRA:

  • sichere Entwicklungsprozesse („Security by Design“)
  • klare Dokumentation von Sicherheitsfunktionen
  • kontinuierliches Schwachstellenmanagement
  • Meldepflicht bei entdeckten Sicherheitslücken
  • CE-Kennzeichnung als Nachweis der Konformität

Damit rückt Cybersicherheit auf dieselbe Ebene wie Produktqualität oder Arbeitsschutz.

Was KMU jetzt tun sollten

Viele KMU unterschätzen, dass sie durch vertragliche Abhängigkeiten ebenfalls unter die neuen Vorgaben fallen. Wer Software, IT-Dienste oder digitale Komponenten an größere Unternehmen liefert, wird künftig verpflichtet, Sicherheitsnachweise vorzulegen.
Daher sollten Unternehmen schon jetzt:

  1. Verantwortlichkeiten und Rollen im Bereich Informationssicherheit festlegen
  2. bestehende Sicherheitsmaßnahmen dokumentieren und mit NIS-2-Anforderungen abgleichen
  3. eine Risikoanalyse durchführen und Handlungslücken schließen
  4. Vorbereitungen für ein ISMS (z. B. nach ISO/IEC 27001) treffen
  5. Verträge mit Kunden und Lieferanten prüfen und ggf. anpassen

Ein frühzeitiges Vorgehen vermeidet Zeitdruck und Bußgelder. Bei Nichteinhaltung drohen empfindliche Strafen – bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Praxisbeispiel

Ein mittelständischer Softwareanbieter erkannte frühzeitig, dass seine Produkte künftig unter den CRA fallen. Durch die Einführung eines Sicherheits- und Patchmanagement-Prozesses konnte er innerhalb weniger Monate nachweisen, dass alle Anwendungen „Security by Design“ entwickelt wurden. Das Ergebnis: höhere Kundenzufriedenheit, weniger Sicherheitsvorfälle und ein klarer Wettbewerbsvorteil gegenüber Mitbewerbern, die noch unvorbereitet sind.

NIS-2 und CRA als Chance

Auch wenn die neuen Regelungen zunächst Aufwand bedeuten, bieten sie KMU die Möglichkeit, ihre Informationssicherheit strukturiert zu verbessern. Wer frühzeitig handelt, stärkt Vertrauen bei Kunden, Partnern und Behörden. Zudem kann die Einhaltung der Vorgaben zum entscheidenden Qualitätsmerkmal werden – insbesondere in Ausschreibungen oder bei internationalen Kooperationen.

Fazit

Die europäische Cybersicherheitsgesetzgebung tritt in eine neue Ära ein. Mit NIS-2 und dem Cyber Resilience Act wird Sicherheit zur Pflichtaufgabe für alle Unternehmen – unabhängig von Größe oder Branche. Für KMU gilt: Jetzt ist der richtige Zeitpunkt, um Strukturen aufzubauen, Verantwortlichkeiten zu definieren und Prozesse an die neuen Standards anzupassen. Wer vorbereitet ist, schützt nicht nur seine Systeme, sondern sichert langfristig seine Wettbewerbsfähigkeit.

Ihr nächster Schritt

Wir prüfen gemeinsam, ob Ihr Unternehmen von NIS-2 oder dem Cyber Resilience Act betroffen ist, und entwickeln eine maßgeschneiderte Umsetzungsstrategie. Von der Risikoanalyse bis zur rechtssicheren Dokumentation begleiten wir Sie praxisnah und effizient.

Jetzt Termin zur Compliance-Beratung vereinbaren und 2026 sicher vorbereitet starten.