Cybersecurity-Regulierung in Europa: NIS2, DORA, CRA und AI Act im Überblick

1 Min. Lesezeit

Die EU hat in drei Jahren mehr Cybersecurity-Regulierung verabschiedet als in den zwanzig Jahren davor. NIS2, DORA, Cyber Resilience Act und AI Act bilden ein Regulierungsgeflecht, das praktisch jedes digitale Unternehmen in Europa betrifft. Der Überblick, den Entscheider brauchen – ohne juristische Sprache.

Das Wichtigste in Kürze

NIS2: Branchenübergreifende Cybersecurity-Pflichten für 18 Sektoren
DORA: Spezifische IT-Resilienz-Anforderungen für den Finanzsektor
CRA: Produktsicherheit für alle digitalen Produkte (Hardware und Software)
AI Act: Risikobasierte Regulierung von KI-Systemen – mit Security-Implikationen

NIS2: Die Breitenregulierung

NIS2 ist das Fundament: 18 Sektoren, geschätzt 30.000+ Unternehmen in Deutschland. Kernpflichten: Risikomanagement, Incident Response, Supply-Chain-Security, Geschäftsführerhaftung. Für die meisten Unternehmen ist NIS2 der erste Kontakt mit verbindlichen Cybersecurity-Pflichten.

Wer betroffen ist: Mittlere und große Unternehmen in den Sektoren Energie, Transport, Gesundheit, Wasser, Digital, Fertigung, Chemie, Lebensmittel, Post, Abfall, Raumfahrt und öffentliche Verwaltung. Auch Unternehmen unter den Schwellenwerten können über die Supply-Chain-Klausel betroffen sein.

DORA: Finanzsektor im Fokus

DORA gilt seit Januar 2025 und richtet sich spezifisch an den Finanzsektor: Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und – erstmals – deren kritische ICT-Drittanbieter. DORA geht über NIS2 hinaus: verpflichtende Penetration Tests (TLPT), direkte Aufsicht über Cloud-Provider und detaillierte Incident-Meldepflichten.

Für Finanzunternehmen gilt: DORA ist lex specialis zu NIS2 – es ersetzt NIS2 nicht, sondern ergänzt es mit sektorspezifischen Anforderungen. Beide müssen parallel erfüllt werden.

Cyber Resilience Act: Produktsicherheit

Der CRA verpflichtet ab 2027 Hersteller digitaler Produkte – von IoT-Geräten über Software bis zu Cloud-Diensten – zu Security by Design, SBOM-Bereitstellung, Schwachstellenmanagement über den gesamten Produktlebenszyklus und Meldepflicht bei aktiv ausgenutzten Schwachstellen.

Der CRA betrifft jedes Unternehmen, das Software oder digitale Produkte in der EU verkauft. Open-Source-Software ist ausgenommen, sofern nicht kommerziell vertrieben. Für deutsche Software-Mittelständler und IoT-Hersteller ist der CRA die bedeutendste Regulierung.

AI Act und Security

Der AI Act reguliert primär KI-Risiken (Diskriminierung, Manipulation), hat aber Security-Implikationen: Hochrisiko-KI-Systeme müssen resilient gegen Angriffe sein (Adversarial AI), Trainingsdaten müssen vor Manipulation geschützt werden und KI-gestützte Security-Systeme (Anomalie-Erkennung, Fraud Detection) fallen unter die Transparenzpflichten.

Für Security-Teams relevant: KI-Tools im SOC (Security Copilot, Charlotte AI) sind als KI-Systeme klassifizierbar. Die Dokumentationspflichten des AI Act können auf Security-Operations durchschlagen.

Key Facts

NIS2: 18 Sektoren, 30.000+ Unternehmen in DE, Bußgelder bis 10 Mio. EUR

DORA: 22.000+ Finanzunternehmen, TLPT-Pflicht, direkte Drittanbieter-Aufsicht

CRA: Alle digitalen Produkte ab 2027, SBOM-Pflicht, CE-Kennzeichnung für Cybersecurity

Häufige Fragen

Welche Regulierung betrifft mich?

Faustregeln: Finanzsektor = DORA + NIS2. Produkt-/Softwarehersteller = CRA. KI-Anbieter = AI Act. Alle anderen Sektoren in NIS2-Liste = NIS2. Viele Unternehmen fallen unter mehrere Regulierungen gleichzeitig.

Kann ich die Compliance zusammenfassen?

Teilweise. NIS2, DORA und CRA haben überlappende Anforderungen (Risikomanagement, Incident Response, Supply Chain). Ein integriertes ISMS (ISO 27001) adressiert viele Anforderungen aller drei Regulierungen. Die sektorspezifischen Zusatzanforderungen (DORA: TLPT, CRA: SBOM) müssen separat behandelt werden.

Was kostet die Umsetzung?

Stark abhängig vom Reifegrad. Unternehmen mit bestehendem ISMS: 50.000-150.000 EUR für Gap-Analyse und Nachbesserung. Ohne bestehende Strukturen: 200.000-500.000+ EUR für den Aufbau eines vollständigen Compliance-Frameworks. Die Alternative – Bußgelder – ist teurer.