CRA vs. NIS2 vs. DORA: Welche Regulierung gilt für wen?

CRA vs. NIS2 vs. DORA: Welche Regulierung gilt für wen?

Avatar of Boris Friedrich
Boris Friedrich
16. März 2026
10 min Lesezeit
Informationssicherheit

Es ist Dienstagmorgen, 9:47 Uhr. Der Compliance-Verantwortliche eines mittelgroßen Softwarehauses sitzt in einem Meeting mit drei Anwälten — und jeder spricht über ein anderes Gesetz. Der eine über den Cyber Resilience Act, der andere über NIS2, der dritte über DORA. Alle drei haben Recht. Alle drei beschreiben dasselbe Unternehmen. Und alle drei sagen: "Sie müssen bis September handeln."

Genau das ist die Realität für viele deutsche Unternehmen im Jahr 2026. Drei EU-Regulierungen mit überschneidenden Anforderungen, unterschiedlichen Fristen und verschiedenen Adressaten — aber niemand hat ihnen jemals erklärt, welche davon eigentlich für sie gilt. Oder ob vielleicht alle drei gelten.

Dieser Artikel bringt Klarheit. Sie erfahren, welche Regulierung wen trifft, wo sich CRA, NIS2 und DORA überschneiden — und wie Sie das als Unternehmen strategisch angehen.

Die drei Regulierungen auf einen Blick

Bevor wir in die Abgrenzung einsteigen: Ein schneller Überblick, worum es bei jeder Regulierung im Kern geht.

Cyber Resilience Act (CRA): Sicherheit im Produkt

Der CRA ist die jüngste der drei Regulierungen und seit Dezember 2024 geltendes EU-Recht. Sein Kernprinzip: Wer ein digitales Produkt in den EU-Markt bringt, muss Cybersicherheit von Anfang an einbauen — Security by Design. Die vollständige Umsetzungspflicht gilt ab Dezember 2027, aber die erste scharfe Frist kommt bereits im September 2026: Dann werden die Meldepflichten für aktiv ausgenutzte Schwachstellen wirksam.

Der CRA richtet sich primär an Hersteller, Importeure und Händler von Produkten mit digitalen Elementen. Das umfasst alles: Smartphones, Industrieroboter, Netzwerkkameras, Betriebssysteme, aber auch reine Software wie ERP-Systeme oder Security-Tools. Ausgenommen sind explizit Produkte, die bereits unter andere sektorspezifische EU-Regulierungen fallen — etwa Medizinprodukte oder Fahrzeugsoftware.

NIS2: Sicherheit in der Organisation

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist seit Dezember 2025 in Deutschland über das NIS2-Umsetzungsgesetz verbindlich. Sie ersetzt die alte NIS-Richtlinie und erweitert den Kreis der Betroffenen erheblich. NIS2 richtet sich nicht an Produkthersteller, sondern an Organisationen — konkret: an Betreiber kritischer und wichtiger Einrichtungen.

Der Anwendungsbereich umfasst Unternehmen aus 18 Sektoren, von Energie über Gesundheit bis zu digitaler Infrastruktur, wenn sie bestimmte Schwellenwerte überschreiten (in der Regel: mehr als 50 Mitarbeiter oder mehr als 10 Millionen Euro Jahresumsatz). NIS2 fordert von diesen Unternehmen Risikomanagement, Sicherheitsmaßnahmen und — bei Vorfällen — schnelle Meldungen an die zuständige Behörde (BSI).

DORA: Resilienz im Finanzsektor

Der Digital Operational Resilience Act (DORA) ist seit Januar 2025 vollständig in Kraft. Er ist die sektorspezifischste der drei Regulierungen: DORA gilt ausschließlich für Finanzunternehmen und deren IKT-Dienstleister. Banken, Versicherungen, Fintechs, Zahlungsdienstleister, Wertpapierfirmen — sie alle müssen digitale operationale Resilienz nachweisen.

DORA geht deutlich tiefer als NIS2 im Finanzbereich: Penetrationstests, detailliertes Informationsregister zu IKT-Drittdienstleistern, strenge Meldepflichten für wesentliche IKT-Vorfälle, Überwachung kritischer IKT-Anbieter durch europäische Aufsichtsbehörden. Die BaFin ist in Deutschland die zuständige Aufsichtsbehörde.

Vergleichstabelle: CRA vs. NIS2 vs. DORA

Die folgende Übersicht zeigt die wichtigsten Unterschiede auf einen Blick:

Merkmal | CRA | NIS2 | DORA

Wen betrifft es? | Hersteller, Importeure, Händler digitaler Produkte | Betreiber kritischer/wichtiger Einrichtungen (18 Sektoren) | Finanzunternehmen und IKT-Dienstleister

Fokus | Produktsicherheit (Security by Design) | Organisationssicherheit (Betrieb kritischer Dienste) | Operationale Resilienz im Finanzsektor

Rechtsform | EU-Verordnung (direkt anwendbar) | EU-Richtlinie (nationales Umsetzungsgesetz) | EU-Verordnung (direkt anwendbar)

In Kraft / verbindlich | Dez. 2024 / Meldepflicht Sep. 2026 / Vollständig Dez. 2027 | Dez. 2025 (DE: NIS2UmsuCG) | Jan. 2025

Meldepflicht bei Vorfällen | Ja (aktiv ausgenutzte Schwachstellen: 24h) | Ja (erhebliche Vorfälle: 24h Frühwarnung) | Ja (wesentliche IKT-Vorfälle: 4h Frühwarnung)

Aufsichtsbehörde (DE) | BSI (Marktüberwachung) | BSI | BaFin

Max. Bußgeld | 15 Mio. € oder 2,5% Jahresumsatz | 10 Mio. € oder 2% Jahresumsatz (wichtige) / 7 Mio. € oder 1,4% (wesentliche) | 1% des Tagesumsatzes (täglich, bei Kritischen IKT-Anbietern)

Supply Chain | Ja — Pflichten auch für Importeure/Händler | Ja — indirekte Anforderungen an Zulieferer | Ja — umfassendes IKT-Drittparteienrisiko-Management

CE-Kennzeichnung | Ja (ab Dez. 2027 Pflicht) | Nein | Nein

Wer fällt unter welche Regulierung?

Die entscheidende Frage lautet nicht "Kenne ich diese Regulierung?" sondern "Falle ich darunter?" Hier die wichtigsten Antworten:

Nur CRA

Ein Softwareunternehmen, das Netzwerksicherheits-Tools entwickelt und ausschließlich an andere Unternehmen verkauft, fällt typischerweise nur unter den CRA. Es muss Security by Design implementieren, Schwachstellen-Management aufbauen und ab September 2026 Meldepflichten erfüllen — aber weder als KRITIS-Betreiber (NIS2) noch als Finanzunternehmen (DORA).

Nur NIS2

Ein Energieversorger, der keine eigene Software entwickelt und nicht im Finanzsektor tätig ist, fällt primär unter NIS2. Er muss Risikomanagement betreiben, Sicherheitsmaßnahmen nach dem Stand der Technik umsetzen und Vorfälle an das BSI melden — hat aber mit CRA als Anwender (nicht Hersteller) nur indirekte Berührungspunkte über die Supply Chain.

Nur DORA

Eine reine Online-Bank, die ausschließlich zugekaufte Software nutzt und keine eigenen digitalen Produkte für den EU-Markt entwickelt, fällt primär unter DORA. Sie muss ihr IKT-Risikomanagement nach DORA-Standards aufbauen, ein Informationsregister zu IKT-Drittdienstleistern führen und regelmäßige Resilienztests durchführen.

CRA + NIS2 (das häufigste Szenario im Mittelstand)

Ein Industrie-4.0-Unternehmen, das vernetzte Produktionsanlagen herstellt und gleichzeitig als Betreiber wichtiger Infrastruktur gilt, fällt unter beide Regulierungen. Als Hersteller muss es CRA-Anforderungen erfüllen; als Betreiber kritischer Prozesse zusätzlich NIS2. Das klingt nach doppelter Arbeit — ist es aber nicht, wenn man es richtig aufstellt. Risikomanagement und Meldeprozesse lassen sich gemeinsam aufbauen.

CRA + NIS2 + DORA (der komplexeste Fall)

Eine Versicherung, die eine eigene Kunden-App als SaaS-Produkt entwickelt und betreibt, ist das Paradebeispiel: Sie fällt unter alle drei Regulierungen gleichzeitig. Als App-Hersteller unter CRA. Als Versicherung unter DORA. Als Betreiber digitaler Infrastruktur mit ausreichender Unternehmensgröße potenziell auch unter NIS2.

Für diese Unternehmen ist eine integrierte Compliance-Strategie keine Kür, sondern Pflicht. Wer die drei Regulierungen isoliert abarbeitet, vergibt Synergien und erzeugt dreifachen Aufwand.

Die Überschneidungen: Wo sich alle drei treffen

Trotz unterschiedlicher Adressaten gibt es erhebliche inhaltliche Überschneidungen zwischen CRA, NIS2 und DORA. Diese zu kennen ist entscheidend für eine effiziente Compliance-Strategie.

Meldepflichten

Alle drei Regulierungen verlangen schnelle Meldungen bei Sicherheitsvorfällen — mit ähnlichen Fristen, aber unterschiedlichen Behörden und Kategorien. CRA: 24 Stunden für aktiv ausgenutzte Schwachstellen (Details: CRA-Meldepflicht ab September 2026). NIS2: 24-Stunden-Frühwarnung bei erheblichen Vorfällen an das BSI. DORA: 4-Stunden-Erstmeldung für wesentliche IKT-Vorfälle an die BaFin. Wer alle drei Meldepflichtsysteme parallel betreibt, braucht einen integrierten Incident-Response-Prozess — nicht drei separate.

Risikomanagement

Alle drei Regulierungen fordern systematisches Risikomanagement. CRA fokussiert auf Produktrisiken, NIS2 auf operationale Risiken der Organisation, DORA auf IKT-Risiken im Finanzkontext. Der methodische Ansatz ist ähnlich: Risiken identifizieren, bewerten, behandeln, monitoren. Wer ein gutes Risikomanagementsystem nach ISO 27001 betreibt, hat eine solide Ausgangsbasis für alle drei.

Supply-Chain-Anforderungen

Supply-Chain-Sicherheit ist ein Kernthema aller drei Regulierungen. CRA macht Importeure und Händler mitverantwortlich. NIS2 fordert Sicherheitsanforderungen in Lieferantenverträgen. DORA verlangt ein umfassendes Register und Risikobeurteilung aller IKT-Drittdienstleister. Für Unternehmen, die Software einkaufen oder selber Zulieferer sind, entstehen hier direkte Pflichten — auf beiden Seiten der Lieferkette.

Dokumentation und Nachweispflichten

CRA erfordert technische Dokumentation und CE-Kennzeichnung. NIS2 verlangt dokumentierte Sicherheitsmaßnahmen und Risikobewertungen. DORA fordert das Informationsregister zu IKT-Drittdienstleistern, TLPT-Dokumentationen und Resilienztestberichte. Wer ein zentrales Documentation Management System aufbaut, kann diese Anforderungen effizient zusammenführen.

Typische Fallstricke bei der Abgrenzung

In der Praxis entstehen vor allem in drei Bereichen Fehler:

  • Falsche Selbsteinschätzung beim CRA: Viele Unternehmen glauben, sie seien "nur Nutzer" und damit nicht betroffen. Doch wer Software importiert oder als Händler in Verkehr bringt, hat eigene CRA-Pflichten — auch ohne Hersteller zu sein.
  • NIS2-Schwellenwerte unterschätzt: Das NIS2-Umsetzungsgesetz hat den Kreis der Betroffenen gegenüber NIS1 erheblich erweitert. Unternehmen, die sich als zu klein einschätzen, sind oft doch betroffen — besonders in Sektoren wie IT-Dienstleistungen, Post oder Chemie.
  • DORA gilt auch für IKT-Dienstleister: Wer Technologie-Dienstleistungen an Banken oder Versicherungen erbringt, kann als kritischer IKT-Drittdienstleister unter direkte DORA-Aufsicht fallen — auch ohne selbst ein Finanzunternehmen zu sein.
  • Meldepflichten verwechseln: CRA-Meldungen gehen an ENISA/CERT-EU, NIS2-Meldungen an das BSI, DORA-Meldungen an die BaFin. Wer alle drei parallel betreibt, braucht klare interne Routing-Regeln, damit die richtige Meldung zur richtigen Zeit bei der richtigen Behörde landet.

Praktische Empfehlung: Integrierter Compliance-Ansatz

Der effizienteste Weg durch das regulatorische Dickicht ist kein gesondertes Projekt pro Regulierung, sondern ein integrierter Ansatz in vier Schritten:

1. Betroffenheitsanalyse: Klären Sie systematisch für jedes Ihrer Geschäftsfelder, ob und unter welche Regulierungen es fällt. Berücksichtigen Sie dabei sowohl Ihre Rolle als Hersteller/Betreiber/Dienstleister als auch Größenschwellen.

2. Gap-Analyse gegen alle relevanten Anforderungen: Erfassen Sie Ihren Ist-Stand einmalig — und mappen Sie ihn dann auf alle zutreffenden Regulierungen. Überschneidungen werden so sichtbar und nutzbar.

3. Gemeinsame Maßnahmen priorisieren: Risikomanagement, Incident Response und Dokumentation können regulierungsübergreifend aufgebaut werden. Das spart bis zu 40% gegenüber drei parallelen Projekten.

4. Regulierungsspezifische Extras separat umsetzen: Was sich nicht vereinen lässt — z.B. DORA-spezifische TLPT-Tests oder CRA-spezifische CE-Kennzeichnung — wird gezielt als separater Baustein ergänzt.

Fristen im Überblick

Damit Sie den Überblick über die kritischen Fristen behalten:

Sofort / bis Ende 2025: NIS2-Umsetzungspflichten (Risikomanagement, Sicherheitsmaßnahmen) — das NIS2-Umsetzungsgesetz gilt seit Dezember 2025. Prüfen Sie jetzt, ob Sie betroffen sind.

Januar 2025: DORA vollständig anwendbar. Finanzunternehmen müssen alle DORA-Anforderungen erfüllen.

NIS2- und DORA-Bußgelder sind bereits jetzt möglich. Detaillierte Informationen zu NIS2-Bußgeldern und Haftung finden Sie in unserem Artikel NIS2: Bußgelder, Haftung und Fristen, die DORA-Meldepflichten und das Informationsregister erläutern wir in unserem Beitrag DORA: Informationsregister und BaFin-Meldepflichten.

September 2026: CRA-Meldepflicht wird wirksam. Hersteller müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden an ENISA/CERT-EU melden. Kein Aufschub möglich.

Dezember 2027: CRA vollständig in Kraft. Alle digitalen Produkte müssen die CRA-Anforderungen erfüllen und die CE-Kennzeichnung tragen.

FAQ: Die häufigsten Fragen zur Abgrenzung

Frage 1: Muss ich als Softwarehersteller sowohl CRA als auch NIS2 erfüllen?

Das kommt darauf an. Der CRA gilt für Sie als Hersteller eines digitalen Produkts. NIS2 gilt zusätzlich, wenn Ihr Unternehmen in einem der 18 NIS2-Sektoren tätig ist und die Schwellenwerte (50+ Mitarbeiter oder 10 Mio. € Jahresumsatz) überschreitet. Viele Softwareunternehmen im B2B-Bereich fallen unter beide Regulierungen gleichzeitig — insbesondere wenn sie digitale Infrastruktur oder IT-Dienstleistungen anbieten.

Frage 2: Gilt DORA auch für mein Unternehmen, wenn wir nur Software an Banken verkaufen?

Möglicherweise ja. Als IKT-Drittdienstleister für Finanzunternehmen können Sie unter DORA-Anforderungen fallen — direkt dann, wenn Sie als kritischer IKT-Drittdienstleister eingestuft werden. Das betrifft vor allem große Cloud-Anbieter und strategisch wichtige IT-Dienstleister. Aber auch nicht-kritische Anbieter sind indirekt betroffen, weil ihre Banken-Kunden Vertragspflichten aus DORA weitergeben müssen.

Frage 3: Was passiert, wenn mein Produkt explizit als Medizinprodukt reguliert ist — gilt dann noch der CRA?

Nein. Der CRA enthält sogenannte "Artikel 2 Ausnahmen" für Produkte, die bereits unter andere EU-Regulierungen fallen, die mindestens gleichwertige Cybersicherheitsanforderungen stellen. Medizinprodukte (MDR), Fahrzeugsoftware (UNECE WP.29/R155) und Luftfahrtprodukte sind explizit vom CRA-Anwendungsbereich ausgenommen. Prüfen Sie jedoch, ob Ihre sektorspezifische Regulierung tatsächlich alle CRA-Anforderungen abdeckt.

Frage 4: Können wir die Compliance-Arbeit für alle drei Regulierungen zusammenlegen?

Ja — und das ist ausdrücklich empfehlenswert. Risikomanagement-Frameworks, Incident-Response-Prozesse, Dokumentationsstrukturen und Supply-Chain-Anforderungen sind in allen drei Regulierungen ähnlich aufgebaut. Wer auf Basis von ISO 27001 ein integriertes Sicherheitsmanagementsystem betreibt, hat eine solide Grundlage. ADVISORI empfiehlt einen konsolidierten Compliance-Ansatz, der alle relevanten Regulierungen systematisch abdeckt — ohne dreifachen Aufwand.

Fazit: Kennen Sie Ihre Regulierungslandschaft

CRA, NIS2 und DORA sind keine redundanten Regulierungen — sie adressieren unterschiedliche Dimensionen der Cybersicherheit: das Produkt, die Organisation und den Sektor. Wer alle drei versteht, kann gezielt entscheiden, welche Anforderungen für sein Unternehmen gelten und wo Synergien liegen.

Der wichtigste erste Schritt: Analysieren Sie systematisch Ihre Betroffenheit — für jedes Geschäftsfeld, jede Rolle in der Wertschöpfungskette. Die Fristen sind real, die Bußgelder sind empfindlich, und der Vorteil gehört denen, die früh handeln.

ADVISORI unterstützt Sie bei der Regulierungs-Compliance

ADVISORI begleitet mittelständische und große Unternehmen bei der strukturierten Umsetzung von CRA, NIS2 und DORA — als integrierter Ansatz oder für einzelne Regulierungen. Unsere Experten aus Informationssicherheit und IT-Recht analysieren Ihre Betroffenheit, entwickeln eine priorisierte Roadmap und begleiten die Umsetzung bis zur nachweisbaren Compliance.

Sprechen Sie uns an: Wir klären in einem kostenlosen Erstgespräch, welche Regulierungen für Ihr Unternehmen relevant sind und welche Schritte als nächstes anstehen.

Hat ihnen der Beitrag gefallen? Teilen Sie es mit:

Bereit, Ihr Wissen in Aktion umzusetzen?

Dieser Beitrag hat Ihnen Denkanstöße gegeben. Lassen Sie uns gemeinsam den nächsten Schritt gehen und entdecken, wie unsere Expertise im Bereich CRA Cyber Resilience Act Ihr Projekt zum Erfolg führen kann.

Mehr über CRA Cyber Resilience Act erfahren

Unverbindlich informieren & Potenziale entdecken.

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten