Cyber Resilience Act und NIS-2: Europas Industrie steht vor radikalen Sicherheitsreformen bis 2027

Cyber Resilience Act und NIS-2: Europas Industrie steht vor radikalen Sicherheitsreformen bis 2027

Zwei große Cybersecurity-Gesetze verändern Europas Industriesektor

Bis 2027 wird der Cyber Resilience Act (CRA) vollumfänglich in Kraft treten, während das deutsche NIS-2-Umsetzungsgesetz bereits im Dezember 2026 in Kraft getreten ist. Beide führen strengere Vorschriften für Hersteller und Betreiber kritischer Infrastrukturen ein.

Der CRA konzentriert sich auf die Produktsicherheit und verlangt klarere Compliance-Wege. NIS-2 hingegen verschärft die Cybersecurity-Pflichten für Bundesbehörden und private Unternehmen. Gemeinsam zwingen sie die Industrie, sich schnell anzupassen – oder riskieren, den Anschluss zu verlieren.

Die Vorbereitungen für den CRA begannen lange vor seinem Start 2027. Bereits im April 2025 erhielten CEN, CENELEC und ETSI den Auftrag, harmonisierte Standards zu entwickeln. Diese umfassen Typ-A-Regeln (branchenübergreifend), Typ-B (allgemein) und Typ-C (produktspezifisch), um Hersteller zu leiten. Zeitgleich veröffentlichte die TeleTrusT-Arbeitsgruppe unter Leitung von Luise Werner (secuvera GmbH) eine branchenspezifische CRA-Norm für Industrie-Firewalls, basierend auf IEC 62443-4-2.

Auch andere Akteure sind aktiv: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erarbeitet technische Leitlinien zu allgemeinen Anforderungen, Software-Stücklisten (SBOMs) und der Meldung von Schwachstellen. ENISA unterstützt dies mit der EU-Schwachstellendatenbank (seit Mai 2025) und Studien zur Abstimmung des CRA mit dem EU-Cybersecurity-Zertifizierungssystem (EUCC).

Einige Unternehmen handeln bereits: Rolls-Royce Power Systems begann 2025 mit der frühen CRA-Umsetzung, während SICK AG seine Dokumentation überarbeitet, um den Anforderungen an Benutzeranleitungen gerecht zu werden. Die Bahnindustrie, die mit langfristigen Verträgen arbeitet, passt Projekte an, um künftige Compliance zu sichern.

Das deutsche NIS-2-Gesetz, zwar verzögert, aber nun in Kraft, fügt eine weitere Ebene hinzu. Es verschärft die Cybersecurity-Vorgaben für Bundesbehörden und Privatunternehmen – besonders in kritischen Sektoren. Für Hersteller bedeutet das: Sie müssen zwei Regelwerke gleichzeitig beachten – NIS-2 (betriebliche Sicherheit) und CRA (produktbezogene Vorgaben).

Die Bahnbranche zeigt die bevorstehenden Herausforderungen: Da Projekte oft Jahre umfassen, müssen Unternehmen nun sicherstellen, dass Systeme den künftigen CRA-Standards entsprechen. Wer sich nicht anpasst, riskiert Vertragsstörungen oder Sicherheitslücken, sobald das Gesetz 2027 greift.

CRA und NIS-2 werden tiefgreifende Veränderungen für Europas Industrie- und Infrastruktursektor mit sich bringen. Harmonisierte Standards sollen die Einhaltung erleichtern – doch Unternehmen müssen jetzt handeln, um letzte-minute-Probleme zu vermeiden. Vorreiter wie Rolls-Royce Power Systems und SICK AG demonstrieren, wie proaktive Anpassungen den Übergang erleichtern.

Bis 2027 müssen Hersteller nachweisen, dass ihre Produkte strengere Cybersecurity-Anforderungen erfüllen. Wer zögert, riskiert Nichteinhaltung, Vertragsbrüche oder Sicherheitslücken in kritischen Systemen.