Synergien nutzen: Wie Unternehmen NIS-2 und CRA gemeinsam umsetzen können

Advertorial

Wer beide Regelwerke gemeinsam umsetzt, kann Doppelarbeit vermeiden und zugleich die regulatorischen Pflichten erfüllen.

Informationssicherheit kann nur dann wirksam sein, wenn Organisationen sie als ganzheitliche Aufgabe verstehen. Ein Unternehmen, das seine eigenen Systeme sorgfältig schützt, gleichzeitig jedoch digitale Produkte mit offenen Schnittstellen, unsicheren Update-Mechanismen oder unklaren Zuständigkeiten auf den Markt bringt, gleicht einem Gebäude mit moderner Alarmanlage und weit geöffneten Fenstern. Der Schutz endet dann dort, wo er eigentlich weiterwirken müsste.

Längst reicht es deshalb nicht mehr aus, lediglich interne IT-Infrastrukturen zu schützen. Unternehmen, die Produkte mit digitalen Komponenten entwickeln, betreiben oder vertreiben, tragen damit auch Verantwortung für die Sicherheit ihrer Kunden. Sicherheitslücken wirken heute entlang ganzer Wertschöpfungsketten.

Diese Realität hat auch die Politik erkannt und nachgesteuert: Mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie und dem Cyber Resilience Act hat der europäische Gesetzgeber zwei Regelwerke geschaffen, die unterschiedliche, aber eng miteinander verknüpfte Aspekte adressieren: den Schutz der eigenen Organisation und die Sicherheit digitaler Produkte überderen gesamten Lebenszyklus hinweg.

Zwei Regelwerke mit unterschiedlichem Fokus

Das deutsche NIS-2-Umsetzungsgesetz richtet den Blick nach innen. Es verpflichtet betroffene Unternehmen, ein angemessenes Niveau der Informationssicherheit herzustellen und dauerhaft aufrechtzuerhalten. Zentrale Elemente sind ein aktives Risikomanagement, klare Verantwortlichkeiten auf der Leitungsebene, konkrete Anforderungen an das Notfall- und Krisenmanagement sowie explizite Vorgaben zur Sicherheit in der Lieferkette.

Der Cyber Resilience Act hingegen fokussiert sich auf die Sicherheit digitaler Produkte. Er stellt konkrete Anforderungen an Cybersicherheit und -resilienz entlang des gesamten Produktlebenszyklus – von der Entwicklung über die Produktion bis zur Nutzung und Wartung der Produkte. Hersteller sind unter anderem verpflichtet, grundlegende Sicherheitsanforderungen zu erfüllen, Sicherheitslücken transparent zu kommunizieren und über einen definierten Zeitraum hinweg Updates bereitzustellen.

Für die Umsetzungsverantwortlichen bedeutet das: Sie müssen Informationssicherheit sowohl auf Organisations- als auch auf Produktebene denken. Wer beide Perspektiven getrennt behandelt, riskiert jedoch Doppelarbeit und inkonsistente Sicherheitsniveaus. Unternehmen benötigen einen ganzheitlichen, integrierten Ansatz, der die gesetzlichen Anforderungen abdeckt, passende Lösungen etabliert und dabei Synergien schafft.

Risikomanagement als gemeinsamer Nenner

Beide Novellen stellen das Risikomanagement ins Zentrum. Ziel ist nicht die formale Erfüllung von Checklisten, sondern ein realistischer Blick auf unternehmens- beziehungsweise produktspezifische Gefährdungen: Welche Werte sind besonders schützenswert? Welche Bedrohungen sind wahrscheinlich? Welche Auswirkungen hätte ein erfolgreicher Angriff – auf den Betrieb ebenso wie auf Kunden und Partner?

Zu Beginn steht die Klärung, ob und in welcher Form ein Unternehmen von den Anforderungen betroffen ist. Fällt die Prüfung positiv aus, empfiehlt sich in der Praxis eine kombinierte Gap-Analyse sowohl für NIS-2 als auch für den CRA. Sie zeigt auf, welche Anforderungen bereits erfüllt sind und wo Handlungsbedarf besteht, denn in der Regel sind bereits einige Maßnahmen zur Risikominderung etabliert.

Wichtig ist dabei, organisatorische, technische und produktbezogene Aspekte gemeinsam zu betrachten, um die Themenfelder beider Gesetzgebungen – darunter etwa Produktentwicklung, Softwareentwicklung und Dienstleistermanagement – ganzheitlich abzudecken.

Auf die erste Bestandsaufnahme sollte eine individuelle Risikobewertung folgen. Diese orientiert sich an den wesentlichen Assets, Werten und Prozessen des Unternehmens und beurteilt Risiken kontextbezogen. Auf diese Weise lassen sich die Ergebnisse in einen strukturierten Maßnahmenplan überführen, der die nächsten Schritte klar priorisiert, Verantwortlichkeiten schafft und zeitliche Meilensteine festlegt.

Ein solcher Plan schafft Transparenz: Welche Maßnahmen sind kurzfristig umzusetzen? Wo sind strukturelle Anpassungen erforderlich? Und welche Risiken werden bewusst akzeptiert? Diese Entscheidungen gehören auf die Ebene der Geschäftsleitung. NIS-2 macht damit verbindlich, was in der Informationssicherheit lange gefordert wurde: Cybersicherheit ist eine Führungsaufgabe.

Synergien bei paralleler Umsetzung

Gerade bei der parallelen Umsetzung von Sicherheitsmaßnahmen im Sinne von NIS-2 und CRA lassen sich erhebliche Synergien erzielen. Beide Regelwerke fordern, Informationssicherheit über den gesamten Lebenszyklus hinweg zu berücksichtigen – bei IT-Systemen ebenso wie in der Produktentwicklung. Daraus folgt: Es braucht ein Projektmanagement, das Sicherheitsanforderungen konsequent einbindet – von der Planung über die Umsetzung bis in den Betrieb.

Das schafft Möglichkeiten für integrative Prozesse: In vielen Unternehmen sind Produktentwicklungen bereits heute projektbasiert organisiert. Einheitliche Leitlinien in Form eines praxisorientierten Leitfadens, der zentrale Sicherheitsanforderungen aus beiden Regelwerken zusammenführt, können als verbindlicher Rahmen dienen. So lässt sich sicherstellen, dass Informationssicherheit sowohl in IT-Projekten als auch in der Produktentwicklung konsistent einfließt.

Standards als Orientierungshilfe

Der Cyber Resilience Act bleibt bewusst technologieoffen, verlangt jedoch nachweisbare Sicherheitsmaßnahmen. Hier bieten etablierte Standards eine wertvolle Orientierung. Besonders die Normenreihe IEC 62443 zur industriellen Cybersicherheit, die aktuell im Harmonisierungsvorschlag zur CRA-Konformität berücksichtigt wird, liefert praxisnahe Vorgaben für sichere Entwicklungsprozesse und technische Schutzmaßnahmen. So lassen sich etwa die Anforderungen der IEC 62443-4-1 für sichere Entwicklungsprozesse direkt auf die vom CRA geforderten Secure-by-Design-Prinzipien abbilden.

Ebenso werden die technischen Anforderungen an Komponenten wie Zugriffskontrolle, gesicherte Kommunikation, Integritätsschutz oder Protokollierung von Sicherheitsereignissen, die gemäß IEC 62443-4-2 gelten, durch die im CRA geforderten grundlegenden Cybersecurity-Eigenschaften überprüfbar und konsistent umgesetzt.

Auch im Kontext von NIS-2 spielen derartige, anerkannte Standards eine zentrale Rolle. Sie bieten bewährte Strukturen für den Aufbau eines systematischen Sicherheitsmanagements. Gerade kleine und mittlere Unternehmen profitieren dabei von einem pragmatischen Ansatz: Standards sind Leitplanken, die schrittweise, bedarfsgerecht und ohne das plötzliche Aufkommen hoher Kosten umgesetzt werden können. Eine formale Zertifizierung ist für sie nicht zwingend erforderlich, wichtiger ist hier die Wirksamkeit der Maßnahmen im Alltag.

Die eigentliche Herausforderung

Unabhängig vom Regelwerk gilt: Informationssicherheit ist kein kurzfristiges Projekt mit klassischem Enddatum. Bedrohungslagen verändern sich, Geschäftsmodelle entwickeln sich weiter, digitale Abhängigkeiten nehmen zu. Entsprechend müssen Unternehmen Infrastruktur, Risikomanagement, Maßnahmen und Verantwortlichkeiten regelmäßig überprüfen und anpassen.

Langfristig erfolgreich ist, wer Informationssicherheit in ein übergreifendes Konzept integriert, das sowohl organisatorische als auch technische Regeltätigkeiten umfasst. NIS-2 und CRA liefern dafür den regulatorischen Rahmen. Die eigentliche Herausforderung besteht darin, daraus eine Sicherheitskultur zu entwickeln, die über die bloße Pflichterfüllung hinausgeht.