Zum Inhalt springen

RatgeberGRC3 Min Lesedauer

CRA vs. NIS2 vs. DORA: Welche EU-Cyber-Regulierung betrifft mein Unternehmen?

Zuletzt aktualisiert: GRC

CRA vs. NIS2 vs. DORA: Welche EU-Cyber-Regulierung betrifft mein Unternehmen?

Kurz erklärt: Drei EU-Rechtsakte regeln Cybersicherheit aus verschiedenen Blickwinkeln: NIS2 (in Österreich das NISG 2026) reguliert die Organisation, der Cyber Resilience Act (CRA) das Produkt, DORA die Betriebsstabilität im Finanzsektor. Ein Unternehmen kann von mehreren gleichzeitig erfasst sein — etwa ein Industriebetrieb, der NIS2-pflichtig ist und zugleich vernetzte Geräte herstellt (CRA). Faustregel: bist du eine Einrichtung in einem der 18 NIS2-Sektoren ab ~50 Beschäftigten → NIS2/NISG 2026; bringst du Produkte mit digitalen Elementen in den Markt → CRA; bist du Finanzunternehmen oder dessen IKT-Dienstleister → DORA.

CRA, NIS2 und DORA sind die drei großen EU-Cybersicherheits-Rechtsakte — und sie werden oft verwechselt. Der Grund: Sie regulieren dasselbe Ziel (mehr Cybersicherheit) aus drei völlig unterschiedlichen Blickwinkeln. NIS2 (in Österreich das NISG 2026) nimmt die Organisation in die Pflicht, der Cyber Resilience Act das Produkt, DORA den Finanzsektor. Dieser Vergleich zeigt, wer von welcher Regelung erfasst ist — und wodurch ein Unternehmen gleich von mehreren betroffen sein kann.

Die drei Regelungen im direkten Vergleich

DimensionCRANIS2 / NISG 2026DORA
RechtsaktVerordnung (EU) 2024/2847Richtlinie (EU) 2022/2555 → NISG 2026Verordnung (EU) 2022/2554
Reguliert wirddas Produktdie OrganisationBetriebsstabilität im Finanzsektor
AdressatHersteller, Importeur, Händlerwesentliche/wichtige Einrichtungen (18 Sektoren)Finanzunternehmen + IKT-Drittdienstleister
RechtsformEU-Verordnung (direkt)EU-Richtlinie (national: NISG 2026)EU-Verordnung (direkt)
Anwendbar (Österreich)ab 11.12.2027ab 1.10.2026seit 17.1.2025
Bußgeld-Obergrenze15 Mio. € / 2,5 %10 Mio. € / 2 % (wesentliche Einrichtung)aufsichtsrechtlich, sektorspezifisch

Welche Regelung betrifft mich?

Eine pragmatische Entscheidungshilfe — Mehrfach-Treffer sind möglich:

  • NIS2 / NISG 2026 trifft dich, wenn dein Unternehmen in einem der 18 Sektoren der Anlagen 1/2 tätig ist und in der Regel ≥ 50 Beschäftigte oder > 10 Mio. € Umsatz hat — oder wenn du Zulieferer einer solchen Einrichtung bist (Lieferketten-Sicherheit). → Praxis: NIS2 umsetzen.
  • CRA trifft dich, wenn du Produkte mit digitalen Elementen in der EU in Verkehr bringst — Hardware (IoT, Sensoren, Geräte), Software, Apps oder Komponenten. Auch B2B- und Nischenprodukte zählen.
  • DORA trifft dich, wenn du ein Finanzunternehmen bist (Bank, Versicherung, Zahlungs-/Krypto-Dienstleister) oder als IKT-Drittdienstleister für solche tätig bist.

Bei Mehrfach-Betroffenheit oder Unsicherheit lässt sich die konkrete Pflichtenlage der Geschäftsleitung in einem strategischen NIS2-Briefing klären.

NIS2 / NISG 2026 — die Organisation

NIS2 verlangt von erfassten Einrichtungen ein angemessenes Risikomanagement (§ 32 NISG 2026), Meldepflichten bei erheblichen Vorfällen (24/72 Stunden, § 34), die Registrierung bei der Cybersicherheitsbehörde (§ 29) sowie persönliche Verantwortung der Leitungsorgane (§ 31, siehe Geschäftsführerhaftung). Details: NIS2 und der NISG-2026-Fahrplan.

CRA — das Produkt

Der Cyber Resilience Act verpflichtet Hersteller zu Security-by-Design, dokumentiertem Schwachstellen-Management (inkl. SBOM), kostenlosen Sicherheitsupdates über die Produktlebensdauer (mindestens fünf Jahre) und CE-Konformität. Aktiv ausgenutzte Schwachstellen sind binnen 24 Stunden an das zuständige CSIRT und die ENISA zu melden.

DORA — der Finanzsektor

DORA bündelt die digitale Betriebsstabilität von Finanzunternehmen in fünf Säulen: IKT-Risikomanagement, Behandlung und Meldung von Vorfällen, digitale Resilienztests (inkl. TLPT für große Institute), Steuerung des Drittparteienrisikos und Informationsaustausch. Anders als NIS2 ist DORA eine direkt anwendbare Verordnung ohne nationales Umsetzungsgesetz.

Mehrfach betroffen? Häufiger als gedacht

Die drei Regime überschneiden sich in der Praxis:

  • Ein Maschinenbauer ist als wichtige Einrichtung NIS2-pflichtig und fällt mit seinen vernetzten Maschinen/Sensoren unter den CRA.
  • Ein IT-Dienstleister ist NIS2-pflichtig und unterliegt DORA, sobald er IKT-Leistungen für Banken oder Versicherungen erbringt.
  • Ein Software-Anbieter für den Gesundheitssektor kann NIS2 (Sektor Gesundheit, falls Einrichtung) und CRA (als Produkthersteller) zugleich treffen.

Die gute Nachricht: Ein solides ISMS (z. B. nach ISO 27001) bildet die gemeinsame Basis für alle drei — Risikomanagement, Vorfallsbehandlung und Lieferketten-Sicherheit sind in jeder der Regelungen verankert.

Relevante Artikel

Häufige Fragen

Was ist der Unterschied zwischen NIS2, CRA und DORA?
NIS2 (in Österreich umgesetzt als NISG 2026) reguliert die Cybersicherheit von Organisationen in 18 kritischen Sektoren. Der Cyber Resilience Act (CRA) reguliert die Cybersicherheit von Produkten mit digitalen Elementen — adressiert also Hersteller. DORA reguliert die digitale Betriebsstabilität im Finanzsektor und erfasst Finanzunternehmen sowie ihre IKT-Drittdienstleister. Kurz: NIS2 = Organisation, CRA = Produkt, DORA = Finanzsektor.
Kann mein Unternehmen von mehreren Regelungen gleichzeitig betroffen sein?
Ja. Die Regelungen schließen sich nicht aus. Ein Industriebetrieb kann NIS2-pflichtig sein (als wichtige Einrichtung) und zugleich unter den CRA fallen, wenn er vernetzte Produkte herstellt. Ein IT-Dienstleister kann NIS2-pflichtig sein und zusätzlich DORA unterliegen, wenn er als IKT-Drittdienstleister für Finanzunternehmen tätig ist.
Welche Regelung gilt für Produkthersteller?
Der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847). Er verpflichtet Hersteller, Importeure und Händler von Produkten mit digitalen Elementen zu Security-by-Design, Schwachstellen-Management, Sicherheitsupdates und CE-Konformität. Die Hauptpflichten gelten ab 11. Dezember 2027.
Welche Regelung gilt für den Finanzsektor?
DORA (Digital Operational Resilience Act, Verordnung (EU) 2022/2554). Sie gilt seit 17. Januar 2025 unmittelbar und verpflichtet Banken, Versicherungen, Zahlungs- und Krypto-Dienstleister sowie ihre IKT-Drittdienstleister zu IKT-Risikomanagement, Vorfallsmeldung und digitalen Resilienztests.
Ab wann gelten die drei Regelungen in Österreich?
DORA gilt bereits seit 17. Januar 2025. Das NISG 2026 (NIS2-Umsetzung in Österreich) tritt am 1. Oktober 2026 in Kraft. Die Hauptpflichten des CRA gelten ab 11. Dezember 2027 (Meldepflichten bereits ab 11. September 2026).
Kategorie