Wer dachte, der europäische Regulierungszirkus sei schon vorher gut besucht gewesen, wird mit NIS2 und dem Cyber Resilience Act eines Besseren belehrt. Zwei neue Regelwerke marschieren auf die Bühne, jeder mit seiner eigenen Persönlichkeit: der eine penibel wie ein Auditor kurz vor Feierabend, der andere unerbittlich wie ein Qualitätsprüfer mit Koffeinüberschuss. Und irgendwo im Publikum sitzt Anonymous, lächelt unter der Maske und denkt sich: „Interessant. Sehr interessant.“
NIS2 – Der Regelmeister
NIS2 wirkt wie der EU-weite Versuch, Unternehmen endlich in die Sicherheitsvernunft zu treiben. Es zwingt Organisationen in kritischen und wichtigen Sektoren dazu, Risikomanagement nicht mehr als Goodwill zu behandeln, sondern als Pflicht. Incident-Response-Prozesse sollen funktionieren, Lieferketten müssen überprüfbar sein, und Geschäftsführungen können sich nicht mehr mit „Davon wusste ich nichts“ herausreden.
NIS2 ist der Teil der Geschichte, der Governance zur Pflichtveranstaltung macht. Es ist der Auditor, der mit 37 Formularen kommt und maßlos enttäuscht ist, weil dein Passwortkonzept aus der Steinzeit stammt. Ein wenig belehrend, etwas zu akkurat, aber am Ende unvermeidbar.
CRA – Der Produktsheriff mit CE-Stern
Während NIS2 die Organisationen sortiert, rückt der CRA den Herstellern auf die Pelle – und zwar so gründlich, dass selbst IoT-Toaster nervös werden. Der CRA macht Cybersicherheit zu einer gesetzlich vorgeschriebenen Produkteigenschaft. Das bedeutet: Wer Software oder Hardware in Europa verkaufen will, muss nachweisen, dass sie sicher ist, sicher bleibt und nicht schon im Auslieferungszustand wie ein offenes Scheunentor wirkt.
Und hier kommt der entscheidende Punkt, den viele noch nicht verstanden haben: Der CRA verändert die Bedeutung des CE-Kennzeichens fundamental. Es bleibt optisch unverändert, aber bekommt eine völlig neue Seele.
Früher sagte CE: „Dieses Produkt tut hoffentlich keinem weh.“ Jetzt sagt CE: „Dieses Produkt ist cybersicher, sicher entwickelt, dokumentiert, überprüfbar – und wir können es beweisen.“ Ein CE-Zeichen ohne CRA-Konformität? Das wird es nicht mehr geben. Punkt.
Die Selbsterklärung – Vertrauen, aber nur unter Aufsicht
Der CRA beginnt überraschend höflich: Hersteller dürfen sich selbst für konform erklären. Eine Selbsterklärung, die sich anhört wie: „Wir haben alles richtig gemacht. Versprochen.“ Klingt großzügig, ist aber in Wahrheit ein Sicherheitsvertrag auf Bewährung. Denn diese Selbsterklärung ist:
- der Einstieg, nicht das Ende
- die Verantwortung des Herstellers, nicht die Entschuldigung
- die Grundlage für das CE-Kennzeichen, nicht der Freifahrtschein
Europa setzt auf Selbstverantwortung – aber mit einem Blick, der so eindeutig ist, dass man spürt: Wenn du etwas falsch machst, sind du dran, nicht der Gesetzgeber.
Wer wirklich kontrolliert – Und warum du nicht schlafen solltest
Natürlich verlässt sich Europa nicht ausschließlich auf dein Ehrenwort. Die EU wäre nicht die EU, wenn sie nicht eine Kontrollmechanik hätte, die präziser funktioniert als eine Schweizer Schachuhr. Natürlich verlässt sich Europa nicht ausschließlich auf dein Ehrenwort. Die EU wäre nicht die EU, wenn sie nicht eine Kontrollmechanik hätte, die präziser funktioniert als eine Schweizer Schachuhr. Und für Produkte mit höherem Risiko erscheint die nächste Instanz: die benannten Stellen. Das sind Prüforganisationen, die kein Humorprogramm besitzen, aber ein feines Gespür für Unstimmigkeiten in Sicherheitsarchitekturen. Wenn dein Produkt also in kritischen Bereichen landen soll, reicht die Selbsterklärung nicht mehr. Dann braucht es externe Kontrolle. Echte Audits. Hart, nüchtern, unerbittlich.
Der Unterschied zwischen NIS2 und CRA – Zwei Welten, ein Ziel
Während NIS2 Unternehmen zwingt, ihre Sicherheitsprozesse in Ordnung zu bringen, zwingt der CRA Hersteller, ihre Produkte sicher zu entwickeln.
NIS2 ist organisatorisch und fragt: „Wie betreibt ihr euer Unternehmen?“
CRA ist technisch und fragt: „Wie entsteht Sicherheit in eurem Produkt vom ersten Code bis zum letzten Update?“
Beide schaffen erst gemeinsam ein Ökosystem, in dem Sicherheit nicht zufällig entsteht, sondern strukturell verankert wird.
Zusammenfassung – Oder wie Anonymous sagen würde: ›Nicht schlecht. Für den Anfang.‹
- NIS2 zwingt Organisationen zu Governance, Reife und Struktur.
- CRA zwingt Hersteller zu sicheren Produkten, dokumentierten Prozessen und nachvollziehbarer Sicherheit.
- Die Selbsterklärung ist nur der Start – Europa kontrolliert trotzdem.
- Das CE-Zeichen wird zum Sicherheitsversprechen.
- Beide Regelwerke greifen ineinander wie zwei Zahnräder in einem Zero-Trust-Mechanismus.
Wenn alles gut läuft – Konjunktiv, natürlich – macht das Europa tatsächlich sicherer.
Euer Simon
#NIS2, #CRA, #CyberResilienceAct, #CEKennzeichen, #Cybersecurity, #EURegulation, #SecureByDesign, #Compliance, #ZeroTrust, #Anonymous