Cyber Resilience Act NIS-2: Pflichtenleitfaden 2027

Der Cyber Resilience Act und NIS-2 sind zwei Regelwerke mit einer gemeinsamen Schnittstelle: der Lieferantenvertrag des Betreibers. Wer 2027 ohne dokumentierte CRA-Konformität seiner Lieferanten in ein BSI-Audit geht, riskiert Bußgelder aus beiden Regimen parallel. Dieser Leitfaden trennt die Pflichten sauber und zeigt, was bis Ende 2026 operativ stehen muss.

Cyber Resilience Act NIS-2: Zwei Regelwerke, eine Pflichtenlinie

NIS-2 (Richtlinie EU 2022/2555) adressiert Betreiber. Der CRA adressiert Hersteller. Beide treffen sich dort, wo ein KRITIS-Unternehmen Hardware oder Software beschafft.

NIS-2 verpflichtet wesentliche und wichtige Einrichtungen zu Risikomanagement entlang der ICT-Lieferkette nach Artikel 21 der Richtlinie. Der CRA verschiebt einen Teil der Beweislast auf die Hersteller, entlastet den Betreiber aber nicht von seiner Auswahl- und Kontrollpflicht.

Für KRITIS-Unternehmen verdoppelt sich die Dokumentationslast. Jede Beschaffungsentscheidung ab 2027 muss zwei Fragen beantworten: Ist der Lieferant CRA-konform? Habe ich diese Konformität als Betreiber geprüft und dokumentiert?

Die Übergangsfristen sind gestaffelt. CRA-Hauptpflichten greifen ab Dezember 2027. Die Meldepflichten für aktiv ausgenutzte Schwachstellen laufen bereits 2026 an. NIS-2 ist in Deutschland über das NIS2UmsuCG umgesetzt, der KRITIS-Dachgesetz-Entwurf ergänzt die physische Resilienzdimension. Der Bundestag-Entwurf 20/9262 konkretisiert die Pflichten für deutsche Betreiber.

Der Bußgeldrahmen unter CRA reicht bis 15 Mio. EUR oder 2,5 % des weltweiten Konzernumsatzes. NIS-2-Sanktionen kommen additiv hinzu, nicht alternativ.

Nächster Schritt: KRITIS-Sektoren im Überblick prüfen, ob Ihre Anlage in den Anwendungsbereich fällt.

Was der CRA für eingesetzte Hardware konkret fordert

Der CRA definiert fünf Kernpflichten für jedes Produkt mit digitalen Elementen, das in der EU in Verkehr gebracht wird.

Erstens: Security-by-Design. Produkte dürfen keine bekannten ausnutzbaren Schwachstellen enthalten, wenn sie ausgeliefert werden. Werkseitige Standardpasswörter und ungepatchte Bibliotheken sind ein Marktzugangsverbot.

Zweitens: Schwachstellenmanagement über die gesamte erwartete Nutzungsdauer, mindestens fünf Jahre. Hersteller müssen Patches kostenfrei bereitstellen, auch nach Ende der kommerziellen Lebensdauer.

Drittens: SBOM (Software Bill of Materials). Jedes Produkt führt eine maschinenlesbare Stückliste seiner Softwarekomponenten mit. Betreiber müssen diese SBOM im Audit vorlegen können, also bereits bei der Beschaffung anfordern.

Viertens: Koordinierte Offenlegung von Schwachstellen. Aktiv ausgenutzte Schwachstellen meldet der Hersteller binnen 24 Stunden an ENISA, ein Detailbericht folgt nach 72 Stunden.

Fünftens: CE-Kennzeichnung neu definiert. Ohne CRA-Konformitätserklärung kein Marktzugang ab Dezember 2027. Bestandshardware in KRITIS-Anlagen ist nicht automatisch CRA-konform, sondern muss vom Hersteller nachgewiesen werden.

Was funktioniert: Standardisierte SBOM-Formate (CycloneDX, SPDX) lassen sich automatisiert auswerten. Was nicht funktioniert: PDF-Listen ohne maschinenlesbares Pendant, das im Audit Zeit kostet.

NIS-2 Lieferkettenpflichten: Der härteste Hebel für Betreiber

Artikel 21 NIS-2 verlangt Risikomanagement entlang der gesamten ICT-Lieferkette. Das ist die operativ teuerste Pflicht des gesamten Regelwerks.

Vertragsklauseln zu Sicherheitsanforderungen sind verpflichtend. Ein Lieferantenvertrag ohne klare Regelungen zu Patch-Fristen, Meldepflichten und Auditrechten ist nach NIS-2 unzureichend, unabhängig davon, ob ein Vorfall eintritt.

Lieferantenaudits müssen dokumentiert und turnusmäßig wiederholt werden. Für kritische Lieferanten empfehlen wir jährliche Audits, für Standardlieferanten alle zwei Jahre. Die Audittiefe richtet sich nach dem Risikobeitrag, nicht nach dem Vertragsvolumen.

Sub-Lieferanten (Tier 2, Tier 3) fallen in die Auditpflicht, wenn sie sicherheitsrelevant sind. Wer einen Cloud-Dienstleister einsetzt, der wiederum Drittanbieter für Identity Management nutzt, prüft die gesamte Kette.

Bei Auslagerung an Cloud- oder Robotik-Dienstleister bleibt die Betreiberhaftung. Eine vertragliche Übertragung der Sicherheitsverantwortung entbindet nicht von der Kontrollpflicht. Das BSI ist nationale Meldestelle für Sicherheitsvorfälle und betreibt die Schnittstelle zu ENISA, wie das Bundesministerium des Innern klarstellt.

Nächster Schritt: NIS-2-Compliance bei Quarero prüfen, welche Vertragsklauseln wir KRITIS-Kunden bereitstellen.

Patrouillenrobotik als CRA-pflichtiges Produkt

Autonome Patrouillenroboter sind Produkte mit digitalen Elementen. Der CRA gilt vollständig, ergänzend zur EU-Maschinenverordnung. Die Maschinenverordnung 2023/1230 definiert Cybersicherheitsanforderungen für autonome Maschinen und ergänzt die CRA-Pflichten.

Die Quarero QR-2 und QR-3 werden mit drei dokumentierten Eigenschaften ausgeliefert: maschinenlesbare SBOM, signierte Firmware-Updates und CRA-Konformitätserklärung. Die SBOM liegt im CycloneDX-Format vor, Firmware-Signaturen werden über eine HSM-gestützte Build-Pipeline erzeugt.

Schwachstellen werden binnen 24 Stunden an ENISA gemeldet. Patches werden OTA innerhalb von 72 Stunden ausgerollt, bei kritischen CVSS-Werten ab 7.0 priorisiert. Die Update-Pipeline ist auditierbar; jede Installation hinterlässt einen signierten Eintrag.

Datenflüsse (Video, Thermal, LiDAR) bleiben im deutschen Rechenzentrum. Keine Drittstaatenübermittlung, keine SCCs, keine Schrems-II-Diskussion. Das ist eine architektonische Entscheidung, nicht eine Vertragszusicherung.

Im RaaS-Modell trägt Quarero die Herstellerlast nach CRA und die Wartungslast operativ. Der Betreiber behält die NIS-2-Betreiberlast: Lieferantenauswahl dokumentieren, Auditrechte ausüben, Vorfälle ans BSI melden. Diese Aufgabenteilung ist sauber, weil sie die Verantwortung dort verortet, wo die Steuerungsmöglichkeit liegt.

Nächster Schritt: QR-3 mit LiDAR und Drohnenerkennung für CRA-konforme Patrouille.

Meldepflichten: 24-72-30 als neuer Takt

NIS-2 schreibt eine dreistufige Meldekette vor. Frühwarnung an das BSI binnen 24 Stunden ab Kenntnis. Bewertung binnen 72 Stunden mit Erstanalyse und Maßnahmen. Abschlussbericht nach 30 Tagen mit Ursachenanalyse.

Der CRA fordert parallel: Der Hersteller meldet aktiv ausgenutzte Schwachstelle binnen 24 Stunden an ENISA. Das ist eine eigenständige Meldekette, nicht ein Teil der NIS-2-Frühwarnung.

Betreiber müssen interne Meldeketten so aufstellen, dass beide Fristen parallel laufen können. Wer einen Vorfall an seinem Lieferanten erkennt, informiert den Hersteller (für dessen ENISA-Meldung) und das BSI (für die eigene NIS-2-Meldung) gleichzeitig. Sequenzielles Vorgehen verliert die 24-Stunden-Frist.

Fehlende Meldung ist ein eigenständiger Bußgeldtatbestand, unabhängig vom Schadensereignis. Ein Vorfall ohne Schaden, aber ohne Meldung, ist sanktionierbar. Ein Vorfall mit Schaden, aber rechtzeitiger Meldung, mildert die Sanktion.

Übung der Meldekette mindestens quartalsweise. Die Protokollierung muss audit-fest sein: Zeitstempel, Eskalationsweg, beteiligte Personen, Kommunikationskanal. Eine E-Mail-Kette reicht nicht; ein Ticketsystem mit signierten Einträgen schon.

Was funktioniert: Tabletop-Übungen mit realen BSI-Kontakten, vorab abgestimmt. Was nicht funktioniert: theoretische Prozessbeschreibungen, die im Ernstfall nicht abrufbar sind.

Vorstandshaftung verschärft sich durch CRA

NIS-2 verankert in §38 BSIG-E die persönliche Haftung der Geschäftsleitung bei unterlassenem Risikomanagement. Das ist keine Gesellschaftshaftung, sondern eine individuelle.

Der CRA erweitert die Haftung um die Sorgfaltspflicht bei der Lieferantenauswahl. Wer einen Lieferanten ohne CRA-Konformitätserklärung einsetzt, hat als Geschäftsleitung die Auswahl nicht ausreichend dokumentiert.

Versicherungsschutz (D&O) deckt Bußgelder regelmäßig nicht ab. Die meisten Policen schließen Geldstrafen und Bußgelder explizit aus. Was die D&O abdeckt, sind Schadensersatzforderungen Dritter und Anwaltskosten in der Verteidigung. Wer auf D&O als Vollabsicherung baut, hat die Police nicht gelesen.

Beweislastumkehr: Der Vorstand muss aktiv nachweisen, dass Sorgfaltsprozesse implementiert waren. Das ist eine prozessuale Verschärfung gegenüber der allgemeinen Organhaftung nach §93 AktG.

Schulungspflicht für die Geschäftsleitung ist explizit in NIS-2 verankert. Eine jährliche Schulung mit dokumentierter Teilnahme ist der Mindeststandard. Quartalsweise Briefings durch den CISO sind die operative Norm.

Nächster Schritt: Vorstandshaftung unter NIS-2 im Detail prüfen.

14-Wochen-Plan zur kombinierten CRA-NIS-2-Compliance

Der folgende Plan ist getestet bei drei mittelständischen KRITIS-Betreibern (Energie, Wasser, Logistik) zwischen 2024 und 2026.

Wochen 1-3: Inventarisierung. Alle Produkte mit digitalen Elementen erfassen, Lieferantenmapping erstellen, Sicherheitsrelevanz klassifizieren (hoch, mittel, niedrig). Ergebnis: Asset-Register mit Lieferantenbezug.

Wochen 4-6: SBOM-Anforderung. Allen Lieferanten ein standardisiertes Formblatt zur SBOM-Lieferung schicken. Vertragsklauseln zu Patch-Fristen, Meldepflichten und Auditrechten nachverhandeln. Wer nicht liefert, kommt auf die Ausstiegsliste.

Wochen 7-9: Meldekette. BSI- und ENISA-Schnittstellen testen. Interne Eskalationspfade definieren, Ticketsystem konfigurieren, Verantwortliche benennen. Die Meldewege müssen in ≤2 Stunden vom Erstkontakt bis zum CISO funktionieren.

Wochen 10-12: Tabletop-Übung. Vorfallszenario durchspielen, mindestens zwei Stunden Dauer, mit Geschäftsleitung. Protokollierung der Vorstandsbefassung. Beobachtete Engpässe in einen Maßnahmenkatalog überführen.

Wochen 13-14: Auditfeste Dokumentation. Alle Prozesse, Verträge, Protokolle in einem Compliance-Dossier zusammenführen. Restrisikobericht an Geschäftsleitung, unterschrieben.

Was diesen Plan trägt: ein dedizierter Projektleiter mit ≥60 % Kapazität. Was ihn zum Scheitern bringt: Nebenher-Bearbeitung durch den ohnehin ausgelasteten CISO.

Nächster Schritt: KRITIS-Dachgesetz-Checkliste 2026 als operative Vorlage nutzen.

Was Betreiber jetzt entscheiden

Fünf Entscheidungen stehen bis Ende 2026 an. Jede einzelne hat eine Kostenseite und eine Haftungsseite.

Lieferanten ohne CRA-Roadmap aus dem Beschaffungspool entfernen. Wer 2026 keinen Plan zur CRA-Konformität vorlegt, wird 2027 nicht liefern können. Das ist ein Beschaffungsrisiko, kein Compliance-Risiko.

Bei sicherheitskritischer Hardware auf RaaS umsteigen. Robotik, Sensorik, Zutrittssysteme: Im RaaS-Modell trägt der Hersteller die CRA-Last operativ. Der Betreiber dokumentiert die Auswahlentscheidung und das Auditrecht. Die Total Cost of Ownership ist im TCO-Vergleich Wachschutz gegen Eigenbetrieb dokumentiert.

Meldeprozesse mit BSI vor 2027 produktiv testen. Eine reale Testmeldung (als Übung deklariert) zeigt, ob die Schnittstelle funktioniert. Das BSI ist erfahrungsgemäß kooperativ, wenn der Betreiber proaktiv anfragt.

Vorstand quartalsweise schriftlich informieren. Compliance-Status, offene Risiken, durchgeführte Übungen. Das schriftliche Format schützt im Haftungsfall.

Pilotinstallation mit CRA-konformem Anbieter. Eine Referenzinstallation 2026 ist günstiger als eine Großrollout-Korrektur 2028. Wer die BSI-KritisV-Schwellenwerte gerade überschreitet, hat höheren Handlungsdruck.

Das Robotics-as-a-Service Modell und die NIS-2-Compliance bei Quarero sind die beiden operativen Antworten auf die kombinierte CRA-NIS-2-Pflichtenlage. Wer 2027 ohne dokumentierten Pilotbetrieb in das Audit geht, beginnt die Compliance-Diskussion mit einer schlechten Ausgangslage.

Pilotgespräch und CRA-Lieferantenprüfung: /nis-2. Wir nehmen die Lieferantenliste zur Hand, klären den Auditkorridor und priorisieren die Komponenten, bei denen 2027 ein CRA-Konformitätsnachweis vom Betreiber verlangt wird. Das ist die einzige Vorbereitung, die in zwölf Monaten messbar ist.