Was droht bei Verstoß gegen CRA und NIS-2 – und warum die Zahl auf dem Papier die kleinere Bedrohung ist

Es gibt einen Moment in Gesprächen mit israelischen Gründern, der sich regelmäßig wiederholt – meistens dann, wenn das Thema Regulierung auftaucht. Jemand nennt eine Zahl. Zehn Millionen Euro. Oder zwei Prozent des weltweiten Jahresumsatzes. Es entsteht eine kurze Pause, manchmal ein Nicken, dann geht das Gespräch weiter. Die Zahl wird registriert. Sie wird nicht verstanden.

Und genau das ist das Problem. Nicht die Unkenntnis der Zahl. Sondern die Unkenntnis dessen, was vor der Zahl passiert. Denn die Zahl steht am Ende eines langen behördlichen Verfahrens. Der Schaden entsteht früher. Leiser. Und ohne Rückmeldung.

Kein nationaler Spielraum. Kein Verhandlungsspielraum. Kein Ausweg.

Bevor es um Bußgelder, Haftung oder Meldepflichten geht, muss ein Punkt unmissverständlich feststehen: CRA und NIS-2 sind kein deutsches Phänomen. Sie sind kein Ausdruck deutscher Regulierungsneigung oder bürokratischer Besonderheit. Sie gelten für den gesamten europäischen Binnenmarkt – für alle 27 Mitgliedsstaaten. In der Praxis ergänzt durch sektorspezifische Regelwerke wie DORA im Finanzbereich, den AI Act für AI-basierte Systeme – mit Bußgeldern bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei schweren Verstößen – oder die DSGVO, wo personenbezogene Daten involviert sind – aber das Fundament ist überall dasselbe. Diese Zahl markiert das formale Sanktionsmaximum. Die operative Marktreaktion beginnt in der Praxis regelmäßig deutlich früher – häufig bereits auf Vertrags-, Versicherungs- oder Investitions­ebene.

Der Cyber Resilience Act ist eine EU-Verordnung – er ist EU-weit unmittelbar verbindlich, ohne nationalen Umsetzungsakt. In Paris genauso wie in Warschau, in Amsterdam genauso wie in Wien. Es gibt keine nationale Interpretation, die seine Anforderungen abschwächt. Es gibt keine Jurisdiktion innerhalb der EU, in der er nicht greift. Die Pflichten greifen dabei stufenweise: Konformitäts- und Notifizierungsregeln ab dem 11. Juni 2026, Reporting-Pflichten ab dem 11. September 2026, volle Anwendung ab dem 11. Dezember 2027. Wer heute Produkte mit digitalen Elementen für den europäischen Markt entwickelt, ist bereits jetzt in der Vorbereitung. Nicht morgen. Jetzt. Für Mikro- und Kleinunternehmen sieht der CRA in einzelnen Bereichen abweichende Fristen vor – was die Pflicht zur Vorbereitung nicht aufhebt, aber den Einstiegspfad beeinflusst.

NIS-2 ist eine EU-Richtlinie und damit formal umsetzungsbedürftig. Aber auch hier gilt: Der Gestaltungsspielraum der Mitgliedsstaaten ist eng. Die Kernanforderungen – Sicherheitspflichten, Meldepflichten, persönliche Haftung von Leitungsorganen – sind europaweit verbindlich. Wer darauf spekuliert, dass ein anderes EU-Land die Richtlinie weniger strikt umsetzt, unterschätzt den politischen Willen hinter beiden Regelwerken und überschätzt die Freiheit nationaler Umsetzung. Dass einzelne Mitgliedsstaaten bei der Transposition in Verzug geraten sind, ändert daran nichts – die Anforderungen gelten, und die Umsetzungslücken schließen sich.

Was das in der Praxis bedeutet, zeigt Deutschland exemplarisch. Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft – und es hat den Kreis der Betroffenen dramatisch erweitert: von rund 4.500 klassischen KRITIS-Betreibern auf knapp 29.500 Unternehmen und Einrichtungen, die nun als wesentliche oder wichtige Einrichtungen unter das BSIG fallen. Das BSI-Registrierungsportal ist seit Januar 2026 geöffnet; die Registrierungsfrist läuft bis März 2026. Wer jetzt noch nicht registriert ist, ist nicht in Vorbereitung – er ist bereits im Verzug. Und was Deutschland heute umsetzt, folgt anderen EU-Ländern in vergleichbarer Form. Die nationale Ausgestaltung variiert in Details. Die Anforderungen variieren nicht.

Für israelische Unternehmen, die Europa als Markt erschließen wollen, bedeutet das: Es gibt keinen einfachen Einstiegsmarkt. Es gibt keine EU-Jurisdiktion, in der die Anforderungen grundlegend anders sind. Wer für Deutschland vorbereitet ist, ist für Europa vorbereitet. Wer für Deutschland nicht vorbereitet ist, ist für keinen einzigen europäischen Markt vorbereitet. Das ist kein Hindernis. Es ist eine Vereinfachung – wenn man es richtig versteht. Ein europäischer Maßstab – mit wenigen, klaren Regelkernen, die überall greifen. Und wer ihn erfüllt, hat Zugang zu einem der größten Wirtschaftsräume der Welt.

Zwei Regelwerke, eine Stoßrichtung

Der Cyber Resilience Act und die NIS-2-Richtlinie teilen ein gemeinsames Fundament: Sie verschieben Verantwortung. Nicht auf Behörden, nicht auf abstrakte Strukturen – sondern auf konkrete Menschen, konkrete Produkte, konkrete Entscheidungen. Das ist der regulatorische Paradigmenwechsel, den viele im Markt noch nicht vollständig verarbeitet haben.

Der CRA richtet sich an Hersteller von Produkten mit digitalen Elementen. Er erfasst Software, Hardware und hybride Systeme – und er stellt eine fundamentale Anforderung: Wer etwas in den europäischen Markt bringt, trägt die Verantwortung für seine Sicherheit. Nicht nur zum Zeitpunkt der Markteinführung, sondern über den gesamten Produktlebenszyklus. Schwachstellen müssen aktiv beobachtet, gemeldet und behoben werden. Wer das nicht tut, verstößt nicht gegen eine Checkliste. Er verstößt gegen eine Sorgfaltspflicht, die gerichtlich geltend gemacht werden kann.

NIS-2 setzt auf der anderen Seite an. Sie richtet sich nicht an Hersteller, sondern an Betreiber – an Unternehmen und Organisationen, die kritische oder wichtige Dienste erbringen. Artikel 20 und 21 NIS-2 legen fest, dass Leitungsorgane die Umsetzung von Cybersicherheitsmaßnahmen aktiv überwachen müssen – und dafür persönlich verantwortlich und haftungsadressierbar sind. Das ist die eigentliche Neuerung gegenüber der Vorgängerrichtlinie. Es ist kein Unternehmensrisiko mehr. Es ist ein persönliches.

Was die Zahlen bedeuten – und was sie nicht bedeuten

Beim CRA bewegen sich die Bußgelder in drei Stufen, geregelt in Artikel 64. Schwerwiegende Verstöße – etwa das Inverkehrbringen eines Produkts, das grundlegende Sicherheitsanforderungen nicht erfüllt – können mit bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Weniger schwere Verstöße gegen spezifische Pflichten ziehen bis zu 10 Millionen Euro oder 2 Prozent nach sich. Falsche oder irreführende Angaben gegenüber Marktüberwachungsbehörden werden mit bis zu 5 Millionen Euro oder 1 Prozent bewertet.

NIS-2 unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Für wesentliche Einrichtungen – Energie, Wasser, Gesundheit, digitale Infrastruktur – sind Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes vorgesehen. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 Prozent. Hinzu kommen behördliche Aufsichtsmaßnahmen, Prüfungen und in schwerwiegenden Fällen temporäre Tätigkeitsverbote für Leitungspersonen als aufsichtsrechtliche Maßnahme letzter Instanz.

Diese Zahlen beschreiben Maximalwerte. Aber sie beschreiben nicht die eigentliche Gefahr. Die eigentliche Gefahr ist die Kaskade, die einsetzt, bevor eine Behörde überhaupt tätig wird. Die operative Marktreaktion beginnt in der Praxis regelmäßig deutlich früher – häufig bereits auf Vertrags-, Versicherungs- oder Investitions­ebene.

Der Moment, der teurer ist als jede Geldstrafe

Regulatorische Konformität ist keine Kür. Sie ist die Eintrittskarte. Wer sie nicht hat, steht nicht im Wettbewerb – er steht vor der Tür.

Ein Hersteller, dessen Produkt nach einem Sicherheitsvorfall einer Marktüberwachungsbehörde gemeldet wird, steht nicht nur vor einer möglichen Geldstrafe. Er steht vor einer Kaskade von Konsequenzen, die das Bußgeld wirtschaftlich übertreffen kann: Bestehende Rahmenverträge enthalten zunehmend regulatorische Compliance-Klauseln, die dem Kunden ein außerordentliches Kündigungsrecht einräumen, sobald ein Lieferant nachweislich gegen CRA oder NIS-2 verstößt. Cyber-Versicherungen kalkulieren Prämien und Deckungsumfang auf Basis der regulatorischen Konformität des Versicherten – ein dokumentierter Verstoß kann Prämien, Deckungsumfang und Renewal massiv verschlechtern, bis hin zu Deckungsstreitigkeiten im Schadenfall. Öffentliche Vergaben in regulierten Sektoren setzen Compliance zunehmend als Eignungskriterium voraus, nicht als Wunschmerkmal. Und in einer laufenden Series-B-Finanzierungsrunde wird ein Verstoß zur Bewertungsfrage: Reputational Due Diligence ist kein akademischer Begriff mehr, sondern ein Prüfpunkt im Data Room.

Für einen CISO, ob in Frankfurt, Stockholm oder Mailand, dessen Unternehmen Produkte eines Herstellers einsetzt, der einen CRA-Verstoß kommuniziert, stellt sich sofort eine Frage: Wie erkläre ich meinem Vorstand und meiner Aufsichtsbehörde, warum ich dieses Produkt ausgewählt habe – und was tue ich jetzt? Diese Frage hat keine angenehme Antwort. Deshalb ist der erste Reflex nicht Kulanz, sondern Distanzierung. Und Distanzierung in einem regulierten Markt geschieht schnell, endgültig und ohne Rückmeldung.

Persönliche Haftung: Das NIS-2-Element, das unterschätzt wird

Es gibt eine Klausel in NIS-2, die in Investorengesprächen selten die Aufmerksamkeit erhält, die sie verdient: die persönliche Haftung von Leitungsorganen nach Artikel 20. Sie besagt, dass Geschäftsführer und Vorstandsmitglieder wesentlicher Einrichtungen nicht mehr nur stellvertretend für ihre Organisation verantwortlich sind, sondern direkt haftungsadressierbar – bis hin zur persönlichen Organhaftung nach nationalem Recht.

Das ist kein theoretisches Risiko – und es ist kein deutsches. Es ist europäisches Recht, das in jedem Mitgliedsstaat gilt. Es ist der Grund, warum jeder CISO eines regulierten Unternehmens jetzt unter einem anderen Druck steht als vor drei Jahren. Und es ist der Grund, warum Einkaufsentscheidungen im Bereich Cybersicherheit nicht mehr ausschließlich nach technischer Leistungsfähigkeit getroffen werden. Sie werden nach Nachweisbarkeit getroffen. Nach der Frage, ob ein Leitungsorgan im Ernstfall zeigen kann, dass es die gebotene Sorgfalt aufgewendet hat. Dass es einen Anbieter ausgewählt hat, der diese Sorgfalt unterstützt. Und dass es einen Audit-Trail gibt, der diese Entscheidung belegt.

Ein Anbieter, der diesen Kontext nicht versteht, liefert keine schlechte Technologie. Er liefert das Richtige in die falsche Sprache übersetzt. Und er verliert Deals nicht wegen des Produkts, sondern wegen des Rahmens, in dem es präsentiert wird.

Ein Szenario, das sich wiederholt

Ein Energieversorger in Norddeutschland. Kritische Infrastruktur, NIS-2-pflichtig, laufende BSI-Zertifizierung. Das Beschaffungsgremium evaluiert seit vier Monaten eine OT-Sicherheitslösung eines israelischen Anbieters. Das Produkt ist technisch überlegen. Die Referenzen stimmen. Zwei Piloten laufen erfolgreich.

Dann kommt Artikel 23 NIS-2 auf den Tisch – die Meldepflicht. Der Einkäufer fragt: Wie unterstützt Ihre Lösung unsere 24-Stunden-Frühwarnpflicht? Welche Dokumentation erzeugt das System, die wir bei einer BSI-Prüfung vorlegen können? Haben Sie ein Incident Runbook, das unsere interne Eskalationskette abbildet – und in welcher Form liefern Sie uns das Audit Evidence Log für unseren Final Report? Und falls Ihr System AI-Komponenten enthält: Liegt eine AI Act-Konformitätsbewertung vor?

Der Gründer antwortet über Erkennungsraten. Über die Überlegenheit gegenüber dem Wettbewerb. Über Kunden in den USA, die diese Fragen so nicht stellen.

Der Einkäufer schließt das Dokument. Nicht weil das Produkt schlecht ist. Sondern weil er in diesem Moment verstanden hat, dass der Anbieter nicht versteht, was auf dem Spiel steht – für ihn persönlich, für seinen Vorstand, für die Aufsichtsbehörde, die in achtzehn Monaten prüfen wird.

Der Deal stirbt. Ohne Konflikt. Ohne Rückmeldung. Mit einem höflichen Dankesschreiben und einer Absage, die nichts erklärt.

Und das Produkt, das diesen Deal hätte gewinnen können, landet auf dem Tisch eines Wettbewerbers – der die Fragen nicht besser beantworten kann, aber einen lokalen Partner hat, der sie stellt, bevor der Einkäufer es tut.

Die Meldepflicht als unterschätzter Risikofaktor

Artikel 23 NIS-2 ist einer der operativ anspruchsvollsten Teile der Richtlinie. Wesentliche und wichtige Einrichtungen müssen einen erheblichen Vorfall innerhalb von 24 Stunden als Frühwarnung melden, innerhalb von 72 Stunden eine Incident Notification mit initialer Bewertung vorlegen – und spätestens einen Monat später einen vollständigen Final Report einreichen. Bei Vorfällen, die personenbezogene Daten betreffen, greift parallel die 72-Stunden-Meldepflicht der DSGVO – potenziell zwei Meldewege, paralleler Dokumentationsdruck. Der CRA verpflichtet Hersteller zusätzlich dazu, aktiv ausgenutzte Schwachstellen an die zuständige Behörde zu melden, sobald sie bekannt werden.

Diese Fristen sind nicht zufällig. Sie sind eine politische Entscheidung: Transparenz soll Pflicht sein, nicht freiwillig. Und sie haben praktische Konsequenzen, die über die eigentliche Meldehandlung hinausgehen. Wer eine Meldung abgibt, aktiviert einen Prozess. Die Behörde prüft. Sie kann Nachweise anfordern. Sie kann Aufsichtsmaßnahmen einleiten. Sie kann, wenn die Meldung als unvollständig oder verspätet eingestuft wird, den Verstoß selbst zum Sanktionsgegenstand machen.

Für Unternehmen, deren interne Prozesse für diesen Fall nicht vorbereitet sind, entsteht in diesem Moment eine Situation, die schwer zu kontrollieren ist. Der Druck entsteht nicht von außen, sondern von innen – aus der Unklarheit darüber, was gemeldet werden muss, wer die Meldung autorisiert, was in den 72 Stunden zu dokumentieren ist und welche internen und externen Kommunikationswege zu aktivieren sind.

Ein Anbieter, der diese Prozesse kennt und zeigen kann, wie sein Produkt die Dokumentations- und Meldekette eines Betreibers unterstützt, ist in dieser Situation kein Produktlieferant mehr. Er ist ein strategischer Partner. Und strategische Partner verliert man nicht beim nächsten Vergabeverfahren.

Was Resilienz in einem regulierten Markt wirklich bedeutet

Es gibt ein Wort, das in beiden Regelwerken zentral ist und das häufig missverstanden wird: Resilienz. Im allgemeinen Sprachgebrauch meint es die Fähigkeit, Störungen zu überstehen. Im regulierten europäischen Kontext meint es etwas Präziseres: die nachweisbare Fähigkeit, auf Störungen vorbereitet zu sein.

Das ist kein semantischer Unterschied. Ein Unternehmen, das nach einem Angriff schnell wieder operativ ist, hat Resilienz bewiesen. Ein Unternehmen, das vor dem Angriff zeigen kann, welche Maßnahmen es getroffen hat, wer im Ernstfall verantwortlich ist, wie die Meldekette aussieht und was ein Auditor in zwei Jahren vorfinden wird – dieses Unternehmen hat Resilienz dokumentiert. Und nur dokumentierte Resilienz schützt das Leitungsorgan. Nur dokumentierte Resilienz übersteht eine Behördenprüfung. Nur dokumentierte Resilienz ist einkaufbar – in Deutschland, in Frankreich, in den Niederlanden, in jedem anderen EU-Mitgliedsstaat.

Das ist der Maßstab, an dem Anbieter in diesem Markt gemessen werden. Nicht daran, ob ihr Produkt gut ist. Sondern daran, ob ihre Dokumentation so gut ist wie ihr Produkt.

Fazit: Wer diese Fragen nicht beantworten kann, sollte den Termin absagen

CRA und NIS-2 sind keine Compliance-Übungen. Sie sind eine strukturelle Neuordnung der Verantwortung im europäischen Cyberraum – verbindlich, flächendeckend, für jeden Anbieter, der in diesem Markt eine Rolle spielen will. Sie definieren, wer haftet, wenn etwas schiefgeht. Sie definieren, was Nachweisbarkeit bedeutet. Und sie definieren, welche Anbieter in regulierten Märkten langfristig eine Rolle spielen werden.

Die Bußgelder sind real. Aber die eigentliche Sanktion bei einem Verstoß ist selten die Geldzahlung. Sie ist der Vertrauensverlust, der entsteht, wenn ein Unternehmen zeigt, dass es die Anforderungen dieses Marktes nicht verstanden hat – und der sich unmittelbar in Supplier-Risk-Einstufungen, Third-Party-Assurance-Anforderungen und Audit-Findings übersetzt, noch bevor eine Behörde tätig wird.

Wer in Europa verkaufen will – als Hersteller unter dem CRA, als Dienstleister im NIS-2-Umfeld – muss drei Fragen beantworten können, bevor der erste Termin stattfindet: Wie integriert sich unser Produkt in die Nachweiskette unserer Kunden? Was passiert, wenn ein Incident eintritt – und wer trägt was? Und können wir zeigen, dass ein Einkäufer, der sich für uns entschieden hat, das vor seiner Aufsichtsbehörde vertreten kann?

Wer diese Antworten nicht hat, sollte den Termin absagen. Nicht weil das Produkt schlecht ist. Sondern weil der Markt diese Fragen stellen wird – und weil ein Nein ohne Vorbereitung teurer ist als kein Termin.

Market Entry Readiness Assessment für regulierte Märkte

CRA und NIS-2 verändern, was ein regulierter Käufer in Europa von jedem Anbieter erwartet, dem er seine Infrastruktur anvertraut. Das Structured Market Entry Readiness Assessment analysiert, wie gut ein Produkt, eine Architektur und eine Kommunikationsstrategie auf diese Anforderungen vorbereitet sind: Nachweisbarkeit, Meldeketten, Haftungslogik, regulatorische Integrierbarkeit.

Das Ergebnis ist kein Compliance-Gutachten. Es ist eine ehrliche Einschätzung der Lücke zwischen dem, was ein Produkt leistet – und dem, was ein regulierter europäischer Markt sehen muss, um zu kaufen. Für Unternehmen in einer aktiven Markteintrittsphase oder mit europäischer Expansion in einer laufenden Finanzierungsrunde: Der richtige Zeitpunkt dafür ist nicht nach dem ersten verlorenen Deal. Er ist jetzt.