NIS 2 & CRA für Pharmaverpackungen: Warum digitale Resilienz jetzt Führungsaufgabe wird

Cyberangriffe, Systemausfälle und digitale Schwachstellen sind längst kein reines IT-Thema mehr. Mit der Network and Information Security Directive (NIS 2) und dem Cyber Resilience Act (CRA) verankert die EU digitale Sicherheit verbindlich im regulatorischen Rahmen – mit klaren Pflichten, festen Fristen und Verantwortung auf Führungsebene.

Für Hersteller und Händler pharmazeutischer Produkte entsteht damit eine neue Realität: IT-Sicherheit betrifft nicht mehr nur Systeme, sondern auch Produkte, Prozesse und den gesamten Lebenszyklus. Wie sich NIS 2 und CRA auf die Pharmaverpackungswelt auswirken – und was jetzt zählt, zeigt dieser Artikel anschaulich und kompakt.

Was ist NIS 2?

Die NIS-2-Richtlinie ist Teil der europäischen Strategie zur Stärkung der Cybersicherheit. Ziel ist es, Unternehmen besser vor digitalen Risiken zu schützen und die Resilienz kritischer sowie wirtschaftlich relevanter Infrastrukturen innerhalb der EU zu erhöhen. Im Vergleich zur bisherigen Regulierung wurde der Anwendungsbereich deutlich ausgeweitet – sowohl in Bezug auf betroffene Branchen als auch auf die unternehmerische Verantwortung.

Wen betrifft NIS 2?

Die NIS-2-Richtlinie ist 2023 auf EU-Ebene in Kraft getreten und wird aktuell in nationales Recht überführt. Neben klassischen Betreibern kritischer Infrastrukturen fallen auch zahlreiche relevante Sektoren der Wirtschaft unter die Richtlinie, darunter:

• pharmazeutische Hersteller
• Unternehmen entlang der pharmazeutischen Lieferkette
• Anbieter digital unterstützter Produktions- und Verpackungsprozesse
• Organisationen mit vernetzten Systemen, Maschinen oder IT-Infrastrukturen

Entscheidend ist nicht allein die Branche, sondern ob ein Unternehmen gemäß den erweiterten Kriterien der NIS-2-Richtlinie als betroffen gilt.

Welche Pflichten ergeben sich aus NIS 2?

NIS 2 betont die Notwendigkeit der Zusammenarbeit und des Informationsaustauschs zwischen Mitgliedstaaten bei Cybervorfällen. Erstmals werden konkrete organisatorische und technische Maßnahmen verpflichtend vorgeschrieben:

• strukturierte Risikomanagementmaßnahmen
• Meldepflicht von Sicherheitsvorfällen binnen 24 Stunden
• klar definierte Zuständigkeiten und Dokumentation

Besonders relevant: Die Verantwortung liegt ausdrücklich auf Führungsebene. Bei Verstößen drohen Sanktionen von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act (CRA) ist eine EU-Verordnung zur Stärkung der Cybersicherheit von Produkten mit digitalen Elementen. Im Gegensatz zu NIS 2 richtet sich der CRA nicht primär an Organisationen und Unternehmen, sondern an Produkte selbst. Ziel ist es, digitale Schwachstellen systematisch zu reduzieren und ein einheitliches Sicherheitsniveau im europäischen Binnenmarkt zu schaffen.

Für wen ist der CRA relevant?

Der Cyber Resilience Act wurde 2024 auf EU-Ebene verabschiedet – und soll verbindlich ab 2027 gelten. Wobei bereits im Juli 2026 die Meldepflicht von Sicherheitsproblemen greift.

Der CRA betrifft alle Unternehmen, die Produkte mit digitalen Elementen entwickeln, herstellen, vertreiben oder in Verkehr bringen. Dazu zählen unter anderem:

• Hersteller von Maschinen und Anlagen mit Softwarekomponenten
• Anbieter vernetzter Verpackungslösungen
• Unternehmen mit Software- oder Firmware-Anteilen in ihren Produkten
• Händler und Importeure innerhalb der EU

Entscheidend ist auch hier nicht die Branche, sondern ob ein Produkt direkt oder indirekt mit Netzwerkkomponenten verbunden ist.

Welche Pflichten ergeben sich aus dem CRA?

Der CRA verpflichtet Unternehmen dazu, Cybersicherheit über den gesamten Produktlebenszyklus hinweg zu berücksichtigen, wie zum Beispiel in der Entwicklung, Implementierung, Wartung und darüber hinaus. Zentrale Anforderungen sind:

• CE-Kennzeichnung inklusive Software als Nachweis der CRA-Konformität
• mögliche Drittprüfungen bei besonders kritischen Produkten
• unmittelbare Gültigkeit ohne nationale Umsetzung

Besonders relevant: Bei Verstößen drohen Sanktionen von bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes.

Was bedeuten NIS 2 und CRA im Bereich Pharmaverpackung?

Erst im Zusammenspiel von NIS 2 und CRA zeigt sich die volle Tragweite der Regulierung. Während NIS 2 die Organisation in die Verantwortung nimmt, setzt der CRA direkt am Produkt an. Für pharmazeutische Verpackungslösungen rücken damit digitale Komponenten, Software, Schnittstellen und vernetzte Systeme stärker in den regulatorischen Fokus. Cybersicherheit wird Teil von Produktkonformität, Qualitätsanforderungen und langfristiger Betriebssicherheit.

Unternehmen, die sich frühzeitig mit den neuen Anforderungen befassen, können digitale Resilienz aktiv gestalten. Sie schaffen transparente Entscheidungsgrundlagen, stärken die Stabilität ihrer Systeme und positionieren sich als verlässliche Partner innerhalb der Lieferkette – mit dem Ziel, Vertrauen zu schaffen und Kunden, Behörden sowie Geschäftspartnern langfristig ein sicheres Gefühl zu geben.

Wie werden NIS 2 und CRA überwacht – und was sind die Risiken?

NIS 2 betrifft Unternehmen ab 50 Mitarbeitenden und 10 Millionen Euro Jahresumsatz in insgesamt 18 definierten Sektoren. Der CRA greift darüber hinaus unabhängig von der Unternehmensgröße, da er als EU-weite Verordnung direkt an Produkte mit digitalen Elementen anknüpft und deren Sicherheit über den gesamten Lebenszyklus hinweg regelt.

In Deutschland überwacht das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Einhaltung der NIS-2-Vorgaben. Das BSI kann sowohl anlassbezogene oder regelmäßige Kontrollen durchführen und ist berechtigt, auch unangekündigte Prüfungen anzuordnen.

Bei Verstößen gegen die Anforderungen von NIS 2 und CRA sind Sanktionen vorgesehen. Diese können – abhängig von Art und Schwere des Verstoßes – erhebliche finanzielle Folgen nach sich ziehen. Der wirksamste Schutz vor Sanktionen liegt in der frühzeitigen Einordnung der eigenen Betroffenheit, der strukturierten Umsetzung der regulatorischen Anforderungen sowie einer nachvollziehbaren und vollständigen Dokumentation.

Digitale Resilienz sicher gestalten – mit Uhlmann als Partner

Frühzeitige Orientierung, klare Entscheidungsgrundlagen und nachhaltige Planungssicherheit sind zentrale Vorteile im Umgang mit NIS 2 und CRA. Wer regulatorische Anforderungen strukturiert einordnet, reduziert Risiken, vermeidet spätere Umstellungen unter Zeitdruck und stärkt die eigene Compliance und Vertrauenswürdigkeit langfristig.

Uhlmann unterstützt Pharmaunternehmen dabei, digitale Risiken ganzheitlich zu bewerten, regulatorische Vorgaben praxisnah einzuordnen und Cybersicherheitsaspekte sinnvoll in Verpackungslösungen, Produktionsumgebungen und bestehende Prozesse zu integrieren. Ziel ist es, technische Sicherheit, regulatorische Konformität und wirtschaftliche Tragfähigkeit miteinander zu verbinden, die verlässlich, EU-konform und zukunftssicher ist.

• NIS 2 und CRA verankern digitale Sicherheit verbindlich im EU-Rechtsrahmen
• NIS 2 adressiert Organisation, Verantwortung und Führungsebene
• Der CRA richtet sich an Produkte mit digitalen Elementen
• Digitale Sicherheit betrifft Verpackungslösungen, Systeme und Software gleichermaßen
• Cybersicherheit wird Teil von Produktkonformität und Qualitätsanforderungen
• Meldepflichten greifen bereits ab Juli 2026
• Verstöße können zu erheblichen finanziellen Sanktionen führen
• Frühzeitige Einordnung schafft Klarheit, Planungssicherheit und Stabilität