Der Cyber Resilience Act (CRA) ergänzt die NIS2-Richtlinie durch eine produktbezogene Perspektive. Er richtet sich an die Hersteller von Produkten mit digitalen Elementen (Hardware und Software). Der CRA führt eine CE-Kennzeichnung für Cybersicherheit ein. Für ein NIS2-pflichtiges Unternehmen bedeutet dies eine Erleichterung beim Risikomanagement in der Lieferkette: Durch den Einkauf CRA-konformer Produkte kann die Einhaltung der NIS2-Sorgfaltspflichten (Art. 21) gegenüber Zulieferern einfacher dokumentiert werden.
