EU-Regularien : Cybersecurity-Act 2 : EU-Cybersicherheitsregulierung vor dem nächsten Paradigmenwechsel

Die Einstufung als „schlüsselrelevant“ erfolgt dazu auf Basis koordinierter europäischer Risikoanalysen, bei denen neben technischen Schwachstellen ausdrücklich auch nicht-technische Risikofaktoren berücksichtigt werden. Dazu zählen etwa strukturelle Abhängigkeiten von einzelnen Anbietern, regulatorische und rechtliche Rahmenbedingungen in Drittstaaten sowie geopolitische und organisatorische Einflussfaktoren, die sich auf die Integrität und Vertrauenswürdigkeit digitaler Lieferketten auswirken können.

Auf Grundlage dieser Risikobewertungen erhält die Europäische Kommission weitreichende Befugnisse zur Festlegung konkreter, verbindlicher Risikominderungsmaßnahmen (Art. 103 CSA-2-E). Dazu zählen unter anderem Transparenz- und Offenlegungspflichten hinsichtlich der eingesetzten Lieferanten und Komponenten, technische Sicherheitsanforderungen, Einschränkungen bei der Nutzung externer Dienstleister sowie Vorgaben zur Diversifizierung von Lieferanten, um strukturelle Abhängigkeiten zu reduzieren.

Eine zentrale Rolle spielt die Einstufung von Hochrisiko-Lieferanten: Anbieter können als risikobehaftet klassifiziert werden, wenn technische oder nicht-technische Faktoren – etwa staatliche Einflussmöglichkeiten, regulatorische Rahmenbedingungen im Herkunftsland oder strukturelle Abhängigkeiten – Zweifel an ihrer Vertrauenswürdigkeit oder Sicherheit begründen.

Wird ein Lieferant als Hochrisiko-Anbieter eingestuft, kann die Europäische Kommission weitergehende Maßnahmen bis hin zu Nutzungs-, Integrations- oder Einbauverboten für entsprechende Komponenten in Schlüssel-IKT-Assets anordnen. In bestimmten Fällen können betroffene Unternehmen verpflichtet werden, entsprechende Komponenten innerhalb definierter Übergangsfristen aus ihren Systemen zu entfernen und durch alternative Lösungen zu ersetzen.

Damit verschiebt sich der regulatorische Ansatz grundlegend: Statt einer primär freiwilligen Zertifizierung ohne spezifische Lieferkettenpflichten etabliert der CSA-2- Entwurf erstmals einen verbindlichen europäischen Rahmen für die Steuerung und Absicherung kritischer IKT-Lieferketten. Gleichzeitig gewinnt die europäische Cybersicherheitszertifizierung als Instrument zur Unterstützung von Aufsicht, Beschaffung und Konformität an Bedeutung. Für Unternehmen bedeutet dies eine deutliche Ausweitung ihrer Verantwortung für die Sicherheit und Transparenz ihrer digitalen Lieferketten sowie eine stärkere Integration von Cybersicherheitsanforderungen in Beschaffungs-, Architektur- und Risikomanagementprozesse.

Stärkung und operative Neuausrichtung der ENISA

Eine weitere zentrale Säule des CSA-2 ist die umfassende Stärkung der ENISA. Der Entwurf erweitert ihr Mandat deutlich und etabliert sie stärker als operative Kerninstanz innerhalb der europäischen Cybersicherheitsarchitektur: Neben ihrer bisherigen Rolle bei der Entwicklung europäischer Zertifizierungssysteme soll die ENISA künftig verstärkt operative Aufgaben übernehmen, allem voran bei der Erstellung von Lageanalysen, der Identifikation von Bedrohungen und Schwachstellen sowie der Bereitstellung von Frühwarninformationen für Mitgliedstaaten und betroffene Organisationen.

Ein zentraler Bestandteil dieser Neuausrichtung ist – in Übereinstimmung mit den Zielen des Digital Omnibus (vgl. etwa [4,5]) – der Aufbau und Betrieb einer europäischen Plattform für Cybervorfallmeldungen unter Aufsicht der ENISA. Dieser „Single Entry-Point“ soll es Unternehmen ermöglichen, Melde- und Berichtspflichten aus verschiedenen regulatorischen Vorgaben nach dem Prinzip „ein Vorfall, eine Meldung“ über eine zentrale, digitale Meldestelle zu erfüllen und so die Effizienz und Kohärenz der Vorfallbearbeitung zu verbessern. Gleichzeitig soll die ENISA auf dieser Grundlage umfassendere Lagebilder zur Cybersicherheitslage in der EU erstellen und eine verbesserte Koordination zwischen Unternehmen, nationalen Behörden und europäischen Institutionen ermöglichen.

In der Praxis wird jedoch bezweifelt, dass dieses Ziel vollständig erreichbar ist: So wird schon jetzt darauf hingewiesen, dass die Vielzahl bestehender Meldepflichten aus unterschiedlichen Regelwerken – etwa der NIS-2-Richtlinie, dem CRA oder der DatenschutzGrundverordnung (DSGVO) – weiterhin unterschiedliche Anforderungen, Fristen und Zuständigkeiten umfasst (vgl. [6]). Ohne eine weitergehende Harmonisierung dieser Vorgaben besteht das Risiko, dass parallele Meldewege fortbestehen und sich der administrative Aufwand für Unternehmen nur begrenzt reduziert. Somit bleibt abzuwarten, inwieweit der angestrebte Ansatz eines vereinfachten und zentralisierten Meldewesens tatsächlich zu einer spürbaren Entlastung in der Praxis führt.

Im Übrigen wird die erweiterte Rolle der ENISA durch zusätzliche finanzielle Ressourcen unterstützt: Für den EU-Haushaltszeitraum 2028 bis 2034 ist eine Erhöhung der Mittel vorgesehen, wodurch die ENISA durchschnittlich rund 49  Mio.  € pro Jahr zusätzlich erhielte. Damit soll sichergestellt werden, dass sie ihre erweiterten Aufgaben in den Bereichen Bedrohungsanalyse, Zertifizierung und operative Unterstützung effektiv wahrnehmen kann.

Weiterentwicklung des europäischen Cybersicherheitszertifizierungsrahmens (ECCF)

Eine weitere zentrale Säule des CSA-2 ist die Weiterentwicklung des europäischen European Cybersecurity Certification Framework, (ECCF). Dieser soll als ein freiwilliges Instrument zur Zertifizierung von IKT-Produkten, -Diensten und -Prozessen, einschließlich Managed-Security-Services (MSS), dienen, künftig jedoch auch die unternehmensweite Cyber-Resilienz adressieren.

Cybersicherheitszertifikate und EU-Konformitätserklärungen werden unionsweit anerkannt (Art.  71 Abs. 4 CSA-2-E) und können – sofern in anderen Rechtsakten vorgesehen – eine Konformitätsvermutung begründen, etwa im Hinblick auf Anforderungen aus der NIS-2-Richtlinie oder dem CRA (Art. 78 Abs. 1 CSA-2-E). Perspektivisch kann dies Doppelprüfungen reduzieren und zur Rechtssicherheit beitragen.

Diese Zertifizierungssysteme basieren auf einem risikobasierten Ansatz mit den drei Sicherheitsstufen basic (niedrig), substantial (mittel) sowie high (hoch) und umfassen neben der initialen Bewertung auch Anforderungen an laufende Konformität, Rezertifizierung und Schwachstellenmanagement (Art.  82 Abs.  1 CSA-2-E). Grundsätzlich können alle Unternehmen Zertifizierungen in Anspruch nehmen, die IKT-Produkte, -Dienste oder -Prozesse entwickeln, bereitstellen oder betreiben, darunter besonders auch Hersteller von Hard- und Software sowie Cloud- und MSS-Anbieter, sofern entsprechende europäische Zertifizierungsschemata verfügbar sind.

Eine wesentliche Neuerung des CSA-2 besteht zudem in der perspektivischen Möglichkeit, dass Unternehmen die Einhaltung der Anforderungen an ihr unternehmensweites Cybersicherheits-Risikomanagement durch ein europäisches Cybersicherheitszertifikat nachweisen können – eine sogenannte Cyber-Posture-Zertifizierung. Der Entwurf sieht hierzu vor, dass innerhalb des ECCF ein entsprechendes Zertifizierungsschema entwickelt werden kann, das die Cybersicherheits-Risikomanagement-Strukturen und -Prozesse eines Unternehmens systematisch bewertet und zertifiziert. Nach Einschätzung der Europäischen Kommission könnte eine solche Zertifizierung Unternehmen, die unterschiedlichen Anforderungen aus verschiedenen europäischen Rechtsinstrumenten im Bereich der Cyber- und Datensicherheit unterliegen, künftig bei der strukturierten Erfüllung ihrer Nachweisund Compliancepflichten unterstützen.

Ein entsprechendes Zertifizierungsschema befindet sich derzeit jedoch noch nicht in der operativen Umsetzung und wird bislang als „zukünftige Erweiterung“ des Zertifizierungsrahmens geführt. Die Entwicklung und formale Einführung eines solchen Schemas würde erst nach Inkrafttreten der Verordnung erfolgen und bedarf insofern eines gesonderten Annahmeverfahrens durch die Europäische Kommission.

Anpassungen der NIS-2-Richtlinie und Vereinfachung regulatorischer Compliance-Anforderungen

Neben den strukturellen Änderungen im Bereich Lieferketten, Zertifizierung und institutioneller Zuständigkeiten umfasst das Cybersicherheitspaket auch gezielte Anpassungen der NIS-2-Richtlinie mit dem Ziel, die regulatorische Kohärenz zu verbessern und den Compliance-Aufwand für Unternehmen zu reduzieren – die entsprechenden Anpassungen und Erweiterungen der NIS-2-Richtlinie sind in Annex des CSA-2-E zu finden. Nach Angaben der Europäischen Kommission könnten die vorgesehenen Änderungen rund 28 700 Unternehmen betreffen und zu erheblichen administrativen Entlastungen führen – die möglichen Einsparungen werden auf bis zu 14,6 Mrd. € geschätzt [7].

Ein zentraler Bestandteil der Reform ist die Anpassung des Anwendungsbereichs der NIS-2-Richtlinie: Während bestimmte kleinere Akteure – etwa DNS-Diensteanbieter mit begrenztem Risikoprofil – künftig vom Anwendungsbereich ausgenommen werden sollen, ist zugleich eine gezielte Ausweitung auf andere sicherheitsrelevante Bereiche vorgesehen. So sollen vor allem Anbieter digitaler Identitätslösungen, etwa EUDI-Wallet-Dienste, sowie Anbieter von Dual-Use-Gütern unabhängig von ihrer Größe ausdrücklich in den Anwendungsbereich einbezogen werden. Ziel dieser Differenzierung ist ein stärker risikobasierter Regulierungsansatz, der sich an der tatsächlichen sicherheitsrelevanten Funktion eines Unternehmens orientiert.

Darüber hinaus sieht der Entwurf die Einführung einer neuen Kategorie sogenannter „Small Mid-cap“-Unternehmen vor, um kleinere und mittlere Organisationen gezielt zu entlasten und deren Compliance-Kosten zu reduzieren – Schätzungen zufolge könnten etwa 22 500 Unternehmen von dieser Maßnahme profitieren. Ergänzend dazu sollen Zuständigkeitsregelungen und Aufsichtsmechanismen präzisiert sowie Meldepflichten – besonders im Zusammenhang mit Ransomware-Vorfällen – durch standardisierte Verfahren klarer strukturiert werden. Dies soll sowohl die Rechtssicherheit für betroffene Unternehmen erhöhen als auch die Qualität und Vergleichbarkeit sicherheitsrelevanter Lageinformationen verbessern.

Fazit und Ausblick

Mit dem Cybersecurity-Act 2 (CSA-2) und begleitenden Anpassungen der NIS-2-Richtlinie entwickelt die Europäische Union ihren Cybersicherheitsrahmen konsequent weiter. Die Einführung eines regulatorischen Rahmens für IKT-Lieferketten, die Erweiterung des Zertifizierungsrahmens sowie die Stärkung der ENISA markieren dabei einen grundlegenden Paradigmenwechsel.

Der CSA-2-Entwurf befindet sich derzeit im europäischen Gesetzgebungsverfahren und wird im Rahmen des sogenannten Trilogverfahrens zwischen Europäischem Parlament, Rat und Kommission verhandelt. Die Verhandlungen werden für das laufende Jahr 2026 erwartet und finden parallel zu den Gesprächen zum „EU Digital Omnibus“ statt. Nach seiner Annahme würde der CSA-2 als Verordnung unmittelbar in allen Mitgliedstaaten gelten, während die Änderungen an der NIS-2-Richtlinie innerhalb eines Jahres in nationales Recht umzusetzen wären.

Unabhängig vom finalen Wortlaut zeichnet sich bereits jetzt eine klare Entwicklung in der digitalen Gesetzgebung ab: Die EU verfolgt das Ziel, ihre digitale Resilienz zu stärken und technologische Abhängigkeiten zu reduzieren. Für Unternehmen bedeutet das allem voran höhere Anforderungen an die Transparenz und Steuerung ihrer Lieferketten, die systematische Integration von Cybersicherheitsanforderungen in Beschaffungs- und Risikomanagementprozesse sowie eine wachsende Bedeutung europäischer Zertifizierungen als Instrument zur Unterstützung regulatorischer Nachweispflichten.

Gleichzeitig sollen Anpassungen der NIS-2- Richtlinie und verbesserte Koordinierungsmechanismen dazu beitragen, Compliance-Prozesse effizienter und kohärenter zu gestalten. Unternehmen sind daher gut beraten, sich frühzeitig mit den absehbaren Anforderungen auseinanderzusetzen. Ein proaktiver Umgang mit den neuen Rahmenbedingungen wird entscheidend sein, um sowohl regulatorische Risiken zu minimieren als auch die Chancen eines stärker harmonisierten europäischen Cybersicherheitsmarktes zu nutzen.

Dr. des. Jaqueline Emmerich ist Senior Legal Researcher und Datenschutzbeauftragte beim cyberintelligence.institute (CII). Prof. Dr. Dennis-Kenji Kipker ist wissenschaftlicher Direktor des CII.

Literatur

^{[1] European Commission, Proposal for a Regulation for the EU Cybersecurity Act, Download-Seite zu COM(2026) 11 final inkl. Impact-Assessment und Summary, Januar 2026, https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-eu-cybersecurityact}

^{[2] Europäische Kommission, Kommission stärkt Resilienz und Kapazitäten der EU im Bereich der Cybersicherheit, Pressemitteilung, Januar 2026, https://ec.europa.eu/commission/presscorner/detail/de/ip_ 26_105}  

^{[3] European Commission, Cybersecurity Package – Questions & Answers, FAQ-Seite, Januar 2026, https://digital-strategy.ec.europa.eu/en/faqs/cybersecurity-package-questions-answers}  

^{[4] Jaqueline Emmerich, Der europäische Digital Omnibus – Chancen der Vereinfachung oder Risiken der Reform?, Die Wirtschaftsprüfung (WPg) – IDW, Heft 3.2026, S. 195}

^{[5] Europäische Union, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Änderung der Verordnungen … und der Richtlinien … hinsichtlich der Vereinfachung des digitalen Rechtsrahmens … (Digital-Omnibus-Verordnung), COM (2025) 837 final, November 2025, https://eur-lex.europa.eu/legalcontent/DE/TXT/?uri=CELEX:52025PC0837}

^{[6] Bitkom e.V., EU stellt Revision des Cybersecurity Act vor, Pressemitteilung, Januar 2026, www.bitkom.org/Presse/Presseinformation/EU-stellt-Revision-desCybersecurity-Act-vor.}   

^{[7] Council of the European Union, Proposal for a Directive of the European Parliament and of the Council amending Directive (EU) 2022/2555 as regards simplification measures and alignment with the [Proposal for the Cybersecurity Act 2], COM(2026) 13 final, Januar 2026, https://data.consilium.europa.eu/doc/document/ST-5627-2026-INIT/en/pdf}