Europa ist zunehmend Zielscheibe hochentwickelter Cyberangriffe, die sich gegen kritische Infrastrukturen und demokratische Institutionen richten. Als Reaktion darauf hat die Europäische Kommission gestern ein umfassendes Cybersicherheitspaket vorgestellt, das den rechtlichen Rahmen überarbeitet und die Sicherheitsstandards in der EU deutlich anheben soll. Ziel ist es, die digitale Widerstandsfähigkeit Europas zu stärken und die Risiken in global vernetzten Lieferketten besser zu kontrollieren.
Neue Vorgaben für sichere Lieferketten
Kernstück des Pakets ist ein überarbeiteter Rechtsakt zur Cybersicherheit, der insbesondere die Risiken durch IKT-Lieferanten aus Drittstaaten in den Blick nimmt. Der neue Rechtsrahmen soll es der EU ermöglichen, Risiken in 18 kritischen Sektoren frühzeitig zu erkennen und gemeinsam mit den Mitgliedstaaten Maßnahmen zu ergreifen. Dabei wird ein risikobasierter, verhältnismäßiger Ansatz verfolgt, der nicht nur technische Aspekte, sondern auch politische Abhängigkeiten berücksichtigt.
Eine wichtige Rolle spielt hierbei die Sicherheit von Komponenten in europäischen Mobilfunknetzen. Die geplante Gesetzgebung knüpft an das bestehende 5G-Sicherheitsinstrumentarium an und soll den Ausschluss von Hochrisikoanbietern erleichtern. Laut dem Digitalverband Bitkom ist es allerdings entscheidend, dass bestehende nationale Regelungen, wie in Deutschland, nicht konterkariert werden – etwa durch verpflichtende Auslaufphasen, die bestehende Verträge gefährden könnten.
Gewinnen in der Plattform-Ökonomie
Vereinfachte Zertifizierungen und gestärkte ENISA
Ein zentrales Anliegen der Kommission ist die Vereinfachung des Zertifizierungsprozesses für digitale Produkte und Dienstleistungen. Der erneuerte Europäische Rahmen für Cybersicherheitszertifizierung (ECCF) soll schnellere und transparentere Verfahren ermöglichen. Zertifikate sollen künftig auch als Nachweis für die Einhaltung anderer EU-Vorgaben wie der NIS-2-Richtlinie oder des Cyber Resilience Acts anerkannt werden, was den Aufwand für Unternehmen reduziert.
Die EU-Agentur für Cybersicherheit ENISA erhält im Zuge der Reform deutlich mehr Kompetenzen. Sie wird zentrale Meldeplattformen betreiben, frühzeitige Warnungen aussprechen und ein unionsweites System für Schwachstellenmanagement aufbauen. Geplant ist zudem die Erprobung einer Akademie für Cybersicherheitskompetenzen sowie die Entwicklung europaweiter Zertifizierungen für Fachkräfte. Für den Zeitraum 2028 bis 2034 stellt die EU durchschnittlich 49 Millionen Euro pro Jahr zusätzlich für die Agentur bereit.
Herausforderungen bei der Umsetzung bleiben
Trotz vieler positiver Aspekte – wie der Stärkung der ENISA oder der Anerkennung von Zertifikaten – kritisiert Bitkom, dass das Ziel eines wirklich vereinfachten und unternehmensfreundlichen Regelwerks noch nicht vollständig erreicht ist. Vor allem das Versprechen eines einheitlichen Meldewegs („ein Vorfall, eine Meldung“) sei bisher nicht eingelöst, da viele gesetzliche Meldepflichten noch unkoordiniert nebeneinander bestehen bleiben.
Mit dem neuen Cybersicherheitsgesetz unternimmt die EU einen wichtigen Schritt, um sich gegen wachsende digitale Bedrohungen zu wappnen. Damit dieser Schritt Wirkung zeigt, wird es nun auf die konkrete Umsetzung in den Mitgliedstaaten und die enge Abstimmung mit der Wirtschaft ankommen.
