Thought Leadership
Cyberangriffe haben sich von einzelnen Vorfällen zu einem systemischen Risiko entwickelt. Sie treffen nicht nur Unternehmen, sondern bedrohen zunehmend Krankenhäuser, öffentliche Einrichtungen, Lieferketten und andere kritische Strukturen.
Deswegen hat die Europäische Kommission eine umfassende Überarbeitung des EU Cybersecurity Act vorgestellt, der seit mehr als sechs Jahren in Kraft ist und nun an die veränderte Bedrohungslage angepasst werden soll.
Stärkere Rolle für die europäische Cybersicherheitsagentur
Ein zentrales Element der Reform ist die Aufwertung der europäischen Cybersicherheitsagentur ENISA. Künftig soll sie stärker als operative Drehscheibe fungieren und unter anderem Plattformen für Sicherheitsmeldungen sowie gemeinsame Lagebilder zur Cybersicherheit in Europa bereitstellen. Um diese Aufgaben erfüllen zu können, ist eine deutliche finanzielle Aufstockung vorgesehen. Für den Haushaltszeitraum von 2028 bis 2034 soll ENISA jährlich zusätzliche Mittel in zweistelliger Millionenhöhe erhalten.
Der Digitalverband Bitkom sieht darin einen wichtigen Schritt, um europäische Strukturen in der Cybersicherheit langfristig handlungsfähig zu machen. Die Einschätzung stammt von der Bitkom Geschäftsleiterin Susanne Dehmel.
Zertifikate sollen Rechtssicherheit schaffen
Besonders positiv wird bewertet, dass Cybersicherheitszertifikate künftig eine größere Rolle spielen sollen. Sie sollen als anerkannter Nachweis dienen, um Anforderungen aus verschiedenen EU Regelwerken zu erfüllen. Ein einmal erlangtes Zertifikat könnte damit die Einhaltung von Vorgaben aus NIS 2 oder dem Cyber Resilience Act belegen und Doppelprüfungen vermeiden. Für Unternehmen bedeutet das mehr Planungssicherheit und weniger administrativen Aufwand.
Vereinfachung mit Einschränkungen
Trotz dieser Fortschritte bleibt aus Sicht der Wirtschaft ein zentrales Ziel noch unerreicht. Die Vielzahl an Meldepflichten bei Sicherheitsvorfällen ist weiterhin komplex. Unterschiedliche Rechtsakte verlangen teils parallele Meldungen an verschiedene Stellen. Das angestrebte Prinzip einer einzigen Meldung pro Vorfall lässt sich nur umsetzen, wenn diese Pflichten besser aufeinander abgestimmt werden. Andernfalls bleibt der bürokratische Aufwand hoch, insbesondere für kleinere und mittlere Unternehmen.
Abstimmung mit nationalen Regelungen erforderlich
Kritisch gesehen wird zudem der geplante verpflichtende Ausstieg aus bestimmten ausländischen Komponenten in sensiblen Bereichen. Hier mahnt Bitkom an, bestehende nationale Vereinbarungen zu berücksichtigen. In Deutschland haben Telekommunikationsunternehmen bereits mit dem Bund verbindliche Zeitpläne für den Austausch entsprechender Technik vereinbart. Diese Regelungen sollten fortgelten, um laufende Digitalisierungsprojekte nicht zu gefährden.
Die Überarbeitung des EU Cybersecurity Act setzt wichtige Impulse für eine stärkere und einheitlichere Cybersicherheitsarchitektur in Europa. Mehr Gewicht für ENISA und der stärkere Einsatz von Zertifizierungen schaffen Vertrauen und Struktur. Gleichzeitig zeigt sich, dass der Anspruch auf Vereinfachung nur dann erfüllt wird, wenn europäische und nationale Vorgaben konsequent zusammengeführt werden.
