Überarbeitung des EU‑Cybersecurity Acts

Vor dem Hintergrund zunehmender Risiken durch digitale Angriffe hat die Europäische Kommission einen neuen Plan zur Cybersicherheit vorgelegt.

Die Bildcollage zeigt eine Tastatur mit einer Taste, auf der „Cybercrime” steht. Darüber hinaus ragen zwei Hände aus der Tastatur, die sich dem Betrachter entgegenstrecken.

Mit der Überarbeitung des mehr als sechs Jahre alten EU Cybersecurity Acts sollen die Resilienz und die Kapazitäten der EU in diesem Bereich weiter gestärkt werden.

Wachsende Bedrohungslage in Europa

Cyberangriffe betreffen längst nicht mehr nur einzelne Unternehmen, sondern zunehmend auch kritische Infrastrukturen, Lieferketten, Krankenhäuser und Behörden. So verzeichnete die Europäische Union allein im Jahr 2024 eine Steigerung der Cyberangriffe um 150 Prozent. Parallel dazu erfolgte eine signifikante Zunahme der Anzahl einschlägiger Rechtsakte. Dies ist vor allem auf die Richtlinie über Netz- und Informationssysteme, das Gesetz über Cyberresilienz, das Gesetz über Cybersolidarität sowie weitere Initiativen zurückzuführen, welche die Agentur der Europäischen Union für Cybersicherheit (ENISA) zu einem operativen Dreh- und Angelpunkt gemacht haben, ohne dass Mandat, Ressourcen und Strukturen entsprechend nachgeschärft wurden. An dieser Stelle setzt die Revision an.

Mehr Geschwindigkeit, Klarheit und weniger Bürokratie

Ein wesentlicher Bestandteil des Pakets ist der Entwurf für einen überarbeiteten Rechtsakt zur Cybersicherheit. Das Ziel dieser Maßnahme besteht in der Steigerung der Sicherheit der Lieferketten der EU im Bereich der Informations- und Kommunikationstechnologien (IKT). Darüber hinaus wird der europäische Rahmen für die Cybersicherheits-Zertifizierung vereinfacht und die Einhaltung der Cybersicherheitsvorschriften erleichtert.

Die Rolle von ENISA

Des Weiteren wird die ENISA gestärkt. Die genannte Organisation leistet Unterstützung für die Europäische Union sowie deren Mitgliedstaaten bei der Identifizierung potenzieller Bedrohungen, der Vorbereitung auf Cybervorfälle sowie der Reaktion auf diese. Für den folgenden EU-Haushaltszeitraum 2028 bis 2034 wird ENISA eine durchschnittliche jährliche Zunahme des Budgets um 49 Millionen Euro erfahren.

Zertifikate als anerkannter Nachweis

Obwohl mit dem europäischen Rahmen für Cybersicherheitszertifizierung ein einheitliches Instrument existiert, wird dessen Umsetzung als zu langsam, zu komplex und zu wenig vorhersehbar bewertet.

Die Revision zielt demnach auf eine Vereinfachung der Verfahren, eine klarere Regelung der Zuständigkeiten und eine deutliche Beschleunigung der Entwicklungsprozesse ab. Es ist vorgesehen, dass Cybersicherheitszertifikate zukünftig eine größere Bedeutung als anerkannter Nachweis erlangen, um die Anforderungen anderer EU-Rechtsakte zu erfüllen. Ein Zertifikat kann beispielsweise eine sogenannte Konformitätsvermutung begründen, etwa mit Blick auf Vorgaben aus NIS 2 oder dem Cyber Resilience Act.

Gemäß der aktuellen Planung soll auch das fortlaufende Arbeitsprogramm der Union eine stärkere Rolle einnehmen. Dieses wird regelmäßig aktualisiert, um sowohl der Industrie als auch den Behörden Planungssicherheit zu gewährleisten.

Hinweis: Das Cybersicherheitsgesetz tritt unmittelbar nach seiner Verabschiedung durch das Europäische Parlament und den Rat der EU in Kraft. Zudem werden die begleitenden Änderungen der NIS2-Richtlinie zum Schutz von Netzwerk- und Informationssystemen zur Verabschiedung vorgelegt. Nach der Verabschiedung müssen die Mitgliedstaaten die Richtlinie in nationales Recht umsetzen und der Kommission übermitteln.