Revision des EU Cybersecurity Act: Was sich jetzt grundlegend ändert

Als der EU Cybersecurity Act im Jahr 2019 verabschiedet wurde, sollte er zwei Dinge leisten: der Agentur der Europäischen Union für Cybersicherheit, also der ENISA, ein dauerhaftes Mandat geben und einen einheitlichen europäischen Rahmen für die Zertifizierung von Cybersicherheit schaffen. Beides ist gelungen, allerdings unter völlig veränderten Vorzeichen.

Allein im Jahr 2024 stieg die Zahl der Cyberangriffe in der Europäischen Union um 150 Prozent. Gleichzeitig wuchs die Zahl der einschlägigen Rechtsakte rasant. Die Richtlinie über Netz- und Informationssysteme, das Gesetz über Cyberresilienz, das Gesetz über Cybersolidarität sowie weitere Initiativen haben die ENISA zu einem operativen Dreh- und Angelpunkt gemacht, ohne dass Mandat, Ressourcen und Strukturen entsprechend nachgeschärft wurden. Genau hier setzt die Revision an.

Klareres Mandat für die ENISA

Eine der wichtigsten Neuerungen ist die geplante Neuausrichtung des Mandats der ENISA. Die Auswertung der vergangenen Jahre zeigt, dass die Agentur zwar gute Arbeit leistet, ihre Aufgaben aber zu umfangreich geworden sind. Künftig sollen Zuständigkeiten klarer festgelegt und besser geplant werden. Die Überarbeitung des Gesetzes sieht vor, die ENISA stärker auf ihre Kernaufgaben zu konzentrieren: die Koordination zwischen den Mitgliedstaaten, die operative Unterstützung bei Sicherheitsvorfällen und die Erstellung europaweiter Lagebilder zur Cybersicherheit.

Gleichzeitig soll die Abgrenzung zu anderen europäischen und nationalen Stellen präzisiert werden. Ziel ist es, Doppelarbeit zu vermeiden und Ressourcen gezielter einzusetzen. Die Mitgliedstaaten und der Europäische Rat drängen zudem auf eine bessere Ausstattung der Agentur, da neue gesetzliche Aufgaben ohne zusätzliche Mittel kaum erfüllbar sind.

Beschleunigung der Zertifizierung

Besonders deutlich fällt die Kritik am bisherigen Zertifizierungsrahmen aus. Zwar existiert mit dem europäischen Rahmen für Cybersicherheitszertifizierung ein einheitliches Instrument, doch die Umsetzung gilt als zu langsam, zu komplex und zu wenig vorhersehbar. Seit 2019 wurde nur ein einziges vollständiges Zertifizierungssystem verabschiedet, weitere Vorhaben wie Cloud-Zertifizierung oder Fünfte-Generation-Mobilfunk hängen seit Jahren fest.

Die Revision soll deshalb die Verfahren vereinfachen, Zuständigkeiten klarer regeln und die Entwicklungsprozesse deutlich beschleunigen. Geplant ist unter anderem eine stärkere Rolle eines fortlaufenden Arbeitsprogramms der Union, das regelmäßig aktualisiert wird und Industrie sowie Behörden Planungssicherheit gibt.

Neue Sicht auf Lieferketten und Risiken

Ein weiterer inhaltlicher Schwerpunkt der Revision liegt auf der Sicherheit digitaler Lieferketten. Künftig soll der Cybersecurity Act nicht mehr nur technische Risiken betrachten, sondern auch geopolitische und strukturelle Abhängigkeiten einbeziehen. Hintergrund sind wachsende Sorgen über kritische Abhängigkeiten von außereuropäischen Anbietern und potenzielle Einflussnahme durch Drittstaaten.

Die Zertifizierung soll daher stärker als strategisches Instrument genutzt werden, um Resilienz, Souveränität und Marktsicherheit miteinander zu verbinden. Damit rückt der Cybersecurity Act näher an industriepolitische und sicherheitspolitische Ziele heran.

Vereinfachung statt immer mehr Regulierungslast

Ebenfalls ein zentrales Element ist die Entlastung von Unternehmen und Behörden. Die Revision wird eng mit dem sogenannten digitalen Omnibus verknüpft, der Meldepflichten vereinheitlichen und vereinfachen soll. Vorgesehen ist eine zentrale europäische Meldestelle unter dem Dach der ENISA, über die Vorfälle künftig gleichzeitig für mehrere Rechtsakte gemeldet werden können.

Das soll nicht nur Bürokratie abbauen, sondern auch die Qualität der Lagebilder verbessern und Reaktionszeiten verkürzen.

Vom Regelwerk zum Sicherheitsinstrument

Die Revision des EU Cybersecurity Act markiert einen strategischen Wendepunkt. Aus einem überwiegend normativen Regelwerk soll ein handlungsorientiertes Sicherheitsinstrument werden, das mit der Geschwindigkeit der Bedrohungslage Schritt hält. Mehr Klarheit, mehr Tempo und bessere Koordination sind die Leitlinien der Reform.

Ob dieses Ziel erreicht wird, hängt entscheidend davon ab, ob Mandat und Ressourcen der ENISA endlich in Einklang gebracht werden und ob die Zertifizierung aus dem politischen Stillstand befreit wird. Die Vorlage der Kommission am 14. Januar 2026 wird zeigen, wie ernst es die Europäische Union mit ihrer digitalen Resilienz meint.

Reaktion des Bitkom

Der Digitalverband Bitkom begrüßt die geplante Überarbeitung des Cybersecurity Act, weil sie Cybersicherheit beschleunigen, klarer strukturieren und bürokratische Hürden abbauen soll. Besonders positiv bewertet der Verband, dass Cybersicherheitszertifikate künftig stärker als anerkannter Nachweis für Anforderungen aus anderen europäischen Rechtsakten dienen können und damit Rechtssicherheit schaffen sowie Doppelprüfungen vermeiden. Auch die Stärkung der ENISA durch zentrale Meldeplattformen, bessere Lagebilder und zusätzliche Finanzmittel von durchschnittlich 49 Millionen Euro pro Jahr ab 2028 wird ausdrücklich unterstützt.

Kritisch sieht Bitkom jedoch, dass das Ziel „ein Vorfall, eine Meldung“ nur erreicht werden kann, wenn die vielen Meldepflichten aus unterschiedlichen Regelwerken – etwa NIS-2, Cyber Resilience Act, DSGVO – konsequent aufeinander abgestimmt werden. Zudem fordert der Verband, bei der geplanten verpflichtenden Auslaufphase von Komponenten später zu benennender ausländischer Hersteller in kritischen Sektoren, bestehende nationale Vereinbarungen zu berücksichtigen, um laufende Digitalisierungsprojekte nicht zu gefährden.

Weitere Artikel zum Thema: 

Cyber Resilience Act: Drei Maßnahmen, die Unternehmen sofort ergreifen sollten

Neue Spielregeln für Open Source

Sicherheit für Produkte: Cyber Resilience Act der EU