EU-Kommission, Cybersicherheits-Offensive

EU-Kommission startet Cybersicherheits-Offensive

29.01.2026 - 18:24:12

Der neue Cybersecurity Act 2.0 schafft verpflichtende Regeln für IKT-Lieferketten und kritische Infrastrukturen. Hohe Bußgelder und neue Befugnisse für Behörden sollen die digitale Souveränität stärken.

EU-Kommission startet Cybersicherheits-Offensive - Foto: über boerse-global.de
EU-Kommission startet Cybersicherheits-Offensive - Foto: über boerse-global.de

Die EU-Kommission stellt die Weichen für eine neue Ära der digitalen Sicherheit. Mit einem umfassenden Gesetzespaket will Brüssel die Abhängigkeit von ausländischer Technologie reduzieren und kritische Infrastrukturen schützen.

Vom freiwilligen Standard zur Pflicht

Das am 20. Januar 2026 vorgelegte Paket, informell „Cybersecurity Act 2.0“ genannt, bedeutet einen strategischen Kurswechsel. Während der ursprüngliche Akt von 2019 auf freiwillige Zertifizierung setzte, schafft die Neufassung verbindliche Regeln für die gesamte Lieferkette. Hintergrund sind wachsende geopolitische Spannungen und eine zunehmend bedrohliche Cyber-Landschaft.

Kern des Vorschlags ist ein horizontales, verpflichtendes Rahmenwerk für die Sicherheit von IKT-Lieferketten. Risiken werden dabei nicht mehr nur technisch definiert, sondern umfassen explizit organisatorische und geopolitische Faktoren – also auch mögliche ausländische Einflussnahme.

Anzeige

Passend zum Thema Cybersicherheit sind viele Unternehmen noch unzureichend auf die angekündigten EU-Regeln vorbereitet. Neue Vorgaben für Lieferketten, Meldestellen und deutlich höhere Sanktionen erhöhen das Risiko kostspieliger Vorfälle – gerade in kritischen Sektoren. Das kostenlose E‑Book „Cyber Security Awareness Trends“ liefert praxisnahe Handlungsempfehlungen, zeigt, welche Schutzmaßnahmen jetzt Priorität haben, und erklärt, wie IT- und Compliance-Teams erste Maßnahmen wirksam umsetzen können. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Neue Befugnisse für Behörden

Die EU und ihre Mitgliedstaaten sollen künftig gemeinsam Risikobewertungen für kritische Lieferketten durchführen. Dabei werden „Schlüssel-IKT-Vermögenswerte“ identifiziert – Komponenten, deren Kompromittierung essentielle Dienstleistungen lahmlegen könnte.

Auf Basis dieser Bewertungen können Behörden Gegenmaßnahmen anordnen. In extremen Fällen dürfen sie Hochrisiko-Anbieter sogar von kritischen Sektoren ausschließen. So müssen Telekommunikationsbetreiber Komponenten von als riskant eingestuften Lieferanten binnen drei Jahren aus dem Kern ihrer Netze entfernen.

ENISA wird zur operativen Zentrale

Die EU-Agentur für Cybersicherheit, ENISA, erhält deutlich mehr Macht und Ressourcen. Sie entwickelt sich vom Berater zum operativen Hub der europäischen Cyber-Abwehr. Ihr Budget und Personal sollen entsprechend aufgestockt werden.

Zu ihren neuen Aufgaben zählt der Betrieb eines europaweiten Frühwarnsystems. Gemeinsam mit Europol richtet ENISA zudem eine Ransomware-Hilfestelle ein und betreibt die zentrale Meldestelle des Cyber Resilience Act (CRA). Der deutsche Digitalverband Bitkom begrüßt diese Stärkung der Agentur ausdrücklich.

Doppelter Effekt: Vereinfachung und Verschärfung

Trotz neuer Pflichten zielt der Vorschlag auch auf Entbürokratisierung. Das europäische Zertifizierungssystem (ECCF) soll beschleunigt werden. Ein wichtiger Fortschritt: Eine anerkannte Cybersicherheits-Zertifizierung schafft künftig eine „Vermutung der Konformität“ mit anderen EU-Vorschriften wie der NIS2-Richtlinie.

Das soll doppelte Audits vermeiden und Unternehmen Rechtssicherheit geben. Gleichwohl bleibt die Vision eines „One Incident, One Report“-Systems für Sicherheitsvorfälle vorerst unerfüllt. Firmen müssen sich weiter durch mehrere Melderegelwerke navigieren.

Hohe Strafen und globale Auswirkungen

Die geplanten Regeln sind Teil der breiteren EU-Strategie zur digitalen Souveränität. Unternehmen in 18 kritischen Sektoren – von Energie über Gesundheit bis Finanzen – müssen umfassende Risikominderungspläne für ihre Lieferketten erstellen.

Die finanziellen Konsequenzen bei Verstößen sind drastisch: Bußgelder können bis zu 7 Prozent des weltweiten Jahresumsatzes erreichen. Diese Fokussierung auf nicht-technische Risiken gilt als klarer Mechanismus, um Bedenken gegenüber Technologieanbietern aus Ländern wie China zu adressieren.

Was kommt jetzt?

Die Vorschläge liegen nun beim Europäischen Parlament und dem Rat der EU. Der finale Text wird im ordentlichen Gesetzgebungsverfahren noch verhandelt. Bei Verabschiedung setzt die Verordnung einen neuen Maßstab für Cyber-Resilienz in der Union. Für Unternehmen beginnt eine Phase intensiver Prüfung und Vorbereitung auf eine anspruchsvollere Compliance-Ära.

Anzeige

PS: Mit dem angekündigten Cybersecurity Act 2.0 steigen nicht nur die Anforderungen – auch die Bußgelder und Meldepflichten nehmen zu. Das Gratis‑E‑Book „Cyber Security Awareness Trends“ fasst kompakt Schutzmaßnahmen gegen Ransomware, Lieferkettenrisiken und Meldeprozesse zusammen, liefert Checklisten für IT- und Compliance‑Verantwortliche und zeigt, wie sich erste Compliance‑Schritte praktisch umsetzen lassen. Perfekt für Entscheider in kritischen Sektoren, die ihre Resilienz jetzt stärken müssen. Gratis‑E‑Book ‚Cyber Security Awareness Trends‘ sichern

@ boerse-global.de
Mach mehr aus deinem Geld: Erfahre live und kostenlos, welche Strategien am besten funktionieren. Jetzt anmelden.