EU-Kommission will Cybersicherheit mit neuen Regeln revolutionieren

Brüssel verschärft den Kampf gegen Cyberangriffe mit einem umfassenden Gesetzespaket. Die Reform soll Europas digitale Souveränität stärken und Unternehmen entlasten.

Brüssel. Die Europäische Union rüstet sich für den digitalen Ernstfall. In Reaktion auf eine wachsende Flut von Hackerangriffen auf kritische Infrastrukturen und demokratische Institutionen hat die EU-Kommission eine weitreichende Reform der Cybersicherheitsvorschriften vorgelegt. Kern ist eine umfassende Überarbeitung des EU-Cybersicherheitsgesetzes (Cybersecurity Act). Ziel ist es, verbindliche Standards zu schaffen und die Abwehrfähigkeit der gesamten Union gegen staatliche und kriminelle Cyber-Bedrohungen zu erhöhen.

Die am 20. Januar präsentierten Pläne zielen darauf ab, die digitale Widerstandsfähigkeit in 18 kritischen Sektoren – von Energie über Gesundheit bis zum Finanzwesen – zu vereinheitlichen. Ein zentrales Anliegen ist es, die Fragmentierung des europäischen Binnenmarktes zu beenden und Unternehmen klare Regeln zu geben. Doch kann Brüssel mit Bürokratie gegen hochgerüstete Hackerbanden und staatliche Akteure gewinnen?

Passend zum Thema EU‑Reform und wachsende Cyber-Bedrohungen: Viele Unternehmen unterschätzen, welche Pflichten und Schutzmaßnahmen jetzt anstehen. Der kostenlose E‑Book‑Leitfaden „Cyber Security Awareness Trends“ erklärt praxisnah, welche Schritte IT‑Verantwortliche und Geschäftsführer sofort umsetzen müssen — von Risikobewertung über Meldepflichten bis zu einfachen, budgetfreundlichen Abwehrmaßnahmen gegen Ransomware und Phishing. Ideal für mittelständische Betriebe, die Compliance und Abwehr schnell stärken wollen. Kostenlosen Cyber‑Security‑Guide herunterladen

Lieferketten unter verschärfter Beobachtung

Ein Herzstück der Reform ist ein neues Rahmenwerk zur Sicherung von IKT-Lieferketten. Die EU will damit gezielt Risiken angehen, die von Anbietern aus Drittstaaten ausgehen, bei denen Sicherheitsbedenken bestehen. Konkret plant Brüssel koordinierte Risikobewertungen auf Unionsebene. Diese sollen Schwachstellen in spezifischen Lieferketten aufdecken.

Basierend auf diesen Analysen könnten gezielte Gegenmaßnahmen folgen. Diese reichen bis zu einem möglichen Verbot von Komponenten Hochrisiko-Anbieter in Schlüsselinfrastrukturen. Besonders im Blick hat die Kommission dabei die Mobilfunknetze. Hier soll, aufbauend auf der bereits bestehenden 5G-Security-Toolbox, eine verbindliche Risikominimierung durchgesetzt werden. Ein klarer Schlag gegen umstrittene Ausrüster?

Zertifizierung: Schneller, einfacher, praxistauglicher

Ein weiterer großer Brocken ist die Vereinfachung des europäischen Zertifizierungsrahmens für Cybersicherheit (ECCF). Bisher litten Unternehmen unter langwierigen Verfahren, etwa bei Zertifizierungen für Cloud-Dienste oder digitale Identitäten. Künftig soll die Entwicklung neuer Zertifizierungsschemata standardmäßig innerhalb von zwölf Monaten abgeschlossen sein.

Die überarbeiteten Zertifikate sollen zu einem praktikablen, freiwilligen Instrument werden. Ein einmal erlangtes Zertifikat könnte als Nachweis für die Einhaltung verschiedener Vorschriften wie der NIS2-Richtlinie oder dem Cyber Resilience Act (CRA) dienen. Das würde Doppelprüfungen vermeiden und den bürokratischen Aufwand für Unternehmen erheblich senken. Der Anwendungsbereich wird ausgeweitet: Künftig sollen nicht nur Produkte, sondern auch die allgemeine Cyber-Hygiene von Organisationen zertifiziert werden können.

ENISA wird zur digitalen Feuerwehrzentrale

Die EU-Agentur für Cybersicherheit (ENISA) erhält deutlich mehr Macht und Ressourcen. Sie soll zur zentralen operativen Drehscheibe im Kampf gegen Cyberangriffe ausgebaut werden. Ihre neuen Aufgaben umfassen die Herausgabe von Frühwarnungen, die Unterstützung bei der Abwehr von Ransomware-Angriffen in Zusammenarbeit mit Europol und die Koordinierung von Notfallteams (CSIRTs).

Zudem wird ENISA eine wichtigere Rolle bei der Entwicklung internationaler Cybersicherheitsstandards spielen und sicherstellen, dass diese mit EU-Recht und -Werten vereinbar sind. Die gestärkte Agentur soll auch die Aufsicht über große, grenzüberschreitend tätige Konzerne erleichtern – eine Aufgabe von wachsender Bedeutung.

Entlastung für Zehntausende Unternehmen

Das Reformpaket ist eng mit Änderungen an der NIS2-Richtlinie verknüpft, die für rund 28.700 Unternehmen in der EU gilt. Die Kommission verspricht mehr Rechtsklarheit und geringere Compliance-Kosten. Eine neu eingeführte Kategorie für „kleine Mid-Cap-Unternehmen“ soll die Bürokratielast für weitere 22.500 Firmen senken.

Branchenvertreter begrüßen die Harmonisierungsbemühungen grundsätzlich. Sie erhoffen sich weniger regulatorische Zersplitterung zwischen den Mitgliedstaaten. Ergänzt werden die Maßnahmen durch den im „Digital Omnibus“ vorgeschlagenen zentralen Meldepunkt für Sicherheitsvorfälle, der ebenfalls von ENISA betrieben werden soll.

Die Vorschläge müssen nun vom Europäischen Parlament und den Mitgliedstaaten im Rat verhandelt werden. Nach der Verabschiedung tritt das revidierte Cybersecurity Act sofort in Kraft. Die Staaten haben dann ein Jahr Zeit, die NIS2-Änderungen umzusetzen. Experten sehen in dem Vorstoß einen Paradigmenwechsel: Cybersicherheit soll vom lästigen Pflichtthema zur strategischen Chefsache werden. Ob die neuen Regeln jedoch schnell genug kommen, um mit der dynamischen Bedrohungslage Schritt zu halten, bleibt die entscheidende Frage.

PS: Die neuen EU‑Regeln stärken ENISA und bringen neue Anforderungen an Dokumentation und Verantwortlichkeiten. Wer jetzt kurz- und mittelfristig priorisiert, vermeidet hohe Folgekosten. Der Gratis‑Leitfaden fasst die wichtigsten Vorgaben, Übergangsfristen und Sofortmaßnahmen zusammen – inklusive Checklisten für Geschäftsführung und IT‑Team, damit Sie gesetzeskonform und handlungsfähig bleiben. Jetzt Umsetzungsleitfaden zur Cyber‑Security herunterladen