EU-Kommission legt umfassendes Cybersicherheits-Paket vor

Die EU-Kommission will mit einem neuen Gesetzespaket die digitale Verteidigung des Blocks grundlegend stärken. Der Vorschlag zielt auf sichere Lieferketten, weniger Bürokratie für Unternehmen und eine schlagkräftigere EU-Agentur ab.

Brüssel. In einer Reaktion auf wachsende Cyber-Bedrohungen und strategische Abhängigkeiten hat die EU-Kommission diese Woche einen umfassenden Gesetzesentwurf vorgelegt. Das Paket, bestehend aus einer grundlegenden Überarbeitung des EU-Cybersicherheitsgesetzes und gezielten Änderungen an der NIS2-Richtlinie, soll den digitalen Binnenmarkt widerstandsfähiger machen. Im Fokus stehen drei Kernbereiche: die Sicherheit der Technologie-Lieferkette, die Vereinfachung von Compliance für zehntausende Firmen und die Aufwertung der EU-Agentur für Cybersicherheit (ENISA).

Ein Herzstück des Vorschlags ist ein erstes EU-weites Regelwerk für die Sicherheit von IT-Lieferketten. Es soll nicht-technische und strategische Risiken adressieren – etwa unzulässige ausländische Einflussnahme oder kritische Abhängigkeiten von Drittstaaten. Die Kommission könnte künftig „wesentliche IT-Vermögenswerte“ identifizieren, die von wichtigen Einrichtungen in der EU genutzt werden.

Die EU will Lieferketten härter absichern – doch viele Firmen sind für die Praxis zu wenig vorbereitet. Unser kostenloses E‑Book „Cyber Security Awareness Trends“ erklärt kompakt, welche Bedrohungen jetzt relevant sind, welche neuen EU‑Regeln (inkl. KI‑Regulierung) Sie beachten müssen und wie Sie mit pragmatischen Maßnahmen Ihre IT‑Resilienz stärken können – ohne große Investitionen. Inklusive praktischer Checkliste für IT‑Verantwortliche. Jetzt kostenlosen Cybersecurity-Guide herunterladen

Dies würde es der EU und ihren Mitgliedstaaten ermöglichen, gezielte Maßnahmen gegen Risikolieferanten zu ergreifen. Konkret sollen verbindliche Regeln geschaffen werden, die Telekommunikationsanbieter zum Austausch von Hochrisiko-Ausrüstung verpflichten. Diese Maßnahme zielt klar auf chinesische Anbieter wie Huawei und ZTE in sensiblen Teilen der 5G-Netze ab. Für Mobilfunkbetreiber ist eine dreijährige Umsetzungsfrist vorgesehen. Analysten sehen in diesem „robusten Souveränitätsansatz“ auch einen Schritt, der dominante US-Techkonzerne in Bereichen wie Cloud-Diensten treffen könnte.

Weniger Bürokratie für 28.700 Unternehmen

Um den Verwaltungsaufwand zu verringern, enthält das Paket Änderungen an der NIS2-Richtlinie. Sie sollen für mehr Rechtssicherheit sorgen und die Compliance für schätzungsweise 28.700 Unternehmen erleichtern, darunter 6.200 Kleinst- und Kleinunternehmen. Eine Vereinfachung ist die Einführung einer neuen Kategorie für kleinere Mittelständler, die etwa 22.500 Firmen entlasten soll.

Zudem soll das europäische Zertifizierungssystem für Cybersicherheit (ECCF) beschleunigt werden. Eine Neuerung sind unternehmensweite Cybersicherheits-Zertifikate. Diese bescheinigen nicht nur einzelne Produkte, sondern das gesamte Sicherheitsmanagement einer Organisation – inklusive Governance und Risikosteuerung. Branchenverbände wie der deutsche Bitkom begrüßen diesen Ansatz. Werden diese Zertifikate auch für die Erfüllung anderer Vorschriften wie dem Cyber-Resilience-Gesetz anerkannt, könnte das Doppelprüfungen reduzieren.

ENISA wird zum operativen Zentrum ausgebaut

Die EU-Agentur für Cybersicherheit (ENISA) erhält eine deutlich gestärkte, operative Rolle. Mit mehr Budget und Personal soll sie zu einer Drehscheibe der EU-Verteidigungsstrategie werden. Zu ihren neuen Aufgaben zählen die Erstellung von Cyber-Bedrohungsdatenbanken, die Ausgabe von Frühwarnungen und der Betrieb einer zentralen Meldestelle für Sicherheitsvorfälle.

ENISA soll die Mitgliedstaaten auch bei der Kapazitätsbildung unterstützen, die internationale Zusammenarbeit fördern und ein jährliches Programm für EU-weite Cyber-Übungen koordinieren. Diese erweiterte Funktion soll die Aufsicht über grenzüberschreitende Unternehmen erleichtern und die Reaktion auf großflächige Angriffe wie Ransomware verbessern. Die Agentur wird auch bei der Umsetzung des neuen Zertifizierungsrahmens eine zentrale Rolle spielen.

Reaktionen und Ausblick

Der Vorstoß erfolgt in einer Zeit, in der die EU angesichts geopolitischer Spannungen und anspruchsvoller Cyberangriffe auf ihre „technologische Souveränität“ pocht. Das Vorgängergesetz von 2019 wurde für seine schleppende Umsetzung kritisiert; seither wurde nur ein einziges EU-Zertifizierungsschema offiziell angenommen.

Die Industrie reagiert vorsichtig optimistisch. Der Bitkom lobt die Ziele der Vereinfachung und Entbürokratisierung. Allerdings mahnt der Verband, dass das Ziel „ein Vorfall, eine Meldung“ nur erreicht werden kann, wenn die zahlreichen Meldepflichten aus Richtlinien wie NIS2, DORA und der DSGVO besser aufeinander abgestimmt werden. Zudem müsse der verpflichtende Austausch von Komponenten bestehende nationale Vereinbarungen berücksichtigen, um laufende Digitalisierungsprojekte nicht zu gefährden.

Die Gesetzesvorschläge gehen nun in die Verhandlungen von Europäischem Parlament und Rat. Eine Einigung wird von Unternehmen in allen kritischen Sektoren aufmerksam verfolgt – sie bereiten sich auf eine neue, strengere Ära der Cybersicherheit in Europa vor.

PS: Sie bereiten sich auf strengere Zertifizierungs‑ und Meldepflichten vor? Tausende Mittelständler nutzen unseren Gratis‑Leitfaden, um Compliance-Lücken zu schließen und Ransomware‑Risiken zu senken. Der Report bietet konkrete Schritte für Awareness, Meldeprozesse und Lieferketten‑Kontrollen, die schnell umsetzbar sind – ideal für Geschäftsführer, Compliance- und IT‑Leiter. Gratis E‑Book zur Cybersecurity jetzt sichern