EU-Staaten starten Finale im Rennen um Quanten-Verschlüsselung

Die EU-Mitgliedstaaten haben elf Monate Zeit, um ihre nationalen Strategien für die Ablösung heutiger Verschlüsselungstechniken zu finalisieren. Bis Jahresende müssen alle Länder konkrete Pläne vorlegen, wie sie ihre digitalen Systeme gegen die Bedrohung durch künftige Quantencomputer absichern wollen. Dieser Schritt ist die entscheidende Weichenstellung für Europas digitale Sicherheit im nächsten Jahrzehnt.

Countdown für nationale Schutzpläne läuft

Mit dem Jahresbeginn 2026 hat die finale Phase für die Umsetzung der Post-Quanten-Kryptografie (PQC) in der Europäischen Union begonnen. Die Europäische Kommission setzt den Mitgliedstaaten eine klare Deadline: Bis zum 31. Dezember 2026 müssen alle nationalen Strategien zur Migration auf quantenresistente Verschlüsselung vorliegen. Diese Roadmaps müssen detailliert darlegen, wie kritische Systeme von aktuellen Standards wie RSA und ECC migriert werden, die durch künftige Quantencomputer geknackt werden könnten.

Die Vorgabe geht über reine Planung hinaus. Die Staaten müssen Pilotprojekte für Hochrisiko-Anwendungen starten und Rahmenwerke für „kryptografische Agilität“ schaffen. Nur so können Algorithmen später nahtlos ausgetauscht werden. Während Vorreiter wie Frankreich und Deutschland mit ihren Cybersicherheitsbehörden ANSSI und BSI bereits Fortschritte machen, stehen andere Länder unter erheblichem Zeitdruck. Die kommenden Monate werden von Stakeholder-Identifikation, Abhängigkeitsanalysen und Risikobewertungen im öffentlichen Sektor geprägt sein.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind. Die EU fordert jetzt nationale Strategien zur Absicherung gegen Quantengefahren — doch viele Organisationen unterschätzen Grundlagen wie Awareness, Patch-Management und Lieferantenprüfung. Unser kostenloses E‑Book “Cyber Security Awareness Trends” zeigt praxisnah, welche Maßnahmen CISOs, Compliance-Verantwortliche und Betreiber kritischer Infrastrukturen sofort umsetzen können, von Anti-Phishing-Prozessen bis zu effektiven Pilotprojekten. Es erklärt zudem, wie Sie resilienter werden, ohne große Budgets aufzubauen. Gratis Cyber-Security-E-Book herunterladen

Warum die Eile? Die „Store Now, Decrypt Later“-Gefahr

Die Dringlichkeit erklärt sich aus der rasanten Entwicklung der Quantentechnologie. Zwar existiert ein für aktuelle Verschlüsselung relevantes Quantencomputer (CRQC) noch nicht, doch die Zeitschiene bis zu dessen Verfügbarkeit schrumpft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt das realistische Bedrohungsszenario auf 10 bis 15 Jahre.

Die eigentliche Gefahr liegt im „Store Now, Decrypt Later“-Modell (SNDL). Gegner können heute bereits verschlüsselte sensible Daten abfangen und speichern, um sie später mit Quantencomputern zu entschlüsseln. Für Daten mit langer Geheimhaltungsdauer – etwa Staatsgeheimnisse, Gesundheitsakten oder Baupläne kritischer Infrastrukturen – kann die Migration nicht warten, bis Quantencomputer einsatzbereit sind. Die EU-Roadmap sieht daher vor, dass Hochrisikosysteme bis 2030 vollständig migriert sein müssen. Die Pläne für 2026 sind die Grundlage für dieses Ziel.

Unternehmen und Kritische Infrastrukturen im Fokus

Die Deadline betrifft direkt die Regierungen, doch die Auswirkungen werden sofort in der Privatwirtschaft spürbar. Besonders betroffen sind Organisationen, die unter die NIS2-Richtlinie fallen und als „wesentlich“ oder „wichtig“ eingestuft sind.

Compliance-Verantwortliche und CISOs sollten ihre internen Zeitpläne an die nationalen Roadmaps anpassen. Mit den staatlichen Plänen werden voraussichtlich neue Vergabevorschriften einhergehen, die PQC-konforme Hardware und Software für öffentliche Aufträge vorschreiben. Branchen wie Energie, Finanzen, Telekommunikation und Gesundheitswesen müssen mit verschärfter regulatorischer Prüfung ihrer Verschlüsselungsbestände rechnen.

Experten raten Unternehmen, nicht auf nationale Gesetze zu warten. Die Empfehlung lautet: Kryptografische Bestandsaufnahme durchführen, Lieferantenbereitschaft prüfen und Pilotprojekte mit hybriden Implementationen starten, die PQC-Algorithmen mit traditionellen Methoden kombinieren.

Technische Harmonisierung als Schlüsselaufgabe

Ein zentraler Bestandteil der Implementierungsphase ist die Harmonisierung technischer Standards. Die EU-Roadmap betont die Abstimmung mit internationalen Bemühungen, insbesondere denen des US-National Institute of Standards and Technology (NIST), das 2024 seine ersten finalisierten PQC-Standards veröffentlichte.

Um Fragmentierung im Binnenmarkt zu vermeiden, ermutigt der EU-Plan zu einem koordinierten Ansatz bei der Algorithmenauswahl. Die Europäische Agentur für Cybersicherheit (ENISA) bietet hierfür technische Leitlinien. Die nationalen Pläne müssen zeigen, wie die Mitgliedstaaten verhindern wollen, dass „kryptografische Inseln“ entstehen, die grenzüberschreitende digitale Dienste behindern.

Der Weg bis 2035: Von der Planung zur Umsetzung

Die erfolgreiche Einreichung der nationalen Pläne Ende 2026 leitet die nächste Phase der EU-Strategie ein. Der Fokus verschiebt sich dann auf die aktive Migration von Hochprioritäts-Systemen, mit der strikten Deadline 2030 für kritische Infrastrukturen. Bis 2035 soll schließlich die Migration für Systeme mit mittlerem und niedrigem Risiko abgeschlossen sein – und Europas digitales Ökosystem damit „quantensicher“.

Die kommenden elf Monate sind ein entscheidender Test für die kollektive Cyber-Resilienz Europas. Die Botschaft aus Brüssel ist eindeutig: Die Ära der Vorbereitung ist vorbei, die Ära der Umsetzung hat begonnen.

PS: Unternehmen, die jetzt systematisch handeln, reduzieren das Risiko langfristiger “Store Now, Decrypt Later”-Angriffe und regulatorischer Sanktionen. Sichern Sie sich den kostenlosen Leitfaden mit praxisnahen Maßnahmen, umsetzbaren Checklisten und Empfehlungen für Pilotprojekte – ideal für Betreiber kritischer Infrastrukturen und Behörden. Jetzt kostenlosen Leitfaden zur Cyber-Resilienz sichern