Cybersicherheitspaket 2026

Der Vorschlag markiert einen Paradigmenwechsel: weg von rein technischen Standards hin zu einer strategischen, sicherheitspolitischen Regulierung der digitalen Infrastruktur in Europa.

Mit einer Verabschiedung wird - nach Abschluss der Trilog-Verhandlungen - frühestens Ende 2026 oder im Laufe des Jahres 2027 gerechnet.

Zusammenfassung

Hauptsäulen des Cybersicherheitspaketes

Gemäß des neuen Vorschlags soll die fragmentierte Sicherheitslandschaft in der EU integriert und somit eine Reaktion auf die veränderte geopolitische Lage dargestellt werden.

a) Stärkung der ENISA

Die EU-Agentur für Cybersicherheit (ENISA) erhält ein erweitertes Mandat und soll zur zentralen Drehscheibe werden:

  • Verwaltung EU-weiter Repositorien für Bedrohungen und Vorfälle.
  • Koordinierung groß angelegter Cybersicherheitsübungen.
  • Unterstützung der Mitgliedstaaten bei der Marktüberwachung von zertifizierten Produkten.

b) Reform des Zertifizierungsrahmens

Während der Cybersecurity Act von 2019 primär auf freiwillige Zertifizierungen setzte, führt der neue Vorachlag wichtige Neuerungen ein:

  • De-facto-Verpflichtung: In bestimmten kritischen Bereichen (z. B. Cloud-Dienste für staatliche Stellen oder hochkritische ICT-Produkte) kann die Kommission durch Durchführungsrechtsakte eine Zertifizierung verpflichtend vorschreiben.
  • Cyber-Posture-Zertifikate: Es werden Zertifizierungen auf Unternehmensebene eingeführt, die die allgemeine Cybersicherheits-Reife einer Organisation bestätigen (eng verzahnt mit der NIS-2-Richtlinie).

c) Sicherheit der ICT-Lieferkette (Supply Chain Security)

Es lässt sich festhalten, dass es sich bei diesem Aspekt um das politischste Element des Vorschlags handelt:

  • High-Risk Vendor Management: Die EU erhält Instrumente, um Anbieter in kritischen Sektoren (wie Energie oder Telko) als „Hochrisiko-Anbieter“ einzustufen und deren Produkte ggf. vom Markt auszuschließen.
  • Risikobewertungen: Koordinierte Sicherheitsüberprüfungen der Lieferketten für strategisch wichtige Technologien.

 

Zusammenspiel mit NIS 2

Parallel zum Cybersecurity Act wurde ein Vorschlag zur Änderung der NIS-2-Richtlinie veröffentlicht. Ziel ist es, die Compliance-Anforderungen zu vereinfachen: Wenn ein Unternehmen ein „Cyber-Posture-Zertifikat“ nach dem neuen CSA 2 besitzt, soll dies als Nachweis für die Erfüllung bestimmter Risikomanagement-Pflichten unter NIS 2 gelten (Simplification Measures).