Neues Cybersicherheits-Paket der EU-Kommission geplant

Warum die EU jetzt handelt

Cyberangriffe gehören längst zum Alltag.

Kritische Infrastrukturen, Unternehmen und sogar demokratische Institutionen sind regelmäßig betroffen. Die Bedrohungslage wächst – technisch, geopolitisch und wirtschaftlich.

Vor diesem Hintergrund schlägt die EU-Kommission ein neues Cybersicherheitspaket vor.

Das übergeordnete Ziel: Die Resilienz und die Kapazitäten der EU im Bereich der Cybersicherheit weiter stärken.

Mehr Sicherheit für europäische IKT-Lieferketten

Ein zentraler Baustein betrifft die Sicherheit von Informations- und Kommunikationstechnik (IKT).

Künftig sollen:

• Risiken durch Lieferanten aus Drittländern mit Cybersicherheitsbedenken minimiert werden
• verpflichtende Ausstiegsfristen für Hochrisiko-Komponenten eingeführt werden
• technische Sicherheitsaspekte ebenso berücksichtigt werden wie Abhängigkeiten und mögliche Einflussnahme aus dem Ausland

Geplant ist ein harmonisierter, verhältnismäßiger und risikobasierter Rahmen für sichere IKT-Lieferketten.

Für Unternehmen bedeutet das:
Lieferantenbeziehungen und eingesetzte Komponenten werden noch stärker unter regulatorischem Blick stehen.

Neuer Anlauf bei der Cybersicherheitszertifizierung

Ein weiterer Schwerpunkt ist die Reform des europäischen Zertifizierungsrahmens.

Der erneuerte European Cybersecurity Certification Framework (ECCF) soll:

• Verfahren vereinfachen und beschleunigen
• für mehr Klarheit und transparente Governance sorgen
• ENISA-Zertifizierungssysteme als freiwilliges Instrument etablieren
• Unternehmen ermöglichen, auch ihre Cyberabwehr zertifizieren zu lassen

Die Idee dahinter: Zertifikate sollen nicht nur Sicherheit schaffen, sondern auch ein Wettbewerbsvorteil für EU-Unternehmen sein.

Zugleich sollen Cybersicherheitszertifikate künftig als Nachweis für Anforderungen anderer EU-Rechtsakte dienen können. Das schafft Rechtssicherheit und vermeidet Doppelprüfungen.

ENISA im Zentrum der europäischen Cyberabwehr

Die europäische Cybersicherheitsagentur ENISA soll deutlich gestärkt werden.

Konkret vorgesehen sind unter anderem:

• Frühwarnmechanismen bei Cyberbedrohungen
• Unterstützung bei der Reaktion auf Ransomware-Angriffe
• ein unionsweites Konzept für verbessertes Schwachstellenmanagement
• eine zentrale Meldestelle für Sicherheitsvorfälle

Ziel ist eine bessere Koordinierung grenzüberschreitender Risiken und eine effektivere Zusammenarbeit der Behörden.

Was ändert sich bei der NIS2-Richtlinie?

Das Cybersicherheitspaket enthält konkrete Änderungsvorschläge zur NIS2-Richtlinie.

Mehr Klarheit beim Anwendungsbereich

Die Kommission will:

• Definitionen präzisieren und Rechtssicherheit erhöhen
• den Compliance-Aufwand für zehntausende Unternehmen reduzieren
• eine neue Kategorie „small mid-caps“ einführen, um Compliance-Kosten zu senken

Hintergrund sind Praxiserfahrungen aus der bisherigen Umsetzung sowie neue Bedrohungen und politische Entwicklungen.

Stärkere Harmonisierung bei technischen Anforderungen

Ein besonders praxisrelevanter Punkt:

Wenn die Kommission Durchführungsrechtsakte zu technischen und methodischen Anforderungen erlässt, sollen Mitgliedstaaten für die betroffenen Unternehmen keine zusätzlichen nationalen Sonderanforderungen mehr vorgeben dürfen.

Das Ziel ist ein echter Harmonisierungseffekt – und weniger regulatorischer Flickenteppich innerhalb der EU.

Verschärfte Vorgaben bei Ransomware

Im Bereich Incident Reporting sollen für Ransomware-Angriffe verbindliche Mindest-Datenpunkte festgelegt werden, etwa:

• ob der Angriff erkannt wurde
• welcher Angriffsvektor genutzt wurde
• welche Gegenmaßnahmen ergriffen wurden

Bei erheblichen Vorfällen können Behörden zudem Angaben zu Lösegeldforderungen und Zahlungen verlangen, inklusive Betrag, Empfänger und gegebenenfalls beteiligter Krypto-Dienstleister.

Unternehmen müssen sich daher auf eine noch strukturiertere Dokumentation und erweiterte Meldepflichten einstellen.

Neues „Cyber-Posture“-Zertifikat

Ergänzend ist eine neue Cyber-Posture-Zertifizierung vorgesehen.

Mitgliedstaaten können wesentliche und wichtige Einrichtungen verpflichten, ein solches Zertifikat zu erlangen.

Wichtig:

• Deckt das Zertifikat definierte Anforderungen ab, sollen keine zusätzlichen Aufsichtsmaßnahmen angeordnet werden.
• Die Zertifizierung entbindet jedoch nicht von der Verantwortung für die vollständige NIS2-Compliance.

Damit entsteht ein zusätzlicher Baustein im Compliance-Management – mit Chancen für mehr Transparenz, aber auch mit zusätzlichem Organisationsaufwand.

Zwischen Zustimmung und Kritik

Das Paket wird in weiten Teilen positiv aufgenommen – insbesondere die angestrebte Vereinfachung, klarere Strukturen und die Vermeidung von Doppelprüfungen.

Auch die Stärkung der ENISA wird grundsätzlich begrüßt.

Gleichzeitig gibt es kritische Stimmen:

• Das Ziel „ein Vorfall, eine Meldung“ sei nur erreichbar, wenn Meldepflichten aus verschiedenen Regelwerken besser aufeinander abgestimmt werden.
• Verpflichtende Auslaufphasen für bestimmte ausländische Komponenten könnten laufende Digitalisierungsprojekte gefährden.
• Eine engere Abstimmung mit nationalen Regelungen wird gefordert, um Praxisnähe und Umsetzbarkeit sicherzustellen.

Fazit: Mehr Sicherheit – aber auch neue Prüfsteine

Das geplante Cybersicherheitspaket verfolgt ein klares Ziel: Mehr Resilienz, mehr Harmonisierung und mehr Vertrauen in europäische digitale Infrastrukturen.

Für Unternehmen bedeutet das:

• stärkere Anforderungen an Lieferketten
• neue Möglichkeiten – aber auch Pflichten – im Bereich Zertifizierung
• weiterentwickelte Melde- und Dokumentationspflichten

Jetzt ist der richtige Zeitpunkt, bestehende Strukturen zu prüfen.

Insbesondere im Hinblick auf NIS2, Ransomware-Reporting und mögliche Zertifizierungspflichten sollten Unternehmen ihre Governance-, Risiko- und Compliance-Prozesse frühzeitig anpassen.

ISiCO unterstützt Sie dabei, die regulatorischen Neuerungen strategisch einzuordnen und praxisnah umzusetzen.