Cyberangriffe auf Unternehmen, Krankenhäuser, Verwaltungen und kritische Infrastrukturen gehören in Europa inzwischen zum Alltag. Vor diesem Hintergrund hat die EU-Kommission am 20. Januar 2025 in Berlin die Überarbeitung des mehr als sechs Jahre alten EU Cybersecurity Act vorgestellt – ein zentrales Regelwerk für die digitale Sicherheit in der Europäischen Union.
Der Digitalverband Bitkom sieht in dem Vorschlag der Kommission wichtige Fortschritte, mahnt aber auch Nachbesserungen an. „Cybersicherheit muss schneller, klarer und weniger bürokratisch werden. Die Kommission macht mit der Revision des Cyber Security Act viele Regeln einfacher und die zuständige EU-Agentur für Cybersicherheit ENISA wird gestärkt“, sagte die Geschäftsleiterin des Bitkom, Susanne Dehmel. Aus Sicht des Verbands ist das ein Schritt hin zu mehr Verlässlichkeit für Unternehmen und Betreiber kritischer Infrastrukturen.
Besonders positiv bewertet Bitkom, dass Cybersicherheitszertifikate künftig stärker als anerkannter Nachweis dienen sollen, um Anforderungen aus anderen EU-Rechtsakten zu erfüllen. Ein solches Zertifikat kann dann etwa eine sogenannte Konformitätsvermutung begründen, zum Beispiel im Hinblick auf Vorgaben aus der NIS-2-Richtlinie oder dem Cyber Resilience Act. Das soll Rechtssicherheit schaffen und Doppelprüfungen vermeiden helfen, wenn Unternehmen bereits nach einem EU-Standard zertifiziert sind.
Wesentlich ist aus Bitkom-Sicht auch die Rolle der EU-Agentur ENISA. Sie soll künftig verstärkt Plattformen und Werkzeuge für Meldungen von Sicherheitsvorfällen bereitstellen und Lagebilder zur Cybersicherheitslage in der EU betreiben und weiter ausbauen. Die Kommission will dafür zusätzlich Geld bereitstellen: Für den nächsten EU-Haushaltszeitraum von 2028 bis 2034 erhält ENISA durchschnittlich 49 Mio. Euro pro Jahr extra. Nach Ansicht des Verbands ist diese finanzielle Stärkung folgerichtig und notwendig, um die erweiterten Aufgaben erfüllen zu können.
Gleichzeitig sieht Bitkom zentrale Ziele der Reform noch nicht erreicht. Die EU-Kommission verfolgt das Prinzip „ein Vorfall, eine Meldung“, um Unternehmen von Bürokratie zu entlasten. Dehmel warnt jedoch, dass dieses Ziel mit den bisherigen Plänen kaum umzusetzen sei: „Das Prinzip ‚ein Vorfall, eine Meldung‘ kann nur dann Realität werden, wenn die vielen Meldepflichten aus unterschiedlichen Regelwerken – etwa NIS-2, Cyber Resilience Act, Datenschutz-Grundverordnung – konsequent aufeinander abgestimmt werden. Sonst bleibt es in der Praxis bei parallelen Meldewegen und unnötigem Aufwand.“ Aus Unternehmenssicht drohen damit weiterhin mehrere, teils überschneidende Berichtspflichten an verschiedene Stellen.
Kritisch sieht Bitkom zudem die geplante verpflichtende Auslaufphase für Komponenten bestimmter, später zu benennender ausländischer Hersteller in kritischen Sektoren. Der Verband fordert, bereits bestehende nationale Pläne in den EU-Regelungen zu berücksichtigen. In Deutschland haben Telekommunikationsanbieter mit dem Bund bereits vertragliche Vereinbarungen zum Ausbau entsprechender Komponenten aus ihren Netzen getroffen. Diese Absprachen und Fristen müssten nach Auffassung von Bitkom Bestand haben, um laufende Projekte nicht zu gefährden und die Digitalisierungsziele nicht auszubremsen.
Mit der Revision des Cybersecurity Act will die EU-Kommission die Sicherheitsanforderungen an digitale Systeme und Dienste an die aktuelle Bedrohungslage anpassen. Die Reaktionen aus der Digitalwirtschaft zeigen, dass viele der vorgeschlagenen Änderungen als sinnvoll angesehen werden, gleichzeitig aber die konkrete Ausgestaltung der Meldepflichten und der Umgang mit ausländischen Komponenten in kritischen Infrastrukturen weiter für Diskussionen sorgen dürfte.
