Direkt zum Inhalt wechseln
Beitrag

EU Cybersecurity Act 2 – Vorschlag für einen überarbeiteten Rechtsrahmen für IT-Sicherheit in Europa

Datenschutzrecht IT-Recht Data-Compliance IT-Sicherheit Künstliche Intelligenz

Mit einem neuen Cybersicherheitspaket (Cybersecurity Act 2) will Brüssel die Cybersicherheit in der EU auf ein neues Level heben: Verpflichtende Zertifizierungen, striktere Aufsicht und eine stärkere ENISA sollen den digitalen Binnenmarkt widerstandsfähig gegen aktuelle und künftige Bedrohungen machen. Auch die Vorgaben für Unternehmen nach der NIS-2-Richtlinie stehen auf dem Prüfstand.

Die EU-Kommission hat am 20. Januar 2026 einen Vorschlag zur umfassenden Reform des bestehenden Cybersecurity Acts vorgelegt. Ziel ist es, das Sicherheitsniveau im europäischen digitalen Binnenmarkt weiter deutlich zu erhöhen und die Fragmentierung bestehender Vorgaben zu überwinden. Vor dem Hintergrund zunehmender Bedrohungen – von staatlichen Angriffen über Cyberkriminalität bis hin zu Risiken durch Künstliche Intelligenz und Cloud-Dienste – sollen die gesetzlichen Anforderungen zeitgemäß angepasst und harmonisiert werden.

Kernziele des Vorschlags sind:

  • Verbindliche Cybersicherheitszertifizierung: Verpflichtende Zertifizierung von Produkten, Diensten und Prozessen, die für den europäischen Markt bestimmt sind.
  • Stärkung der europäischen Cybersicherheitsagentur (ENISA): Erweiterte Aufgaben zur Koordinierung, Überwachung und technischen Unterstützung.
  • Effektive Durchsetzung und Marktüberwachung: Bessere Nachvollziehbarkeit, einheitliche Kontrollen und schärfere Aufsicht durch zentrale Stellen.
  • Technologische Anpassungsfähigkeit: Flexible Regulierung, die zukunftsweisende Technologien wie KI, Quantencomputing und hochkritische Cloud-Angebote adressiert.

Wesentliche Regelungsinhalte

Der Vorschlag sieht weitreichende Änderungen gegenüber der geltenden Rechtslage vor:

  • Verpflichtende Zertifizierungen: Für ausgewählte IT-Produkte und -Dienste werden Cybersicherheitszertifikate künftig zur Pflicht. Die Europäische Kommission legt fest, für welche Bereiche die Anforderungen zwingend gelten.
  • Erweiterte Kompetenzen für ENISA: Die Agentur wird zur zentralen Koordinationsstelle für Zertifizierung, Aufsicht und Unterstützung der Mitgliedstaaten ausgebaut.
  • Harmonisierung der Abläufe: Einführung eines „One-Stop-Shop“-Prinzips für die Anerkennung und Überwachung von Zertifikaten in der gesamten EU.
  • Berücksichtigung neuer Technologien: Schutzmaßnahmen und Zertifizierungsanforderungen werden dynamisch weiterentwickelt, um den Fortschritt in Bereichen wie KI, IoT und Cloud abzubilden.

Auswirkungen auf die NIS-2-Richtlinie

Ein zentrales Moment des Kommissionsvorschlags ist die direkte Anpassung und Weiterentwicklung der NIS-2-Richtlinie. Besonderheiten:

  • Engere Verzahnung mit Zertifizierungsprozessen: Die bisher getrennten Anforderungen an Risikomanagement und technische Schutzmaßnahmen werden künftig in einheitliche Verfahren integriert.
  • Neue Compliance-Pflichten: Betreiber wesentlicher und wichtiger Dienste müssen künftig nicht nur die Anforderungen der NIS-2 umsetzen, sondern zusätzlich verbindliche Cybersicherheitszertifizierungen nachweisen.
  • Einheitliches Prüf- und Meldesystem: Durch die Harmonisierung von Zertifizierung und NIS-2-Pflichten wird das Nachweis- und Überwachungssystem für Unternehmen transparenter, aber auch deutlich strenger.

Fazit

Mit dem Cybersecurity Act 2 steht Europa vor einem Paradigmenwechsel im IT-Sicherheitsrecht. Für Unternehmen bedeutet dies: Mehr Vorgaben, höhere Zertifizierungsanforderungen und eine verschärfte Aufsicht.