Die EU-Kommission will Europas digitale Abwehrkräfte massiv ausbauen. Ein neuer Gesetzesvorschlag sieht strengere Regeln für KI, digitale Dienste und kritische Lieferketten vor – eine direkte Antwort auf wachsende Cyber-Bedrohungen und geopolitische Spannungen.
Der Entwurf für einen überarbeiteten EU Cybersecurity Act, bereits als „Cybersecurity Act 2.0“ bezeichnet, zielt darauf ab, die Widerstandsfähigkeit des Blocks gegen hochkomplexe Angriffe zu stärken. Kern ist eine umfassende Revision, die mit dem geplanten Cloud and AI Development Act (CADA) verzahnt werden soll. Das übergeordnete Ziel: mehr technologische Souveränität und „Security by Design“ für alle digitalen Produkte in der EU.
Lieferketten-Sicherheit wird zur geopolitischen Frage
Ein Herzstück des Vorschlags ist ein erstes EU-weites Rahmenwerk für die Sicherheit von IKT-Lieferketten. Die Kommission soll künftig Unionsebene Risikobewertungen durchführen und „kritische IKT-Vermögenswerte“ identifizieren können. Diese sind für essentielle Dienste in allen 18 kritischen Sektoren der EU unverzichtbar.
Viele Unternehmen sind auf die neuen EU‑Vorschriften zu KI, Cloud und Lieferketten nicht ausreichend vorbereitet. Die Kombination aus CADA, Cybersecurity Act 2.0 und NIS2 erhöht Compliance- und Sicherheitsanforderungen – und schafft neue Haftungsrisiken. Das kostenlose E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen sowie konkrete Schutzmaßnahmen zusammen und zeigt, wie IT‑Verantwortliche mit überschaubarem Aufwand Security‑Prozesse, Lieferketten‑Checks und Awareness‑Maßnahmen stärken können. Jetzt kostenlosen Cyber-Security-Report herunterladen
Das bedeutet konkret: Die EU und ihre Mitgliedstaaten können künftig gemeinsam Bedrohungen erkennen und abwehren. Für Telekommunikationsunternehmen, die auf Komponenten aus potenziell risikobehafteten Drittstaaten angewiesen sind, hat das erhebliche Konsequenzen. Der Vorschlag ermöglicht sogar den verpflichtenden Ausstieg aus Hochrisiko-Lieferanten bei kritischer Infrastruktur wie Mobilfunknetzen. Eine klare Weiterentwicklung des 5G-Sicherheitstoolbox – Lieferketten werden endgültig zur Chefsache erklärt.
Zertifizierung wird zum Schlüssel für weniger Bürokratie
Ein weiteres Ziel ist die Entschlackung des bestehenden European Cybersecurity Certification Framework (ECCF). Bisher als schwerfällig kritisiert, soll die Zertifizierung zum praktischen Werkzeug für Unternehmen werden, um EU-Konformität nachzuweisen. Die Governance wird agiler: Neue Zertifizierungsschemata sollen standardmäßig binnen zwölf Monaten entwickelt sein.
Der Anwendungsbereich wird ausgeweitet. Künftig können Unternehmen nicht nur einzelne Produkte, sondern ihr gesamtes Cybersecurity-Risikomanagement inklusive Lieferketten-Praktiken zertifizieren lassen. Ein solches Zertifikat könnte dann als Nachweis der Konformität mit anderen Vorschriften wie der NIS2-Richtlinie dienen – ein potenzieller Bürokratieabbau für die Wirtschaft. Die Industrie begrüßt den Ansatz grundsätzlich, pocht aber darauf, dass die Schemata freiwillig und international kompatibel bleiben müssen.
ENISA wird zum operativen Cybersicherheits-Zentrum
Die EU-Cybersicherheitsagentur ENISA erhält deutlich mehr Macht und operative Aufgaben. Sie wandelt sich von einer koordinierenden Stelle zum zentralen Hub für Cyber-Operationen in der EU. Zu ihren neuen Pflichten gehören Frühwarnungen vor großen Cyber-Bedrohungen und Analysen zu neuen Risiken – auch im Bereich Künstliche Intelligenz.
Operativ wird ENISA Mitgliedstaaten bei schwerwiegenden Cyber-Vorfällen direkt unterstützen und Unternehmen, in Kooperation mit Europol, bei der Bewältigung von Ransomware-Angriffen helfen. Die Agentur wird außerdem den neuen EU Cybersecurity Reserve verwalten, einen Pool vertrauenswürdiger Incident-Response-Anbieter, und die europäische Schwachstellen-Datenbank pflegen. Zudem soll ENISA die Fachkräftelücke angehen und ein europäisches Attestierungsverfahren für Cybersicherheits-Experten pilotieren.
Zwischen Sicherheit und Wettbewerbsfähigkeit
Der Vorstoß erfolgt in einer Phase, die die Kommission als zunehmend feindselige Bedrohungslage beschreibt. Die Demokratisierung KI-gestützter Angriffe und die Vernetzung der Infrastruktur haben Schwachstellen offengelegt. Der Vorschlag ergänzt den CADA, der hochkritische Anwendungen des öffentlichen Sektors in sichere, EU-basierte Cloud- und KI-Dienste zwingen soll.
Die Reaktionen aus der Wirtschaft sind gespalten. Verbände wie DIGITALEUROPE unterstützen das Ziel vereinfachter Regeln, mahnen aber Verhältnismäßigkeit an. Neue Lieferketten-Regeln müssten auf klaren Risikobewertungen basieren, um Innovation nicht zu ersticken. Digitale Bürgerrechtsgruppen warnen indes vor möglichen Schwächungen der Netzneutralität und zu viel Macht für die Kommission. Die EU muss also einen schwierigen Spagat meistern: mehr Sicherheit bei einem gleichzeitig offenen digitalen Binnenmarkt.
Der Gesetzgebungsprozess mit Parlament und Rat beginnt nun. Eine konkrete Timeline gibt es noch nicht. Nach der Verabschiedung haben die Mitgliedstaaten ein Jahr Zeit zur nationalen Umsetzung. Die langfristigen Auswirkungen dürften tiefgreifend sein: verpflichtende Sicherheit über den gesamten Lebenszyklus und mehr Lieferketten-Kontrolle für Unternehmen – und ein entscheidender Schritt der EU auf dem Weg zur digitalen Souveränität.
PS: Schon gewusst? Viele Mittelständler, die auf EU‑Zertifikate setzen, verhindern teure Nachrüstungen und Zulassungsprobleme. Der Gratis‑Leitfaden erklärt, welche Nachweise jetzt gefordert werden, wie ENISA‑Center und die geplante Cyber‑Reserve Unternehmen praktisch unterstützen und welche schnellen Maßnahmen IT‑Teams sofort umsetzen können. Praktische Checklisten helfen bei Lieferketten‑Risikoanalysen und Incident‑Response‑Vorbereitung. Gratis-E‑Book zur Cyber-Security anfordern
