EU-Cybersecurity-Paket – Erleichterung für Unternehmen

Europa wird ununterbrochen digital attackiert. Tag für Tag zielen Cyber- und hybride Angriffe auf zentrale Bereiche des öffentlichen und wirtschaftlichen Lebens – von Energie- und Verkehrssystemen über Behörden und Kliniken bis hin zu Unternehmen aller Größen. Die Angreifer sind hochprofessionelle staatliche Akteure sowie oftmals kriminelle Vereinigungen. Aufgrund der massiven digitalen Angriffe hat die EU-Kommission ein umfassendes neues Cybersecurity-Paket vorgestellt, um die Cybersicherheit in Europa spürbar zu stärken. Eine überfällige Revision des bereits 2019 formulierten Cybersecurity Acts hat inzwischen sechs Jahre auf sich warten lassen.

Globale Risiken ändern das Sicherheitsbedürfnis

Unsichere Drittstaaten werden zunehmend zu Gefahrenquellen für die Cybersicherheit in Europa. Der überarbeitete Cybersecurity Act soll einen harmonisierten, risikobasierten Rahmen für sichere ICT-Lieferketten (Information and Communications Technology Supply Chain Security) schaffen. Dazu wurden 18 Sektoren der kritischen Infrastruktur definiert, zu denen im Kern die Energieversorgung, die Gesundheitssysteme der Staaten sowie der europäische Transport- und Logistik-Sektor gehören. Die EU schafft mit dieser neuen Auflage des Papiers die Grundlage für ein verpflichtendes Derisking europäischer Mobilfunknetze gegenüber Hochrisiko-Anbietern. Was 2021 im Rahmen der 5G-Security-Toolbox angestoßen wurde, erfährt nun eine logische Fortführung.

Transparenz muss steigen – Kosten müssen fallen

Ein wesentlicher Schwachpunkt der Cybersicherheitsarchitektur von 2019 war ihre Überfrachtung. Aus Sicht der EU-Kommission zogen sich Zertifizierungsverfahren unnötig in die Länge, verursachten hohe Kosten und liefen in den Mitgliedstaaten zu uneinheitlich ab.

Das neue European Cybersecurity Certification Framework (ECCF) soll dies nachhaltig ändern und in wesentlichen Punkten verbessern:

• Zertifizierungsschemata müssen künftig innerhalb von zwölf Monaten entwickelt werden.
• Verfahren werden einheitlicher und transparenter.
• Unternehmen können ihre gesamte Cyberresilienz zertifizieren lassen – nicht nur Produkte.
• Zertifikate sollen als praktisches, freiwilliges Compliance-Werkzeug dienen und langfristig Kosten in den Unternehmen senken.

Zertifizierungen verschaffen europäischen Unternehmen einen spürbaren Vorsprung. Sie dienen als offizieller Nachweis, dass interne Prozesse und Produkte den zentralen EU-Vorgaben entsprechen – etwa den Anforderungen der NIS 2 Richtlinie oder des Cyber Resilience Acts. Wer diese Standards erfüllt, kann sich im Markt klarer positionieren und Vertrauen leichter gewinnen.

28.000 Unternehmen können mit Entlastungen rechnen

Laut EU-Kommission sollen Compliance- und Melde-Prozesse vereinheitlicht und vereinfacht werden.

Die geplanten Änderungen an der NIS-2-Richtlinie sollen:

• die Rechtslage klarer machen,
• Meldewege vereinfachen,
• die Aufsicht über grenzüberschreitende Unternehmen verbessern und
• die Kosten für über 28.000 kleine Mid-Cap-Unternehmen (Unternehmen mit 250 bis 3.000 Mitarbeitern) senken.

Darüber hinaus will die EU die Erfassung von Ransomware-Daten vereinheitlichen, um ein besseres Lagebild zu schaffen. Der aktuelle Vorschlag der EU soll nun in den Mitgliedstaaten diskutiert und im Idealfall bis zum Jahresbeginn 2027 in Kraft treten.

ENISA wird als zentrales Organ gestärkt

Vor sechs Jahren wurde mit der ENISA (European Union Agency for Cybersecurity) eine Europa-Zentrale für Cybersicherheit geschaffen. Die Agentur soll künftig nicht mehr nur beraten, sondern aktiv in die operative Sicherheit Europas eingreifen. Sie wird Frühwarnungen zu Bedrohungen herausgeben, Unternehmen bei der Bewältigung von Ransomware-Angriffen unterstützen und dabei eng mit Europol sowie den nationalen CSIRTs (Computer Security Incident Response Teams) zusammenarbeiten. Gleichzeitig entwickelt sie ein EU-weites System für das Vulnerability-Management, das Schwachstellen schneller sichtbar macht und koordiniert adressiert. Mit dem neuen Single Entry Point für Incident Reporting übernimmt die ENISA zudem eine Schlüsselfunktion im europäischen Meldewesen. Auch auf Europa-Ebene herrscht akuter Personalmangel, daher wird die ENISA-eigene Akademie in den kommenden Monaten erweitert.