Am 20. Januar 2026 hat die Europäische Kommission den Entwurf für eine umfassende Überarbeitung des EU Cybersecurity Act vorgelegt. Exekutiv-Vizepräsidentin Henna Virkkunen betonte bei der Vorstellung, dass sich Europa inmitten einer hybriden Kriegsführung befinde, in der kritische Infrastrukturen täglich Ziel von Spionage und Sabotage seien. Der neue Rechtsrahmen soll die Widerstandsfähigkeit der Union stärken, indem er erstmals verbindliche Instrumente zur Absicherung der gesamten IKT-Lieferkette schafft und so die technologische Souveränität Europas sichert.
Anwendungsbereich des neuen Lieferkettenrahmens
Ein markanter Unterschied zu bisherigen Regelungen wie der NIS-2-Richtlinie ist, dass der neue Rahmen für die IKT-Lieferkette Unternehmen maßgeblich nach ihrer Funktion und dem Sektor einstuft, unabhängig von Schwellenwerten wie Mitarbeiterzahl oder Umsatz. Betroffen sind insbesondere Akteure in Sektoren mit hoher Kritikalität wie Energie, Gesundheit und digitale Infrastruktur. Entscheidend ist dabei künftig, ob ein Unternehmen sogenannte Schlüssel-IKT-Assets bereitstellt oder nutzt – also Komponenten, deren Ausfall erhebliche Auswirkungen auf die Sicherheit der EU hätte.
Neue Pflichten und erweiterte Risikobetrachtung für betroffene Unternehmen
Für betroffene Unternehmen sieht der Entwurf einen harmonisierten Pflichtenkatalog vor, der unter anderem weitreichende Transparenzpflichten zur Offenlegung der eigenen Zuliefererkette umfasst. Die Risikobewertung beschränkt sich dabei nicht mehr nur auf technische Aspekte, sondern bezieht ausdrücklich nicht-technische Faktoren wie die Einflussnahme durch Drittstaaten ein. Die Kommission kann künftig verbindliche Risikominderungsmaßnahmen anordnen, die von technischen Schutzmaßnahmen über Outsourcing-Beschränkungen bis hin zu Diversifizierungspflichten bei der Beschaffung reichen.
Besondere Vorgaben für elektronische Kommunikationsnetze (Mobilfunk, Festnetz, Satellit)
Besonders strenge Anforderungen gelten für Betreiber elektronischer Kommunikationsnetze, denen die Nutzung von Komponenten sogenannter Hochrisiko-Lieferanten in kritischen Bereichen untersagt wird. Der CSA2-Entwurf sieht hier eine verbindliche Auslaufphase (Phasing-out) vor, die für Mobilfunknetze innerhalb einer Frist von 36 Monaten nach Inkrafttreten abgeschlossen sein muss. Bitkom mahnt in diesem Zusammenhang an, bestehende nationale Verträge und Fristen zu berücksichtigen, um laufende Digitalisierungsziele nicht durch überhastete Umstellungen zu gefährden.
Aufsicht und Durchsetzung: Geteilte Zuständigkeiten zwischen EU und Mitgliedstaaten
Die Durchsetzung der neuen Sicherheitsvorgaben soll durch ein enges Zusammenspiel zwischen der EU-Kommission und den nationalen Behörden erfolgen. Während die Kommission für die Identifizierung von Schlüssel-Assets und die Erstellung von Listen der Hochrisiko-Lieferanten zuständig ist, obliegt den nationalen Aufsichtsbehörden die operative Überwachung der Unternehmen. Diese können künftig aktuelle Lieferantenlisten anfordern, Vor-Ort-Inspektionen durchführen und bei Nichteinhaltung weitreichende Anordnungen zur Behebung von Sicherheitsmängeln erlassen.
Erweiterter Sanktionsrahmen mit erheblicher wirtschaftlicher Tragweite
Um die Einhaltung der neuen Regeln sicherzustellen, etabliert der Entwurf einen drastischen, am Umsatz orientierten Sanktionsrahmen. Verstöße gegen Transparenzpflichten können mit bis zu 1 % des weltweiten Jahresumsatzes geahndet werden, während die Verletzung von Verboten zur Nutzung von Hochrisiko-Komponenten in Schlüssel-Assets mit Bußgeldern von bis zu 7 % belegt werden kann. Dieser einheitliche Rahmen soll eine konsequente Durchsetzung im gesamten Binnenmarkt gewährleisten und Unternehmen zur strikten Einhaltung der Lieferketten-Governance zwingen.
Konformitätsvermutung und Verfahrensbeschleunigung
Susanne Dehmel, Geschäftsleiterin des Bitkom, begrüßte grundsätzlich das Ziel, Cybersicherheit schneller und weniger bürokratisch zu gestalten. Ein zentraler Fortschritt sei, dass Cybersicherheitszertifikate künftig als anerkannter Nachweis dienen können, um eine Konformitätsvermutung für andere Gesetze wie NIS-2 zu begründen. Zudem sieht der Entwurf vor, dass neue Zertifizierungssysteme künftig standardmäßig innerhalb von nur 12 Monaten entwickelt werden sollen. Bitkom merkt jedoch kritisch an, dass das angestrebte Prinzip „ein Vorfall, eine Meldung“ noch nicht vollständig eingelöst sei, da Meldepflichten über verschiedene Regelwerke hinweg noch konsequenter harmonisiert werden müssten. Parallel dazu wird das Mandat der EU-Agentur für Cybersicherheit (ENISA) gestärkt und ihr Budget für den Zeitraum 2028 bis 2034 durchschnittlich um 49 Millionen Euro pro Jahr erhöht, damit sie zusätzliche operative Aufgaben wie die Frühwarnung vor Cyberbedrohungen und das Management von Schwachstellen übernehmen kann.
Was würden die Änderung des CSA für Unternehmen bedeuten?
Zunächst könnten Betriebe dazu gezwungen sein, ihre bisherigen IKT-Beschaffungsstrategien einer tiefgreifenden Revision zu unterziehen, da absehbar auch politische Abhängigkeiten der Zulieferer zu einem harten Ausschlusskriterium würden. Es ist absehbar, dass Unternehmen einen erheblich höheren Aufwand für die Dokumentation und Prüfung ihrer Lieferketten betreiben müssten, um den drohenden Bußgeldern zu entgehen. Zudem würde eine Einstufung als Schlüsselakteur bedeuten, dass Investitionen in Infrastruktur künftig unter dem Vorbehalt kurzfristiger regulatorischer Austauschpflichten stünden, wobei absehbar keine finanziellen Kompensationen für solche Umstellungskosten vorgesehen sind.
Fazit und Ausblick
Der Vorschlag zum Cybersecurity Act 2 ist eine ambitionierte Antwort auf die geopolitischen und technologischen Herausforderungen unserer Zeit. Während die Stärkung der ENISA und die Vereinfachung der Zertifizierungsprozesse von der Wirtschaft positiv aufgenommen werden, bleibt die praktische Ausgestaltung der Lieferkettenkontrolle ein Diskussionspunkt. Betroffene Unternehmen sollten den weiteren Gesetzgebungsprozess daher genau verfolgen.
Angesichts der Komplexität des Zusammenspiels von Cybersecurity Act 2, NIS-2, Data Act und weiteren Digitalrechtsakten empfiehlt sich eine frühzeitige, ganzheitliche Betrachtung. Die Experten von KINAST unterstützen Unternehmen bei der rechtssicheren Einordnung, der Anpassung von Governance- und Risikomanagementstrukturen sowie bei der strategischen Vorbereitung auf neue Zertifizierungs- und Lieferkettenanforderungen. Für weitergehende Fragen und eine individuelle Bewertung stehen wir Ihnen gerne beratend zur Seite.
KI-Compliance aus einer Hand
Künstliche Intelligenz rechtssicher nutzen & entwickeln
- KINAST KI-Beratung
- KINAST externer KI-Beauftragter
- KINAST KI-Kompetenz-Schulungen
