Das Europäische Kommission hat sich zum Ziel gesetzt, das Cybersicherheitsrecht zu modellieren. Im Fokus stehen dabei insbesondere die Weiterentwicklung des Cybersecurity Act (CSA2) und die Anpassungen an der NIS2-Richtlinie. Damit will die Kommission bestehende Zertifizierungsrahmen stärken, Verfahren vereinfachen und gleichzeitig ein hohes Sicherheitsniveau in der EU gewährleisten. In einer gemeinsamen Stellungnahme haben der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) hierzu Position bezogen. Ihre zentrale Botschaft lautet: Eine stärkere Cybersicherheit und vereinfachte Compliance sind zu begrüßen. Sie dürfen jedoch nicht zulasten des Schutzes personenbezogener Daten gehen.
Simplifizierungsagenda im Bereich der Cybersicherheit
Am 20. Januar 2026 legte die EU‑Kommission vor im Zuge des Cybersicherheits-Paket zwei Gesetzesvorhaben vor. Zum einen den CSA2, der eine stärkere Rolle für ENISA, Überarbeitung des EU‑Cybersicherheitszertifizierungsrahmens und mehr Fokus auf die ICT‑Lieferketten vorsieht. Zum anderen eine Anpassung der NIS2‑Richtlinie mit dem Ziel der Simplifizierung der regulatorischen Anforderungen und besseren Kohärenz im Gerüst der Cyber(sicherheits)gesetzgebung. Die Kommission konsultierte im Zuge dessen die EDPB und EDPS. Auf diese Weise soll eine widerstandsfähigere und zugleich administrativ schlankere Cybersicherheitslandschaft in Europa geschaffen werden.
Mehr Verantwortung für ENISA – aber klare Grenzen beim Datenschutz
Der CSA2 soll der EU‑Cybersicherheitsagentur ENISA neue operative Kompetenzen geben. Die Behörde soll verstärkt als Informations‑ und Kompetenzzentrum dienen und technische Beratung zu Datenschutzfragen leisten können. EDPB und EDPS begrüßen diese Stärkung grundsätzlich, fordern jedoch, dass auch der EDPS als möglicher Anfragesteller von ENISA explizit in den Verordnungstext aufgenommen wird.
Gleichzeitig mahnen beide Institutionen klare gesetzliche Grenzen an: Wenn ENISA künftig in größerem Umfang personenbezogene Daten verarbeiten müsste, müsse dies ausdrücklich im Gesetz geregelt werden – einschließlich der notwendigen Schutzmechanismen.
Entlastung für Unternehmen durch EU‑weiten Meldemechanismus
Besonders positiv bewerten EDPB und EDPS die geplante Einführung eines europaweiten Single‑Entry‑Points für Sicherheits‑ und Datenschutzvorfälle. Dieser zentrale Meldepunkt würde den bisherigen Flickenteppich verschiedener Meldeadressen ersetzen und die Compliance für Unternehmen erheblich vereinfachen. Die Datenschutzbehörden betonen jedoch, dass dieser Meldepunkt selbst strengen Sicherheitsanforderungen genügen müsse – schließlich enthalten Vorfallmeldungen häufig besonders sensible Informationen
Cybersecurity‑Kompetenzen: nicht nur für Experten, sondern für alle
CSA2 sieht ein European Cybersecurity Skills Framework (ECSF) vor, das bisher ausschließlich Fachrollen abbildet. EDPB und EDPS kritisieren diese Beschränkung. Da ein Großteil der Sicherheitsvorfälle auf menschliches Fehlverhalten zurückgeht, brauche es auch ein Kompetenzmodell für die breitere Bevölkerung und die allgemeine Arbeitswelt. Dies gelte besonders im Umgang mit Phishing, Social Engineering oder KI‑gestützten Täuschungen.
Klare Trennlinien zwischen DSGVO und Cybersecurity‑Zertifizierung
Eine Gefahr sehend die europäischen Datenschutzbehörden darin, dass das neue Zertifizierungsziel des CSA2 die „Sicherheit der Datenverarbeitung“ inhaltlich nah an die DSGVO‑Sicherheitsanforderungen rückt. Dadurch bestehe die Gefahr, dass sich Cybersecurity‑ und Datenschutz‑Zertifizierungen überschneiden oder vermischen. Die Datenschutzbehörden empfehlen daher, eine klare gesetzliche Abgrenzung zum Zertifizierungsmechanismus der DSGVO und eine verpflichtende Konsultation des EDPB bei neuen Zertifizierungsschemata.
NIS2‑Änderungen: neue kritische Dienste und Ransomware‑Reporting
Auch im Zuge der Anpassung der NIS2 Richtlinie fordern die Datenschutzbehörden klare Regeln zum Schutz sensibler Daten und eine frühzeitige Konsultation des EDPS. Die Änderung der NIS2‑Richtlinie ergänzt den CSA2 an mehreren Stellen. Neben weiteren zentralen Anpassungen sollen nach dem Vorschlag der Kommission sogenannte „European Digital Identity Wallets“ und „European Business Wallets“ künftig als besonders wichtige Einrichtungen („essential entities“) gelten und damit strengen Sicherheitsanforderungen unterfallen. Außerdem soll bei Ransomware‑Angriffen Unternehmen zusätzliche Informationen bereitstellen müssen, etwa ob Lösegeld gezahlt wurde und an wen.
Fazit
Durch die gemeinsame Stellungnahme von EDPB und EDPS wird deutlich, dass die Weiterentwicklung des europäischen Cybersicherheitsrechts notwendig und sinnvoll ist, jedoch sorgfältig mit dem bestehenden Datenschutzrahmen verzahnt werden muss. Für Unternehmen bedeutet das vor allem eines: Cybersicherheit und Datenschutz dürfen nicht getrennt gedacht werden. Wer beide Bereiche integriert betrachtet, wird langfristig von regulatorische Vereinfachungen profitieren.
NIS-2 jetzt umsetzen
KINAST Informationssicherheitsberatung für NIS-2-regulierte Einrichtungen
Ganzheitliche Beratung zu Cybersicherheit, Risikomanagement, Incident Response und regulatorischer Umsetzung.
