Cyberangriffe auf Firmen und kritische Infrastrukturen nehmen zu, während Meldepflichten und Nachweisanforderungen bislang als komplex gelten. Mit der Revision des EU-Cybersecurity-Act will die EU-Kommission Zertifizierungen stärken, ENISA ausbauen und Prozesse vereinheitlichen. Bitkom begrüßt die Richtung, fordert aber weniger Parallelbürokratie und klare Übergangsregeln für KRITIS.

Die EU-Kommission hat eine Revision des EU-Cybersecurity-Act vorgelegt. Der Rechtsrahmen soll die EU-weit einheitliche Cybersicherheits-Zertifizierung für digitale Produkte, Dienste und Prozesse modernisieren, Risiken entlang von IKT-Lieferketten stärker berücksichtigen und die Rolle der EU-Agentur ENISA ausbauen. Ziel ist es, mehr Einheitlichkeit im Binnenmarkt zu schaffen und zugleich die Cyber-Resilienz in Europa zu erhöhen – insbesondere dort, wo digitale Komponenten und Anbieter als sicherheitskritisch eingestuft werden.

Bitkom: Mehr Tempo, mehr Klarheit, weniger Papierkrieg

Susanne Dehmel, BitkomDer Digitalverband Bitkom begrüßt die Richtung der Überarbeitung. »Cybersicherheit muss schneller, klarer und weniger bürokratisch werden. Die Kommission macht mit der Revision des Cybersecurity-Act viele Regeln einfacher und die zuständige EU-Agentur für Cybersicherheit ENISA wird gestärkt«, sagt Susanne Dehmel, Geschäftsleiterin des Bitkom. Aus Bitkom-Sicht ist damit grundsätzlich ein sinnvoller Rahmen gesetzt, um Sicherheitsanforderungen konsistenter und praxistauglicher umzusetzen.

Anzeige

Zertifikate als Nachweis: Weniger Doppelprüfungen möglich

Positiv bewertet itkom, dass Cybersicherheits-Zertifikate künftig stärker als anerkannter Nachweis dienen sollen, um Anforderungen aus anderen EU-Rechtsakten zu erfüllen. Ein Zertifikat kann damit eine Konformitätsvermutung begründen, etwa im Kontext von NIS-2 oder dem Cyber-Resilience-Act. Für Unternehmen kann das ein Hebel sein, um wiederkehrende Prüfungen zu reduzieren und Compliance-Aufwände zu bündeln – vorausgesetzt, die jeweiligen Regelwerke und Nachweispflichten greifen tatsächlich sauber ineinander.

ENISA soll mehr operativ liefern – von Meldeplattformen bis Lagebild

Auch die geplante Stärkung der ENISA unterstützt der Verband. Die Agentur soll Plattformen und Werkzeuge für Meldungen betreiben und weiter ausbauen sowie Lagebilder zur Cybersicherheits-Lage in der EU bereitstellen. Bitkom hält es für folgerichtig, dass die EU-Kommission dafür zusätzliche Mittel vorsieht. Aus Sicht der Praxis wäre damit ein zentraler Baustein adressiert: einheitlichere Prozesse und bessere Transparenz über die Bedrohungslage, statt eines Flickenteppichs aus nationalen und sektoralen Inseln.

»Ein Vorfall, eine Meldung« bleibt vorerst eher Wunschbild

Kritisch sieht Bitkom, dass das Ziel vereinfachter Vorgaben und Meldepflichten noch nicht vollständig erreicht wird. Der Anspruch »ein Vorfall, eine Meldung« werde nur dann Realität, wenn Meldepflichten aus unterschiedlichen Regelwerken konsequent aufeinander abgestimmt werden. Genannt werden hier insbesondere NIS-2, Cyber-Resilience-Act und Datenschutz-Grundverordnung. Ohne Harmonisierung bleibt es aus Verbandssicht bei parallelen Meldewegen, zusätzlichem Aufwand und im Zweifel auch Reibungsverlusten im Incident-Handling.

Lieferketten-Risiken und ausländische Komponenten: Bitkom mahnt Bestandsschutz an

Ein weiterer Streitpunkt ist die geplante verpflichtende Auslaufphase von Komponenten später zu benennender ausländischer Hersteller in kritischen Sektoren. Bitkom mahnt an, dass nationale Übergangspläne und bereits bestehende Vereinbarungen berücksichtigt werden müssen. In Deutschland gibt es im Telekommunikations-Umfeld vertragliche Regelungen zwischen Netzbetreibern und Bund zum Austausch bestimmter Komponenten inklusive Fristen. Diese Vereinbarungen müssten Bestand haben, auch um laufende Ausbau- und Digitalisierungsziele nicht zu gefährden.

Relevanz für Rechenzentren und IT-Betrieb

Für Betreiber von Rechenzentren, KRITIS-nahe Unternehmen und IT-Organisationen mit hohen Compliance-Anforderungen sind die Änderungen besonders relevant. Wer Zertifizierungen als Audit-Nachweisstrategie nutzen will, Meldeprozesse über mehrere Rechtsrahmen hinweg koordinieren muss oder Lieferketten-Risiken im Infrastruktur-Design bewertet, bekommt mit der Revision zusätzliche Leitplanken – und potenziell auch die Chance, interne Nachweis- und Meldeprozesse zu konsolidieren. Entscheidend wird sein, ob die Vereinfachung in der Praxis ankommt oder ob am Ende lediglich neue Formulare in neuem Layout entstehen.