Vorschlag für ein neues Cybersicherheitspaket 

Vorschlag für ein neues Cybersicherheitspaket 

Inhalte, Ziele und Auswirkungen

Die Europäische Kommission hat Anfang 2026 ein umfassendes neues Cybersicherheitspaket vorgelegt, mit dem die digitale Widerstandsfähigkeit der Europäischen Union deutlich gestärkt werden soll. Kern des Pakets ist der Vorschlag für einen überarbeiteten EU-Rechtsakt zur Cybersicherheit (Cybersecurity Act 2), flankiert von gezielten Anpassungen der NIS-2-Richtlinie. Ziel ist es, Sicherheitslücken zu schließen, regulatorische Fragmentierung zu vermeiden und die Cybersicherheit von Produkten, Diensten und Lieferketten im EU-Binnenmarkt nachhaltig zu erhöhen.

Warum ein neues Cybersicherheitspaket?

Die Bedrohungslage im Cyberraum hat sich in den letzten Jahren erheblich verschärft. Staatliche und nichtstaatliche Akteure nutzen Cyberangriffe zunehmend als strategisches Instrument. Gleichzeitig sind Wirtschaft, Verwaltung und kritische Infrastrukturen stärker denn je von digitalen Technologien und globalen IKT-Lieferketten abhängig.

Trotz bestehender Regelwerke – insbesondere der NIS-2-Richtlinie und des bisherigen Cybersecurity Acts (Verordnung (EU) 2019/881) – identifiziert die Kommission weiterhin:

  • uneinheitliche Umsetzung in den Mitgliedstaaten,
  • hohe Compliance-Kosten für Unternehmen,
  • fehlende Durchgängigkeit bei Zertifizierungen,
  • unzureichend adressierte Risiken in IKT-Lieferketten.

Das neue Cybersicherheitspaket soll diese Defizite systematisch beheben.

Zentrale Bestandteile des neuen Cybersicherheitspakets

Neuer EU Cybersecurity Act (Cybersecurity Act 2)

Der Vorschlag COM(2026) 11 ersetzt den bisherigen Cybersecurity Act vollständig. Als EU-Verordnung gilt er unmittelbar in allen Mitgliedstaaten und verfolgt insbesondere folgende Ziele:

  • Stärkung der EU-Agentur für Cybersicherheit (ENISA)
    ENISA erhält ein klarer gefasstes, erweitertes Mandat und soll künftig stärker operativ unterstützen – etwa bei der Bewältigung schwerer Cybervorfälle.
  • Reform des Europäischen Cybersicherheitszertifizierungsrahmens (ECCF)
    Zertifizierungsverfahren werden vereinfacht, harmonisiert und in ihrer Reichweite erweitert. Zertifizierungen sollen künftig zentraler Nachweis für regulatorische Cybersicherheitsanforderungen sein.
  • Vermeidung regulatorischer Fragmentierung
    Einheitliche Standards und Verfahren sollen den digitalen Binnenmarkt stärken und Wettbewerbsverzerrungen reduzieren.

Verzahnung mit der NIS-2-Richtlinie

Parallel zum neuen Cybersecurity Act schlägt die Kommission gezielte Änderungen der NIS-2-Richtlinie (EU) 2022/2555 vor. Ziel ist eine bessere Abstimmung beider Regelwerke:

  • Vereinfachung von Melde- und Nachweispflichten,
  • stärkere Nutzung von Zertifizierungen als Compliance-Instrument,
  • höhere Harmonisierung bei Risikomanagement- und Sicherheitsmaßnahmen.

Damit wird NIS-2 nicht ersetzt, sondern funktional ergänzt.

Neuer Fokus auf IKT-Lieferkettensicherheit

Ein besonders relevanter Teil des Pakets ist die horizontale Regulierung von IKT-Lieferkettenrisiken. Der Vorschlag sieht unter anderem vor:

  • sektor- und technologieübergreifende Anforderungen an Lieferketten,
  • Einschränkungen beim Einsatz von Komponenten sogenannter „High-Risk-Supplier“,
  • besondere Schutzmaßnahmen für kritische IKT-Assets (z. B. Kernnetze, Managementsysteme).

Dieser Ansatz geht deutlich über bisherige, sektorspezifische Regelungen hinaus.

Wen betrifft das neue Cybersicherheitspaket?

Das neue Cybersicherheitspaket betrifft insbesondere:

  • Unternehmen und Einrichtungen unter NIS-2, darunter
    Kreditinstitute, Zahlungs- und E-Geld-Institute, Energie-, Verkehrs- und Gesundheitsunternehmen,
  • Hersteller und Anbieter von IKT-Produkten und -Diensten,
  • Zertifizierungsstellen und Konformitätsbewertungsstellen,
  • öffentliche Stellen mit sicherheitskritischen digitalen Systemen.

Gerade für regulierte Unternehmen bedeutet dies: Cybersicherheit wird noch stärker zu einem prüf- und nachweispflichtigen Governance-Thema.

Einordnung und Ausblick

Mit dem neuen Cybersicherheitspaket verfolgt die EU einen klaren strategischen Ansatz:
Weg von nationalen Einzellösungen – hin zu einem kohärenten, zertifizierungsbasierten europäischen Cybersicherheitsrahmen.

Für Unternehmen ist frühzeitige Vorbereitung entscheidend. Dazu gehören:

  • Analyse der eigenen Betroffenheit (NIS-2, Zertifizierung, Lieferkette),
  • Bewertung bestehender Cyber-Governance- und Risikomanagement-Strukturen,
  • Integration von Zertifizierungs- und Nachweisprozessen in Compliance und Audit.

Das Gesetzgebungsverfahren ist noch nicht abgeschlossen – die Richtung ist jedoch eindeutig.

Kommission_st_rkt_Resilienz_und_Kapazit_ten_der_EU_im_Bereich_der_CybersicherheitHerunterladen
Factsheet_New_Cybersecurity_Package.pdfHerunterladen
COM_2026_11_1_EN_ACT_part1_v81_gVB5aSbD9VXgCvXjk9kiarOw9Q_123727Herunterladen
COM2026_11_Annexes_jzOnfzRGGhapWB4HYU3AILct0g_123726Herunterladen
SWD_2026_11_1_EN_impact_assessment_part1_v5_gKbwwU0YtgK45teSznbmbiv1s_123748Herunterladen
SWD_2026_12_1_EN_resume_impact_assessment_part1_v5_xj2zKZhbR3Ff03ul8UqeCmgUzls_123754Herunterladen

Quellen:

https://digital-strategy.ec.europa.eu/de/library/proposal-regulation-eu-cybersecurity-act

https://ec.europa.eu/commission/presscorner/detail/de/ip_26_105

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert