EU-Kommission startet Offensive für digitale Souveränität
24.01.2026 - 14:44:12
Die EU-Kommission hat mit zwei neuen Gesetzespaketen den Kampf um Europas digitale Unabhängigkeit eröffnet. Mit dem Digital Networks Act und dem Cybersecurity Act 2 will Brüssel die Abhängigkeit von nicht-europäischen Technologieanbietern reduzieren und eine eigene, widerstandsfähige Infrastruktur aufbauen. Die Initiativen markieren eine strategische Antwort auf die anhaltenden Datenschutz-Konflikte mit den USA.
Digital Networks Act: Neues Fundament für Europas Netze
Am 21. Januar 2026 präsentierte die Kommission den Digital Networks Act (DNA) als direkt anwendbare Verordnung. Sie soll den bestehenden Rechtsrahmen für elektronische Kommunikation ablösen und fragmentierte nationale Märkte zu einem echten Binnenmarkt für digitale Dienste vereinen.
Kernziele sind der beschleunigte Ausbau von Glasfaser-, 5G- und 6G-Netzen sowie die Förderung einer paneuropäischen Cloud-Infrastruktur. „Hochleistungsfähige, resiliente digitale Infrastruktur ist entscheidend für Europas Innovationsfähigkeit und Wettbewerbsstärke“, betonte Henna Virkkunen, Vizepräsidentin für Technologie-Souveränität. Die neuen Regeln sollen faire und vertrauenswürdige Grundlagen schaffen – zum Vorteil von Bürgern und Unternehmen.
Passend zum Thema IT‑Lieferketten und Cloud‑Souveränität: Warum sind 73 % der deutschen Unternehmen nicht ausreichend gegen Cyberangriffe vorbereitet? Angesichts neuer EU‑Vorschriften wächst der Druck auf Unternehmen, ihre IT‑Sicherheit in Lieferketten und Cloud‑Diensten ernsthaft zu verbessern. Ein kostenloses E‑Book erklärt aktuelle Bedrohungen, zeigt praxisnahe Schutzmaßnahmen für Unternehmen jeder Größe und bietet eine Checkliste für IT‑Verantwortliche, die Compliance und Resilienz schnell erhöhen wollen. Kostenloses Cyber‑Security‑E‑Book herunterladen
Cybersecurity Act 2: Risiken in der Lieferkette im Fokus
Parallel dazu veröffentlichte die Kommission am 20. Januar den Entwurf für den Cybersecurity Act 2 (CSA2). Diese Novelle führt erstmals einen horizontalen Rechtsrahmen für die Sicherheit von IT-Lieferketten ein. Besonderes Augenmerk liegt auf „nicht-technischen“ Risiken – ein Begriff, der oft rechtliche und geopolitische Schwachstellen beschreibt.
Konkret erhält die Kommission die Befugnis, „kritische IT-Vermögenswerte“ zu identifizieren. Lieferanten aus als „hochriskant“ eingestuften Jurisdiktionen oder ohne Angemessenheitsbeschluss müssen mit strengeren Prüfungen oder sogar dem Ausschluss aus kritischer Infrastruktur rechnen. Damit reagiert Brüssel direkt auf die Sorge, dass technische Sicherheitsmaßnahmen wirkungslos sind, wenn Cloud-Anbieter aufgrund ihrer nationalen Gesetze – wie dem US CLOUD Act – zur Datenherausgabe an ausländische Behörden verpflichtet sind.
Grauzone transatlantischer Datentransfers bleibt Problem
Die neuen Gesetzesinitiativen kommen zu einer Zeit anhaltender Unsicherheit bei Datentransfers in die USA. Trotz des EU-US-Datenschutzrahmenabkommens warnen Experten vor einem ungelösten Grundkonflikt zwischen dem CLOUD Act und europäischen Datenschutzstandards.
Eine Analyse vom 19. Januar 2026 zeigt: Viele europäische Unternehmen, die große US-Cloud-Dienste nutzen, operieren in einer rechtlichen Grauzone. Technische Lösungen wie Microsofts „EU Data Boundary“ ändern nichts an den gesetzlichen Verpflichtungen US-amerikanischer Unternehmen gegenüber ihren Behörden. Der Europäische Gerichtshof hat bereits mehrfach entschieden, dass US-Überwachungsgesetze europäischen Privatsphäre-Standards nicht genügen.
Mit der drohenden „Schrems III“-Klage – einer möglichen dritten Annullierung des Datentransfer-Abkommens – erscheinen die neuen EU-Gesetze als proaktive Maßnahme. Sie sollen ein eigenständiges, weniger anfälliges digitales Ökosystem schaffen.
Digital Omnibus soll Bürokratie abbauen
Um den wachsenden Compliance-Aufwand für Unternehmen zu mindern, sind die Vorschläge Teil der breiteren „Digital Omnibus“-Initiative. Diese wurde im November 2025 vorgestellt und soll bestehende Regeln zu KI, Cybersicherheit und Datenschutz vereinfachen und modernisieren.
Ziel ist es, Überschneidungen zwischen der DSGVO, dem Data Act und dem neuen KI-Gesetz zu beseitigen. So sollen beispielsweise Schwellenwerte und Fristen für die Meldung von Datenschutzverletzungen harmonisiert werden. Unternehmen könnten sich dann stärker auf Innovation konzentrieren, anstatt einen Dschungel sich widersprechender Vorschriften zu durchforsten. Die formelle Annahme des „Digital Omnibus“ wird für Mitte 2026 erwartet.
Ausblick: Von Compliance zu Souveränität
Die kombinierte Wirkung von DNA und CSA2 signalisiert einen strategischen Wandel: Es geht nicht mehr nur um Regelbefolgung, sondern um digitale Souveränität. Europäische Unternehmen werden den regulatorischen Druck spüren, die „nicht-technischen“ Risiken ihrer Lieferanten genau zu bewerten. Cloud-Anbieter, die Immunität gegen extraterritoriale Datenzugriffsersuchen nachweisen können, dürften im Vorteil sein.
Für US-Tech-Giganten stellen die Lieferketten-Vorschriften des CSA2 eine neue nichttarifäre Handelsbarriere dar. Trotz massiver Investitionen in lokale Rechenzentren bleibt die Frage der Rechtshoheit ein ungelöstes Problem, das sich nicht durch technische Lokalisierung allein beheben lässt.
Während die Vorschläge nun das Europäische Parlament und den Rat passieren müssen, zeigt der aggressive Zeitplan die Dringlichkeit des Themas. Die Kommission will Europas digitale Grenzen sichern, bevor die nächste Welle technologischer Umbrüche anrollt. Mit dem Digital Networks Act baut die EU nicht nur einen regulierten Markt – sie errichtet eine Festung um ihre digitalen Vermögenswerte. In der Cloud-Ära soll auf europäischen Servern vor allem eines gelten: europäisches Recht.
PS: IT-Sicherheit lässt sich oft auch ohne teure Neueinstellungen deutlich verbessern. Das gratis E‑Book „Cyber Security Awareness Trends“ fasst kompakt zusammen, welche vier praktischen Maßnahmen Unternehmen sofort umsetzen können, um Lieferkettenrisiken zu reduzieren und Compliance‑Anforderungen zu erfüllen. Enthalten sind umsetzbare Checklisten und Prioritäten für Geschäftsführer und IT‑Leiter. Jetzt Cyber‑Security‑Guide sichern
