EU-Kommission will Cybersicherheit neu zertifizieren
21.01.2026 - 11:43:12
Die EU-Kommission hat einen umfassenden Reformvorschlag für das EU-Cybersicherheitsgesetz vorgelegt. Er zielt darauf ab, den digitalen Binnenmarkt zu stärken und Bürokratie abzubauen.
Ein Zertifikat für alles?
Am Dienstag präsentierte die für Tech-Souveränität zuständige Vizepräsidentin der Kommission, Henna Virkkunen, den Entwurf. Das sogenannte CSA2 erweitert den Zertifizierungsrahmen entscheidend. Künftig sollen nicht nur technische Produkte, sondern auch Organisationsstrukturen, Risikomanagement und Lieferketten zertifiziert werden können. Erstmals werden auch Managed Security Services wie Penetrationstests einbezogen.
Der Clou: Ein solches EU-Zertifikat soll künftig als „Vermutung der Konformität“ mit anderen zentralen Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) und der NIS2-Richtlinie gelten. Für Unternehmen bedeutet das eine massive Vereinfachung. Statt mehrfacher Audits könnte ein einziges Zertifikat genügen. Die Kommission spricht von einem „Einmal prüfen, für viele Vorschriften gelten“-Ansatz.
Passend zum Thema Cybersicherheit: Viele Unternehmen unterschätzen aktuell die regulatorischen Anforderungen und sind oft unzureichend gegen Lieferketten-Angriffe und Managed-Service-Risiken geschützt. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt kompakt die aktuellen Bedrohungen, die neuen EU‑Regelungen und liefert praxisnahe Maßnahmen für Governance, Lieferketten‑Checks und Incident Response. Ideal für IT‑Verantwortliche und Compliance‑Teams, die jetzt ihre Sicherheitsstrategie an neue Vorgaben anpassen müssen. Kostenloses Cyber‑Security‑E‑Book herunterladen
Brücke zwischen Cybersicherheit und Datenschutz
Bislang liefen Zertifizierung und Datenschutz-Folgenabschätzungen oft getrennt. Der neue Vorschlag schlägt eine Brücke. Ein Zertifikat könnte künftig auch die organisatorische Governance eines Unternehmens bestätigen – ein Kernprinzip der DSGVO.
Besonders für datenintensive Unternehmen wie Cloud-Anbieter wäre das ein großer Schritt. Sie könnten in einem Verfahren sowohl ihre technischen Sicherheitsmaßnahmen als auch ihre Daten-Governance nachweisen lassen. Die EU-Agentur für Cybersicherheit (ENISA) erhält den Auftrag, die konkreten Kriterien innerhalb von zwölf Monaten zu entwickeln.
Fokus auf die Lieferkette
Ein weiterer Schwerpunkt liegt auf der Sicherheit von Lieferketten. Der Entwurf sieht einen harmonisierten Rahmen zur Bewertung von Risiken durch Drittanbieter vor. Dies ist eine klare Reaktion auf geopolitische Spannungen und zunehmende Angriffe auf Lieferketten.
Vizepräsidentin Virkkunen deutete im Parlament sogar eine mögliche „Liste hochriskanter Anbieter“ an. Der Text ermächtigt die Mitgliedstaaten, Sicherheitsrisiken durch Lieferanten aus Nicht-EU-Ländern gemeinsam zu bewerten. Damit könnte Ausrüstung von Herstellern, die als Bedrohung gelten, vom Markt ausgeschlossen werden. Dies unterstreicht das Streben der EU nach technologischer Souveränität.
Industrie begrüßt Ansatz, warnt vor Umsetzung
Der Branchenverband DIGITALEUROPE reagierte vorsichtig optimistisch. Generalsekretärin Cecilia Bonefeld-Dahl begrüßte die Vereinfachung als richtigen Schritt für die Wettbewerbsfähigkeit Europas.
Gleichzeitig mahnte die Industrie eine harmonisierte Umsetzung an. Der Sektor ist bereits mit der Einführung des Cyber Resilience Act (CRA) und der NIS2-Richtlinie beschäftigt. Der Erfolg von CSA2 hänge davon ab, wie gut die neuen Standards mit bestehenden Regeln verzahnt werden. Wichtig sei, dass die „Vermutung der Konformität“ in allen Mitgliedstaaten gleichermaßen anerkannt wird, um eine erneute Zersplitterung des Binnenmarkts zu verhindern.
Der Gesetzesvorschlag geht nun an das Europäische Parlament und den Rat. Angesichts der Dringlichkeit – die Kommission beruft sich auf den „Global Cybersecurity Outlook 2026“ – werden zügige Verhandlungen erwartet. Bei Einhaltung des Zeitplans könnten die ersten Organisations-Zertifizierungssysteme Ende 2027 verfügbar sein.
PS: Die geplanten Fristen und die Verknüpfung mit DSGVO- und NIS2-Anforderungen machen schnelles Handeln notwendig. Dieses Gratis-Leitfaden-Paket erklärt, welche Übergangsfristen gelten, welche Prioritäten IT‑ und Compliance‑Teams setzen sollten und welche kurzfristigen Maßnahmen (z. B. Anti‑Phishing‑Checks, Lieferanten‑Audits, Awareness‑Programme) sofort Wirkung zeigen. Praktische Checklisten helfen, Compliance‑Lücken gezielt zu schließen. Jetzt Cyber‑Security‑Leitfaden sichern
