Post-Quanten-Kryptographie wird zur Pflicht für Industrie

Die Zeit des Abwartens ist vorbei: Neue Regulierungen in der EU und den USA zwingen Hersteller langlebiger Produkte, die Migration zu quantensicheren Verschlüsselungsverfahren jetzt zu priorisieren. Aus einer Zukunftsvision wird eine mittelfristige Geschäftsanforderung.

Für Unternehmen, deren Fahrzeuge, Medizingeräte oder Industrieanlagen Jahrzehnte im Einsatz bleiben müssen, schließt sich das Zeitfenster zum Handeln. Die lange beschriebene „Harvest now, decrypt later“-Gefahr – bei der Angreifer heute verschlüsselte Daten abgreifen, um sie mit künftigen Quantencomputern zu knacken – wird zum Treiber konkreter Compliance-Vorgaben. Die jüngsten regulatorischen Schritte zielen darauf ab, die digitalen Lebensadern der Gesellschaft gegen diese Bedrohung abzusichern.

EU setzt mit NIS2 und Cyber Resilience Act klare Fristen

Das regulatorische Fundament in Europa wird immer solider. Im Rahmen der EU-Cybersicherheitsstrategie wurden Anfang Februar 2026 Änderungen an der NIS2-Richtlinie vorgeschlagen. Sie sollen Mitgliedstaaten verpflichten, Strategien für die Migration zur Post-Quanten-Kryptographie (PQC) in ihre nationalen Cybersicherheitspläne aufzunehmen.

Passend zum Thema Cybersicherheit stehen Unternehmen unter wachsendem Regulierungsdruck – NIS2, Cyber Resilience Act und neue Einkaufsvorgaben zwingen zur schnellen Modernisierung. Unser kostenloses E‑Book „Cyber Security Awareness Trends“ erklärt, welche technischen und organisatorischen Schritte IT‑Verantwortliche jetzt priorisieren müssen, inklusive Checklisten zur Bestandsaufnahme der Kryptografie und einer ersten PQC‑Roadmap. Praxisnah für Entscheider und Compliance‑Teams, damit Sie Fristen und Lieferkettenrisiken rechtzeitig adressieren. Jetzt kostenlosen Cyber‑Security‑Leitfaden für Entscheider herunterladen

Parallel schafft der in Kraft tretende Cyber Resilience Act (CRA) die Grundlage für „Security-by-Design“. Ergänzt wird dies durch den Vorschlag für einen „Cybersecurity Act 2“ vom Januar 2026, der die Lieferkettensicherheit in kritischen Sektoren stärken soll. Zukünftige Zertifizierungen für kritische Produkte werden quantenresistente Algorithmen voraussetzen. Eine EU-Roadmap sieht den Übergangsbeginn bis 2026 und die Absicherung kritischer Infrastrukturen bis spätestens 2030 vor.

Deutschland treibt mit KRITIS-Dachgesetz nationale Umsetzung voran

Der europäische Druck wird konkret: In Deutschland steht das KRITIS-Dachgesetz im Fokus, dessen Entwurf Ende Januar 2026 erneut angepasst wurde. Es wird die NIS2-Ziele auf nationaler Ebene verankern und die Anforderungen für Betreiber kritischer Infrastrukturen definieren.

Die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gewinnen damit an Verbindlichkeit. Das BSI hat bereits Fristen für die Umstellung von IT-Sicherheitsprodukten im Bereich Verschlusssachen bis 2030 gesetzt. Die aktuelle Gesetzesdiskussion zeigt: Diese Anforderungen werden bald für einen weitaus größeren Kreis von Unternehmen gelten – von Energieversorgern bis zu DAX-Konzernen mit kritischen Produktionsanlagen.

USA erhöhen mit verbindlichen Einkaufsvorgaben globalen Druck

Die Entwicklung ist global. Am 23. Januar 2026 veröffentlichte die US-Cybersicherheitsbehörde CISA eine Liste von Produktkategorien. Für Neuanschaffungen von Bundesbehörden sollen künftig nur noch PQC-fähige Produkte in Betracht kommen.

Diese Maßnahme folgt auf die finalen PQC-Standardalgorithmen, die das US-National Institute of Standards and Technology (NIST) im August 2024 veröffentlichte. Die konzertierte Aktion dient als klares Signal an den globalen Markt und erhöht den Druck auf international tätige Hersteller, ihre Lieferketten anzupassen.

Langlebige Produkte stehen vor der größten Herausforderung

Die besondere Dringlichkeit ergibt sich aus den langen Lebenszyklen. Ein heute produziertes Fahrzeug oder eine Industrieanlage muss über 15 Jahre oder länger sicher sein. Ein nachträgliches Update der kryptografischen Grundverfahren ist oft wirtschaftlich unmöglich oder technisch extrem aufwendig.

Daher wird „Krypto-Agilität“ zur zentralen Anforderung. Systeme müssen so konzipiert sein, dass Verschlüsselungsalgorithmen flexibel ausgetauscht werden können. Hersteller, die diese Fähigkeit nicht in der aktuellen Produktgeneration verankern, riskieren, dass ihre Ware in wenigen Jahren als unsicher gilt und vom Markt gedrängt wird – eine existenzielle Gefahr für Branchen wie den deutschen Maschinen- oder Automobilbau.

Strategische Compliance-Herausforderung statt technischem Update

Die Phase der reinen Standardisierung weicht einer Ära der regulatorischen Implementierung. Für die Industrie bedeutet das: Die PQC-Migration ist keine optionale Technologieentscheidung mehr, sondern eine strategische Compliance-Herausforderung.

Die Fristen – insbesondere das Ziel 2030 für kritische Systeme – erscheinen angesichts langer Entwicklungs- und Qualifikationszyklen äußerst ambitioniert. Unternehmen, die jetzt keine Bestandsaufnahme ihrer „kryptografischen DNA“ machen und eine Migrationsstrategie entwickeln, laufen Gefahr, künftige Anforderungen nicht zu erfüllen. Die Leitplanken sind gesetzt, der Countdown läuft.

PS: Die Uhr tickt – viele Hersteller langlebiger Produkte unterschätzen die „Harvest now, decrypt later“-Gefahr und stehen vor existenziellen Compliance‑Fristen. Unser praxisorientierter Cyber‑Security‑Report zeigt, welche organisatorischen Maßnahmen, Schulungen und technischen Kontrollen (inklusive PQC‑Schritten) jetzt nötig sind, um Produkte und Lieferketten quantensicher zu machen. Konkrete To‑Dos für Geschäftsführer, Security‑Officer und Produktverantwortliche. Jetzt kostenlosen Cyber‑Security‑Report anfordern