Cyberangriffe treffen längst nicht mehr nur einzelne Unternehmen, sie gefährden kritische Infrastrukturen, ganze Lieferketten, Krankenhäuser und auch die öffentliche Verwaltung. Vor diesem Hintergrund hat die EU-Kommission am 20.01.2026 die Überarbeitung des mehr als sechs Jahre alten EU Cybersecurity Act vorgestellt. „Cybersicherheit muss schneller, klarer und weniger bürokratisch werden. Die Kommission macht mit der Revision des Cyber Security Act viele Regeln einfacher und die zuständige EU-Agentur für Cybersicherheit ENISA wird gestärkt“, sagt die Geschäftsleiterin des Digitalverbands Bitkom, Susanne Dehmel.
Vereinfachung und Erweiterung der Cybersicherheitszertifizierung
Positiv bewertet Bitkom insbesondere, dass Cybersicherheitszertifikate künftig stärker als anerkannter Nachweis dienen sollen, um Anforderungen aus anderen EU-Rechtsakten zu erfüllen. Damit kann ein Zertifikat beispielsweise eine sogenannte Konformitätsvermutung begründen, etwa mit Blick auf Vorgaben aus NIS-2 oder dem Cyber Resilience Act. Das schafft Rechtssicherheit und kann Doppelprüfungen reduzieren.
Ebenso richtig ist aus Sicht des Bitkom, dass ENISA künftig Plattformen und Werkzeuge für Meldungen sowie Lagebilder zur Cybersicherheitslage in der EU betreibt und weiter ausbaut. Dass die Kommission dafür auch finanziell nachlegt, ist nach Ansicht des Bitkom folgerichtig und notwendig: Für den nächsten EU-Haushaltszeitraum 2028 bis 2034 erhält ENISA durchschnittlich 49 Mio. € pro Jahr zusätzlich.
Kritik: Bürokratie bleibt
Das Paket enthält Maßnahmen zur Vereinfachung der Einhaltung der EU-Cybersicherheitsvorschriften und Risikomanagementanforderungen für in der EU tätige Unternehmen, die die in der Digital-Omnibus-Verordnung vorgeschlagene zentrale Anlaufstelle zur Meldung von Vorfällen ergänzen. Mit gezielten Änderungen der NIS-2-Richtlinie soll die Rechtsklarheit erhöht werden. Dies soll 28.700 Unternehmen, darunter 6.200 Kleinst- und Kleinunternehmen, die Einhaltung der Vorschriften erleichtern. Außerdem wird eine neue Kategorie kleiner Midcap-Unternehmen eingeführt, um die Befolgungskosten für 22.500 Unternehmen zu senken.
Leider wird der Anspruch, mit vereinfachten Vorgaben und Meldepflichten ein unternehmensfreundlicheres Umfeld zu schaffen, laut Bitkom noch nicht vollständig eingelöst. „Das Prinzip ‚ein Vorfall, eine Meldung‘ kann nur dann Realität werden, wenn die vielen Meldepflichten aus unterschiedlichen Regelwerken – etwa NIS-2, Cyber Resilience Act, Datenschutz-Grundverordnung – konsequent aufeinander abgestimmt werden. Sonst bleibt es in der Praxis bei parallelen Meldewegen und unnötigem Aufwand“, so Dehmel.
Die neue Cybersicherheitsverordnung wird unmittelbar nach der Annahme durch das Europäische Parlament und den Rat der EU in Kraft treten.
