EU Kommission veröffentlicht Paket zur Revision des Cybersecurity Acts

Am 20. Jänner 2026 hat die Europäische Kommission ein umfassendes Paket zur Revision des Cybersecurity Acts vorgelegt. Dieses umfasst:

• einen Vorschlag für einen Cybersecurity Act 2 
• einen Vorschlag für gezielte Änderungen der NIS2-Richtlinie
• einen Bericht über die Bewertung der Agentur der Europäischen Union für Cybersicherheit (ENISA) und des Europäischen Rahmens für die Cybersicherheitszertifizierung (ECCF)

Der FEEI hat die wichtigsten Aspekte zusammengefasst:

Vorschlag für einen Cybersecurity Act 2.0 (Aufhebung des derzeitigen Cybersecurity Act)

1. Reform des Mandats der Agentur der Europäischen Union für Cybersicherheit (ENISA)

• Die ENISA soll als zentrale Anlaufstelle für Cybersicherheit auf Unionsebene positioniert werden. 
• Ausgewählte Aktivitäten der ENISA:
  • Angebot eines freiwilligen Frühwarnsystems für NIS2-Einrichtungen (Anhang I und II). Frühwarnungen vor groß angelegten Vorfällen oder grenzüberschreitenden Cyberbedrohungen werden an Reaktionsteams für Computersicherheitsverletzungen (CSIRT)  weitergeleitet.
  • Bereitstellung freiwilliger Dienste zum Schwachstellenmanagement für Stakeholder. Dafür soll eine gemeinsame Kapazität der Union entwickelt werden.
  • Betrieb einer zentralen Anlaufstelle für die Meldung von Vorfällen (in Übereinstimmung mit dem Digital Omnibus).
  • Entwicklung und Pflege der Cybersecurity Zertifizierungsschemata.
  • Unterstützung bei Maßnahmen zur Eindämmung von Ransomware-Angriffen (mehr Info weiter unten unter „Gezielte Änderungen der NIS2-Richtlinie“).
  • Formelle Rolle bei der Ausarbeitung technischer Spezifikationen und Beitrag zu Normungsaktivitäten auf europäischer und internationaler Ebene.

2. Reform des Europäischen Rahmens für die Cybersicherheitszertifizierung (ECCF)

• Der Anwendungsbereich des ECCF wird erweitert.
• Die Entwicklung und Pflege der Zertifizierungsschemata liegen in der Verantwortung der ENISA. Es werden klare gesetzliche Fristen festgelegt, innerhalb derer die ENISA ein Kandidatenschema vorzulegen hat.
• Es werden neue „Cyber Posture Certification Schemes“ entwickelt, die es den Inhabern ermöglichen, eine Konformitätsvermutung mit der NIS2-Richtlinie und anderen Rechtsvorschriften der Union zu erlangen.
• Die Zertifizierungsschemata bleiben weiterhin weitgehend freiwillig. Allerdings sieht Artikel 24 der NIS2-Richtlinie vor, dass die Mitgliedstaaten für wesentliche/wichtige Einrichtungen ein obligatorisches Zertifizierungsschema für die Cybersicherheit vorschreiben können. Artikel 8 des Cyber Resilience Act bleibt unverändert.

3. Horizontaler Rahmen für Sicherheitsrisiken in der IKT-Lieferkette

• Dieser wird eingerichtet, um nichttechnische Risiken in Sektoren mit hoher Kritikalität und anderen kritischen Sektoren gemäß der NIS2-Richtlinie (Anhang I und II) anzugehen.
• Auf Unionsebene werden Sicherheitsrisikobewertungen eingerichtet, um Risiken und Schwachstellen in bestimmten IKT-Lieferketten zu ermitteln.
• Die Kommission kann (mittels Durchführungsrechtsakt) Hochrisikolieferanten benennen, wobei sie sich auf ein Drittland bezieht, das ernsthafte nichttechnische Risiken für IKT-Lieferketten darstellt.
• Hochrisikolieferanten können:
  • keine Cybersicherheitszertifizierung nach dem ECCF erhalten,
  • nicht an der Entwicklung, Bewertung, Beratung oder Entscheidungsfindung im Zusammenhang mit europäischen Normen mitwirken,
  • nicht an öffentlichen Beschaffungsverfahren in Bezug auf sensible IKT-Assets teilnehmen.
• Die Kommission kann (mittels Durchführungsrechtsakt) wichtige IKT-Assets identifizieren, die von NIS2-Einrichtungen (Anhang I und II) für die Herstellung von Produkten verwendet werden.
• Unternehmen, die wichtige IKT-Assets nutzen, unterliegen mehreren Maßnahmen zur Risikominderung in Bezug auf die Lieferkette und ihre IKT-Assets, darunter:
  • Verbote im Zusammenhang mit Datenübertragungen;
  • technische Maßnahmen, die von einem Dritten geprüft werden müssen;
  • Beschränkungen im Zusammenhang mit Vertragsbeziehungen;
  • Beschränkungen im Zusammenhang mit der Betriebskontrolle.
• Telekommunikationsanbieter sind am stärksten betroffen. Ab Inkrafttreten stehen ihnen 36 Monate zur Verfügung, um IKT-Komponenten von Hoch-Risiko-Lieferanten aus dem Verkehr zu ziehen.
• Es ist zu erwarten, dass der Rahmen für Sicherheitsrisiken in der IKT-Lieferkette aufgrund der politischen und wirtschaftlichen Auswirkungen der Beschränkungen für Lieferanten aus Drittländern ein sehr umstrittener Punkt während der weiteren Verhandlungen sein wird.

Gezielte Änderungen der NIS2-Richtlinie

Das neue Cybersicherheitspaket enthält gezielte Änderungen der NIS2-Richtlinie, um diese zu vereinfachen und an den Cybersecurity Act 2 anzupassen. Eine Auswahl der wichtigsten vorgeschlagenen Änderungen:

1. Geltungsbereich

• Einführung einer neuen Kategorie kleiner Mid-Cap-Unternehmen.
• Anbieter von „European Digital Identity Wallets“ und zukünftige Business Wallets gelten unabhängig von ihrer Größe als wesentliche Einrichtungen im Sinne der NIS2.
• Energieerzeuger, deren Gesamtleistung 1 MW nicht überschreitet, sind von Anhang I ausgenommen.

2. Anforderungen im Falle von Ransomware-Angriffen

• Die Meldepflichten gemäß der NIS2-Richtlinie werden erweitert. Bei der Meldung eines schwerwiegenden Vorfalls sind Unternehmen verpflichtet, gegebenenfalls Informationen über Ransomware-Angriffe weiterzugeben.

3. Beaufsichtigung grenzüberschreitend tätiger Unternehmen

• Der ENISA wurde eine neue Rolle bei der Unterstützung der Mitgliedstaaten bei der Überwachung der Einhaltung von Maßnahmen zum Cybersicherheitsrisikomanagement durch länderübergreifend tätige Unternehmen zugewiesen. Zu den genannten Aktivitäten gehören: gemeinsame Untersuchungsteams, gemeinsame Aufsichtsmaßnahmen und die Analyse grenzüberschreitender Cybersicherheitsrisiken.

Nächste Schritte

Der Vorschlag wird nun dem Europäischen Parlament und dem Rat vorgelegt. Die Verhandlungen werden für das Jahr 2026 erwartet und laufen parallel zu den Gesprächen zum Digital Omnibus. Vereinfachungen im Bereich des Cyber Resilience Act sind nicht vorgesehen.

Insgesamt zeigt sich in der digitalen Gesetzgebung ein klarer Trend hin zu einer stärkeren technologischen Unabhängigkeit Europas. Dieser Ansatz findet sich nicht nur im neuen Rahmen für die Sicherheit der IKT‑Lieferkette, sondern auch in den angekündigten Gesetzesinitiativen wie dem Cloud & AI Development Act, dem Quantum Act und dem Industrial Accelerator Act.