Öffentliches Recht

Neuer Kommissionsentwurf: Revision des Cybersecurity Act

Die Europäische Kommission hat am 20. Januar 2026 einen Entwurf für die Neufassung des Cybersecurity Acts („CSA2-Entwurf") vorgelegt. Angesichts der verschärften Cyberbedrohungslage zielt der Entwurf darauf ab, das Cybersicherheitsniveau in der EU messbar zu erhöhen und Risiken entlang der Lieferkette adressierbar zu machen. 

Für Unternehmen bedeutet das konkret: neue Pflichten in der Lieferketten-Governance in Form von Risikominderungsmaßnahmen, bei deren Verletzung Bußgelder von bis zu 7 % des weltweiten Jahresumsatzes drohen. Hochrisiko-Lieferanten können aus kritischen Bereichen sogar ausgeschlossen werden. Der CSA2-Entwurf sieht ferner eine Erneuerung der freiwilligen europäischen Cybersicherheitszertifizierung sowie eine Stärkung der ENISA vor. 

Zusammen mit der ebenfalls angekündigten Überarbeitung der NIS2-Richtlinie fügt sich das Cybersicherheitspaket in einen sich verdichtenden Regulierungsrahmen der „Resilienz-Compliance" ein (siehe dazu unser Beitrag).

Wesentliche geplante Änderungen

Der Cybersecurity Act 2019 („CSA“) etablierte primär einen europäischen Zertifizierungsrahmen, um freiwillige, unionsweit anerkannte Zertifikate für Informations- und Kommunikationstechnologie(„IKT“)-Produkte, -Dienste und -Pro­zesse (wie z.B. Hard- oder Software, Cloud-Dienste oder ein Patchmanagement) zu ermöglichen und damit nationale Doppelprüfungen zu überwinden. Spezifische unternehmensbezogene Pflichten für die IKT‑Lieferkette sah der CSA nicht vor. Lieferkettensicherheit wurde nur mittelbar über die freiwilligen Zertifizierungs­schemata adressiert.

Der neue CSA2-Entwurf verschiebt den Fokus für Unternehmen hingegen spürbar: Er führt einen horizontalen Rahmen für vertrauenswürdige IKT Lieferketten ein. Dieser betrifft EU-weite Risikoanalysen, die Identifizierung von „Schlüssel-IKT-Assets“ – also Komponenten, Systeme oder Dienste, deren Ausfall, Manipulation oder Kompromittierung erhebliche Auswirkungen auf Netzwerke, Dienste oder kritische Sektoren haben können – insbesondere in den Branchen Energie, Transport und Verkehr, Gesundheitswesen, Finanzwesen und digitale Infrastruktur (NIS2-Sektoren) sowie die Möglichkeit verbindlicher Risikominderungsmaßnahmen bis hin zu Verwendungs- und Einbauverboten für Komponenten von als „Hochrisiko Anbieter“ gelisteten Zulieferern. Während früher also lediglich eine freiwillige Zertifizierung ohne Lieferkettenpflichten galt, zielt der CSA2-Entwurf auf verbindliche, unionsweit harmonisierte Eingriffe in kritische Lieferketten ab, bei dem die Zertifizierung als Hebel für Aufsichtskohärenz und Beschaffung gestärkt wird.

Neuer Regelungsrahmen für Maßnahmen in der IKT-Lieferkette

Die Informations- und Kommunikationstechnologie-Lieferkette („IKT-Lieferkette“) umfasst sämtliche Akteure, Produkte und Dienstleistungen, die an der Entwicklung, Bereitstellung, dem Betrieb und der Wartung von Informations- und Kommunikationstechnologien beteiligt sind, Art. 2 Nr. 40 CSA2-Entwurf. Der CSA2-Entwurf verfolgt hierbei einen neuen Ansatz, indem er die Risikobewertung der Lieferkette nicht mehr ausschließlich auf technische Sicherheitsaspekte (wie z.B. die Verschlüsselung von Daten bei Speicherung und Übertragung oder Schutzmecha­nismen gegen Angriffe wie Firewalls) beschränkt, sondern ausdrücklich auch nicht-technische Risikofaktoren – etwa rechtliche, geopolitische oder organisatorische Abhängigkeiten – einbezieht.

Anwendungsbereich: Unternehmen unabhängig von Größenmerkmalen betroffen

Ob ein Unternehmen künftig in den Anwendungsbereich der IKT-Lieferkette des CSA2-Regimes fällt, richtet sich maßgeblich nach dem jeweiligen Sektor gemäß der Anlagen 1 und 2 der NIS2-RL. Das Gesetz unterscheidet dabei zwischen Unternehmen aus Sektoren mit hoher Kritikalität und Unternehmen aus sonstigen kritischen Sektoren.

  • Der hohen Kritikalität unterliegen insbesondere die Sektoren Energie, Transport und Verkehr, Gesundheitswesen, Finanzwesen und digitale Infrastruktur.
  • Sonstige kritische Sektoren erfassen Unternehmen insbesondere aus den Branchen der Abfallwirtschaft, Lebensmittelwirtschaft, des verarbeitenden Gewerbes, aus digitalen Diensten oder dem Forschungsbereichs.

Dabei sind die Unternehmen – anders als bei der NIS2-RL – unabhängig von bestimmten Schwellenwerten betroffen. Es gelten keine Mitarbeiter-, Umsatz- oder Bilanzsummengrenzen. Stattdessen gilt ein rollen- und risikobasierter Ansatz. Entscheidend ist, welche Funktion das Unternehmen in der IKT-Lieferkette einnimmt und welches Risiko durch dessen Produkte oder Dienstleistungen für die Resilienz der IKT-Infrastruktur der EU entsteht. Dabei steht insbesondere die Rolle in Bezug auf die Schlüssel-IKT-Assets im Vordergrund – also Komponenten, Systeme oder Dienste, deren Ausfall, Manipulation oder Kompromittierung erhebliche Auswirkungen auf Netzwerke, Dienste oder kritische Sektoren haben können.

Pflichten und Risiken für Unternehmen

Der CSA2-Entwurf sieht für betroffene Unternehmen einen unionsweit harmonisierten Pflichtenkatalog vor – von Maßnahmen zur Absicherung der IKT-Lieferkette (horizontaler Rahmen) bis zu spezifischen Verboten und Fristen für Mobil-, Festnetz- und Satellitennetze, der erst durch noch zu erlassene Durchführungsrechtsakte der EU-Kommission konkretisiert und verbindlich wird. Relevant wird dies jedoch nur für Unternehmen, wenn sie sog. IKT-Assets verwenden, die die EU-Kommission als schlüsselrelevant einstuft.

Die Bestimmung schlüsselrelevanter IKT-Assets erfolgt in drei Schritten:

  • Risikobewertung: EU-weit koordinierte Assessments mit Vorschlag der Schlüssel-IKT-Assets und Risikoszenarien.
  • Identifikation: EU-Kommission bestimmt per Durchführungsakt die Schlüssel-IKT-Assets für die betroffene Lieferkette bzw. Sektoren.
  • Maßnahmen: EU-Kommission ordnet konkrete Risikominderungsmaßnahmen für Unternehmen an. Für Kommunikationsnetze gilt bereits ein eigener, detaillierter Katalog samt Phasing-out-Fristen.

Auf Basis koordiniert durchgeführter Sicherheits-Risikoanalysen werden zunächst „Schlüssel-IKT-Assets“ identifiziert, also Software- oder Hardware-Assets in den Netz- und Informationssystemen von Einrichtungen, die die EU-Kommission nach einer unionsweit koordinierten Sicherheits-Risikobewertung als „schlüsselrelevant“ festlegt. Die Einstufung als „schlüsselrelevant“ basiert insbesondere auf funktionaler Kritikalität (ob die Assets wesentliche und sensible Funktionen für die betroffenen Produkte bzw. Dienstleistungen erfüllen), Störungsrisiko (ob Vorfälle bzw. ausgenutzte Schwachstellen zu erheblichen Lieferkettenstörungen im Binnenmarkt oder zu Datenexfiltration führen können), Lieferantenabhängigkeit (ob eine Abhängigkeit von einer begrenzten Zahl von Anbietern besteht) und Ergebnisse der EU-Risikobewertungen, Art. 102 CSA-Entwurf.

Anschließend kann die EU-Kommission mittels Durchführungsakten folgende Risikominderungsmaßnahmen (inklusive technischer und methodischer Anforderungen) für Unternehmen vorgeben, Art. 103 CSA2-Entwurf:

  • Transparenzpflichten gegenüber Aufsichtsbehörden: Unternehmen können verpflichtet werden, ihre Lieferkette für die betroffenen Schlüssel-IKT-Assets offenzulegen (z.B. Hersteller, Zwischenzulieferer, Dienstleister, Abhängigkeiten). Die Informationen sind aktuell, vollständig und in der von der Behörde vorgegebenen Form bereitzustellen.
  • Beschränkungen für Datenübermittlungen bzw. Remote-Verarbeitung: Zur Eindämmung nicht-technischer Risiken kann die Übermittlung bestimmter Datenarten in Drittstaaten sowie die Fernverarbeitung aus Drittstaaten untersagt oder eingeschränkt werden. Dies adressiert etwa Zugriffsrisiken aus Rechtsordnungen mit extraterritorialen Zugriffsbefugnissen.
  • Technische Mindest- und Schutzmaßnahmen (mit Dritt‑Audit): Unternehmen können verpflichtet werden, auditierbare Controls umzusetzen, darunter On‑Device‑Processing (Verarbeitung möglichst lokal), spezifische Netzsegmentierung, Deaktivierung jeglichen Remote‑ oder physischen Zugriffs auf Schlüssel‑IKT-Assets (wo möglich), Abschaltung nicht essenzieller Funktionen, kontinuierliches operatives Netzwerk‑Monitoring sowie systematisches Testen von Hard‑ und Software.
  • Outsourcing‑ und Betriebsrestriktionen: Auslagerungen, insbesondere an Managed Service Provider, können untersagt oder beschränkt werden (z.B. nur On‑Prem‑Betrieb, also dass IT-Systeme, Software und Daten direkt im eigenen Unternehmen auf eigenen Servern betrieben werden müssen, Standort‑ bzw. Jurisdiktionsvorgaben, Beschränkung administrativer Rechte), um operative Kontrollrisiken zu reduzieren.
  • Vertragsrestriktionen ggü. Lieferanten: Unternehmen können verpflichtet werden, bestimmte vertragliche Auflagen ggü. Lieferanten umzusetzen, um Risiken in Schlüssel-IKT-Assets zu mindern.
  • Sicherheitsüberprüftes Personal: Betrieb, Management, Wartung oder Support kritischer Dienste kann an Personal gebunden werden, das von zuständigen nationalen Behörden sicherheitsüberprüft ist.
  • Diversifizierungspflichten: Zur Vermeidung von Single-Vendor-Risiken, d.h. stark oder vollständig von nur einem einzigen Anbieter abhängig zu sein, kann die Beschaffung über mehrere Lieferanten vorgeschrieben werden (z.B. „mindestens zwei unabhängige Anbieter“ für bestimmte Schlüssel-IKT-Assets).

Besonderheit bei Mobil-, Festnetz- und Satellitennetzen

Anbieter elektronischer Kommunikationsnetze (Mobilfunk, Festnetz, Satellit) dürfen bei kritischen IKT-Assets keine Komponenten von Hochrisiko-Lieferanten verwenden, installieren oder integrieren. Als Hochrisiko-Lieferant gelten Lieferanten, wenn die EU Kommission nach einer Prüfung seiner Eigentums  und Kontrollverhältnisse feststellt, dass er in einem als riskant eingestuften Drittstaat sitzt oder von dort aus kontrolliert wird – oder wenn er ausdrücklich als besonders risikobehaftet benannt wurde. Die EU-Kommission führt hierzu eine Liste, die regelmäßig aktualisiert wird. Betroffene Unternehmen können bei wesentlichen Änderungen ihrer Strukturen eine Neubewertung beantragen, vgl. Art. 104 CSA2-Entwurf. Die Unternehmen müssen die betroffenen IKT-Komponenten binnen 36 Monaten ab Inkrafttreten der Verordnung entfernen. Damit ist ein verpflichtendes Phase-out von höchstens drei Jahre vorgesehen, Art. 110-111 CSA2-Entwurf. Hier mahnen Verbände insbesondere an, dass eine Abstimmung mit den in einzelnen Mitgliedstaaten schon getroffenen Vereinbarungen mit den Mobilfunkanbietern erfolgen muss.

Aufsicht und Durchsetzung durch EU-Kommission und mitgliedstaatliche Aufsichtsbehörden

Zur Durchsetzung der Lieferkettensicherheit können die zuständigen mitgliedsstaatlichen Aufsichtsbehörden verschiedene Maßnahmen ergreifen. Der CSA2-Entwurf sieht unter anderem vor, dass die in den Anwendungsbereich der NIS2-Richtlinie fallenden Unternehmen auf Anfrage aktuelle Listen ihrer Zulieferer zur Verfügung stellen, Inspektionen ermöglichen und relevante Produktinformationen weitergeben.

Als schärfste Maßnahme kann die EU-Kommission nach dem CSA2-Entwurf Hochrisiko-Anbieter aus der IKT-Lieferkette ausschließen. In diesem Fall würde dann eine Übergangsphase festgelegt werden, innerhalb der die betroffenen Unternehmen diesen Ausschluss umsetzen müssen. Für die betroffenen Unternehmen führt dies zu erhöhten Anforderungen an die eigene Lieferketten-Compliance, Art. 103 Abs. 1 CSA2-Entwurf. Aus Unternehmenssicht ist zu beachten, dass für die Maßnahmen, die zur Umstellung der Lieferkette nach einem Ausschluss erforderlich werden können, keine finanzielle Kompensation vorgesehen ist.

Sanktionen in Höhe von bis zu 7 % des weltweiten Jahresumsatzes möglich

Verstöße gegen die vorgenannten Maßnahmen sowie gegen Meldepflichten sind bußgeldbewehrt. Die Mitgliedsstaaten legen die Höhe der Bußgelder fest. Allerdings etabliert der CSA2-Entwurf einen einheitlichen, umsatzbezogenen Sanktionsrahmen mit Staffelung: bis zu 1 % des weltweiten Jahresumsatzes bei Verstößen gegen die Transparenzpflichten, bis zu 2 % bei Verstößen gegen sonstige Risikominderungsmaßnahmen und bis zu 7 % bei Verstößen gegen Nutzungs-, Installations- und Integrationsverbote gegenüber Hochrisiko-Lieferanten in Schlüssel-IKT-Assets sowie gegen die sektorspezifischen Verbote für elektronische Kommunikationsnetze, vgl. Art. 115 Abs. 5 bis 7 CSA2-Entwurf.

Weiterhin freiwillige europäische Cybersicherheitszertifizierung

Weiterhin soll der EU-Cybersicherheitszertifizierungsrahmen („ECCF“) für Unternehmen als freiwilliges Instrument zur Zertifizierung von IKT-Produkten, -Diensten und -Prozessen, einschließlich Managed Security Services und – neu– der unternehmensweiten Cyber-Resilienz dienen. Cybersicherheitszertifikate und EU-Konformitätserklärungen werden bereits jetzt EU-weit anerkannt1 und können – wo vorgesehen – eine Vermutungswirkung für andere Unionsrechtsakte begründen. Die Schemen arbeiten risikobasiert mit den drei Sicherheitsstufen niedrig (basic), mittel (substantial) und hoch (high) und regeln laufende Konformität, Rezertifizierung sowie Schwachstellenmanagement, vgl. Art. 82 Abs. 1 CSA2-Entwurf. Die Nutzung der Zertifizierungen soll nach den Plänen der EU-Kommission durch den CSA2-Entwurf damit nun noch attraktiver werden.

Wer kann sich bzw. seine Produkte zertifizieren lassen?

Unter dem ECCF können sich grundsätzlich alle Unternehmen zertifizieren lassen, die entweder IKT-Produkte, IKT-Dienste oder IKT‑Prozesse entwickeln, bereitstellen oder betreiben. Maßgeblich ist, dass es für den jeweiligen Gegenstand ein EU‑Zertifizierungsschema gibt. Dazu zählen vor allem Hersteller und Anbieter von Hardware, Software und Komponenten (z.B. über das bereits verfügbare EUCC‑Schema für IKT‑Produkte), Dienstleister wie Cloud‑Anbieter und andere IKT‑Services (für die EU‑Schemen in Vorbereitung sind), ebenso Anbieter von Managed Security Services (ein EU‑Schema ist im Aufbau).

Neu: Möglichkeit der Zertifizierung des Cybersicherheitsrisikomanagement eines Unternehmens in Aussicht

Perspektivisch soll es nach dem Plan der EU-Kommission ebenso möglich sein, dass Unternehmen die Einhaltung der Anforderungen an ihr unternehmensweites Cybersicherheitsrisikomanagement durch ein europäisches Cybersicherheitszertifikat nachweisen können. Dafür sieht der CSA2-Entwurf vor, dass innerhalb des ECCF auch ein Schema erarbeitet werden kann, welches das Cybersicherheitsrisikomanagement eines Unternehmens zertifiziert. Dies könnte nach Ansicht der EU-Kommission für Unternehmen, die unterschiedlichen Verpflichtungen im Bereich der Cyber- und Datensicherheit aus horizontalen Rechtsinstrumenten unterliegen, Erleichterungen bei der Erfüllung von Nachweispflichten bringen. Ein solches Zertifizierungsschema ist allerdings noch nicht in Vorbereitung und wird als „zukünftig“ geführt. Es müsste nach Inkrafttreten des CSA2-Entwurfs erst noch von der EU-Kommission angenommen werden. Für Unternehmen heißt das in praktischer Hinsicht, dass es noch keine operative Zertifizierungsmöglichkeit für das gesamte Cybersicherheitsrisikomanagement gibt und die Weiterentwicklung abzuwarten ist.

Ausblick: Konformitätsvermutung und Verfahrensbeschleunigung

Positiv bewerten Verbände, dass die Cybersicherheitszertifikate zukünftig eine Konformitätsvermutung begründen können,2 beispielsweise hinsichtlich der Vorgaben aus NIS-2. Dies kann perspektivisch zur Rechtssicherheit beitragen und Doppelprüfungen reduzieren.3

Zudem soll das Verfahren zur Festlegung europäischer Schemata für die Cybersicherheitszertifizierung beschleunigt werden. Das bisherige Verfahren hat sich als ineffizient erwiesen. So konnte im Zeitraum von 6 Jahren lediglich ein Schema festgelegt werden. Künftig soll ENISA, nach Aufforderung durch die EU-Kommission zur Erstellung eines Schemas pauschal 12 Monate Zeit haben. Einzelne Verbände kritisieren allerdings, dass auch diese zeitliche Straffung nichts an der Schwerfälligkeit des ECCF zu ändern vermöge.

Umfassende Reform des Mandats von ENISA

Der Aufgabenbereich von ENISA wird durch den CSA2-Entwurf deutlich erweitert. Sie bekommt eine gestärkte Rolle im Bereich der Zertifizierungen. Daneben zeichnet sie nunmehr auch erweiterte operative Tätigkeiten, wie die Erstellung von Lageanalysen, Frühwarnungen und Schwachstellenanalysen, zuständig:

  • Für Unternehmen in der IKT-Lieferkette bedeutet das eine strukturelle Verschiebung der Compliance-Anforderungen: Die Einhaltung regulatorischer Vorgaben beschränkt sich nicht mehr auf nachgelagerte Dokumentations- oder Auditprozesse, sondern erfordert eine frühzeitige Integration der von ENISA entwickelten technischen und organisatorischen Sicherheitsanforderungen in die Produkt- und Dienstentwicklung im Sinne eines verbindlichen „Security by Design“ – Ansatzes, Art. 80 Abs. 1 lit. A CSA2-Entwurf. Da ENISA-Leitlinien und technische Spezifikationen faktisch den Maßstab für Zertifizierungsentscheidungen, Marktaufsicht und nachfolgende Lieferkettenmaßnahmen der EU-Kommission und der nationalen Behörden prägen,4 müssen Unternehmen ihre internen Compliance-Strukturen, Entwicklungsprozesse und Lieferantensteuerung so ausrichten, dass regulatorische Konformität bereits auf Architektur- und Design-Ebene sichergestellt wird, um langfristig den Marktzugang und die rechtssichere Nutzbarkeit ihrer IKT-Produkte und -Dienste im EU-Binnenmarkt zu gewährleisten.
  • Einrichtung einer zentralen, digitalen Meldestelle für Cybervorfälle („single entry-point“): Aus unternehmerischer Sicht interessant ist außerdem, dass, in Übereinstimmung mit dem Digital Omnibus, nun auch der CSA2-Entwurf die Einrichtung einer zentralen Meldestelle unter Aufsicht von ENISA vorsieht. Unternehmen sollen nach dem Prinzip „ein Vorfall, eine Meldung“ ihre Melde- und Berichtspflichten aus unterschiedlichen Rechtsakten gleichzeitig durch eine Meldung erfüllen können. Verbände kritisieren allerdings, dass diese Maßnahme ihr Ziel, Meldewege zu vereinfachen, voraussichtlich verfehle. In der Praxis bleibt es aufgrund zahlreicher, nicht aufeinander abgestimmter Meldepflichten und -fristen weiterhin bei parallelen Meldewegen.5

Überarbeitung der NIS2-Richtlinie und der REACH-Verordnung

Ebenfalls am 20. Januar 2026 hat die EU-Kommission einen Entwurf für die Überarbeitung der NIS2-Richtlinie vorgestellt. Der Entwurf enthält insbesondere Veränderungen im Anwendungsbereich der NIS2-Richtlinie. Kleine DNS-Provider, also Dienstanbieter, die Domainnamen wie gleisslutz.com in die passenden IP-Adressen (z.B. 192.0.2.1) übersetzen und so dafür sorgen, dass Internetdienste erreichbar sind, werden aus dem Anwendungsbereich ausgenommen. Hingegen fallen folgende Anbieter nun unabhängig von der Größe pauschal in den Anwendungsbereich: Anbieter von EUDI-Wallets (also digitale Brieftaschen, mit denen Menschen ihre staatlich bestätigten Identitätsdaten und Nachweise sicher speichern und online sowie offline zur Identifizierung nutzen können) und Anbieter von Dual-Use-Gütern (also Produkte, Software oder Technologien, die für zivile Zwecke gedacht sind, aber auch militärisch oder für sicherheitskritische Anwendungen genutzt werden können).

Eine weitere Änderung des Anwendungsbereichs betrifft den Verweis auf die REACH-Verordnung. Dieser Verweis soll präzisiert werden, da nach dem Verweis der NIS2-Richtlinie auf die REACH-Verordnung aktuell mehr Unternehmen in den Anwendungsbereich der fallen, als beabsichtigt. Um Compliance-Kosten für Unternehmen zu senken, soll die neue Kategorie von „small mid-cap-Unternehmen“ eingeführt werden. Eine weitere Verschärfung ist hinsichtlich der Meldepflichten bei Ransomware-Vorfällen vorgesehen: Die NIS2-Überarbeitung führt nun eine klare Verpflichtung sowie ein standardisiertes Meldeverfahren ein, das festlegt, welche Informationen offenzulegen sind.

Fazit und Ausblick

Der CSA2-Entwurf und die Überarbeitung der NIS-2-Richtlinie verdichten den europäischen Regulierungsrahmen für Cybersicherheit weiter. Beide Vorhaben durchlaufen noch das Trilogverfahren; eine politische Einigung wird Anfang 2027 angestrebt. Nach Annahme gilt der CSA2 unmittelbar als Verordnung, während die NIS-2-Änderungen innerhalb eines Jahres in nationales Recht umzusetzen sind.

Obwohl die europäische Cybersicherheitszertifizierung formal freiwillig bleibt, wächst ihre praktische Compliance-Relevanz. Die geplante Konformitätsvermutung – insbesondere im Verhältnis zur NIS-2 – kann künftig mehr Rechtssicherheit schaffen und Doppelprüfungen vermeiden. Unternehmen sollten daher frühzeitig prüfen, ob Zertifizierungen strategisch sinnvoll sind, und ein belastbares Compliance- und Risikomanagementsystem vorhalten.

Besonders wichtig sind die neuen Pflichten zur IKT-Lieferketten-Compliance. Die Berücksichtigung nicht-technischer Risikofaktoren und die mögliche Ausschlussregelung für Hochrisiko-Anbieter erhöhen die Anforderungen an Transparenz und Dokumentation erheblich. Unternehmen müssen ihre Lieferketten strukturiert erfassen, Hochrisiko-Anbieter identifizieren und bei Bedarf schnell reagieren können – nicht nur zur Erfüllung von Meldepflichten, sondern auch zur Vermeidung von Bußgeldern und operativen Risiken.

Der geplante „Single Entry Point" für Meldungen soll Erleichterungen bringen, ob dies in der Praxis gelingt, bleibt abzuwarten. Unabhängig davon gewinnen klar definierte interne Melde- und Eskalationsprozesse an Bedeutung.

Mit der Stärkung von ENISA als zentraler Aufsichtsstelle ist mit intensiverer Kontrolle und mehr Leitlinien zu rechnen. Cybersicherheits-Compliance wird damit noch stärker zum dauerhaften Governance-Thema.

Insgesamt verschiebt der CSA2-Entwurf Cybersicherheit von einer technischen Frage hin zu einer strategischen Compliance-Pflicht. Ein frühzeitiges, strukturiertes Vorgehen in den Bereichen Lieferkette, Meldewesen und Risikomanagement ist entscheidend, um regulatorische Risiken zu minimieren und die Chancen des neuen Rechtsrahmens zu nutzen.

 

1 Art. 71 Abs. 4 CSA2-Entwurf.

2 Art. 78 Nr. 1 CSA2-Entwurf; CSA2-Entwurf, S. 40 Nr. 80.

3 EU stellt Revision des Cybersecurity Act vor | Presseinformation | Bitkom e. V..

4 Art. 18 CSA2-Entwurf.

5 EU stellt Revision des Cybersecurity Act vor | Presseinformation | Bitkom e. V..

 

Forward
Expertise
Öffentliches Recht Digital Economy Digital Future Energie & Infrastruktur Defense & Security
Experts
Dr. Marc Ruttloff Prof. Dr. Eric Wagner Dr. Friederike Niemann Dr. Pauline Grotz Dr. Manuel Berthold Bucher
Keep in Touch

Keep in Touch
Gleiss Lutz keeps you informed

We would be pleased to add you to our mailing list so that we can keep you informed about current legal developments and events.

Subscribe now