Am 20. Januar 2026 hat die EU-Kommission ein neues „Cybersecurity Package“ vorgelegt, das in seiner Stoßrichtung über klassische IT-Sicherheitsregulierung hinausgeht.
Das Paket besteht im Wesentlichen aus zwei legislativen Strängen:
- einem Vorschlag zur Revision des EU Cybersecurity Acts (CSA) als Verordnung COM(2026) 11 – „Proposal for a Regulation for the EU Cybersecurity Act“, inklusive Annexes, und
- einem begleitenden Richtlinienvorschlag, dem COM(2026) 13 – „Directive Proposal for simplification measures and alignment with the Cybersecurity Act“, inklusive Annex, der gezielte Vereinfachungs- und Klarstellungsmaßnahmen, insbesondere zur Umsetzung der NIS-2-Richtlinie, enthält.
Beide Stränge werden von der Kommission in einer gemeinsamen Problemdefinition zusammengeführt: Die EU sei täglich Angriffen auf essenzielle Dienste und demokratische Institutionen ausgesetzt; gleichzeitig sei die Resilienz europäischer digitaler Wertschöpfungsketten nicht nur eine Frage von Produkt- und Systemhärtung, sondern zunehmend auch eine Frage strategischer Abhängigkeiten und potenzieller „foreign interference“ (vgl. Pressemitteilung der EU-Kommission).
Der Paradigmenwechsel: Supply Chain Security als europäische Sicherheitsarchitektur
Der zentrale normative Sprung liegt in der Ausgestaltung eines horizontalen Rahmens für „trusted ICT supply chain security“ in kritischen Infrastrukturen. Die Kommission will damit einen Mechanismus etablieren, der es der EU und den Mitgliedstaaten erlaubt, strategische Risiken in den Lieferketten für kritische Informations- und Kommunikationstechnologien (IKT) gemeinschaftlich zu bewerten und – wo erforderlich – mit verhältnismäßigen Maßnahmen zu adressieren. Bemerkenswert ist die explizite Erweiterung des Risikobegriffs: Supply-Chain-Risiken werden nicht mehr primär als Summe technischer Schwachstellen verstanden, sondern als Gemengelage aus technischen, organisatorischen und geopolitischen Faktoren, in der Abhängigkeiten, Markt-Lock-ins und Einflussmöglichkeiten dritter Staaten als eigenständige Risikotreiber auftreten (vgl. Pressemitteilung). Insbesondere die Diskussion um „high-risk suppliers“ wird als Versuch interpretiert, bisher teils unverbindliche Empfehlungen zu einer verpflichtenden, unionsweit konsistenten Praxis zu verdichten. Reuters berichtet etwa, dass ein 36-Monats-Zeitfenster für den Austausch kritischer Komponenten in Mobilfunknetzen im Raum steht, sobald eine finale High-Risk-Supplier-Liste veröffentlicht ist, und ordnet dies politisch als gegen Huawei/ZTE gerichtet ein.
Zertifizierung wird „Governance-Werkzeug“: Der neue Stellenwert des ECCF
Der zweite Pfeiler ist die Reform des Europäischen Cybersecurity-Zertifizierungsrahmens, dem European Cybersecurity Certification Framework (ECCF). In der Kommissionslogik dient Zertifizierung nicht mehr nur der Marktsignalisierung oder der Harmonisierung technischer Anforderungen, sondern wird als Hebel zur Reduktion von Compliance-Reibung und zur Durchsetzung eines konsistenten Sicherheitsniveaus positioniert. Die Kommission formuliert ausdrücklich das Ziel, Zertifizierungsprozesse zu vereinfachen und die Entwicklung von Schemes zu beschleunigen (siehe Q&A der EU-Kommission zum Cybersecurity Package).
Gerade aus Sicht regulierter Unternehmen und der auditierenden/prüfenden Praxis ist dabei die intendierte Funktion als Nachweis-Infrastruktur quer zu verschiedenen Rechtsakten von Interesse. Bitkom begrüßt diesen Ansatz und argumentiert, Zertifikate könnten künftig stärker als Compliance-Nachweise dienen, Doppelprüfungen reduzieren und Cybersicherheit „schneller, klarer und weniger bürokratisch“ machen. Hinter dieser Position steht ein plausibles industriepolitisches Motiv: Je stärker Zertifikate als „common language“ zwischen NIS-2, Cyber Resilience Act-(CRA-)Pflichten und sektoraler Aufsicht funktionieren, desto weniger werden Unternehmen gezwungen, dieselben Kontrollen in unterschiedlichen Nachweisformaten parallel zu führen.
NIS-2-Vereinfachung: weniger administrative Last, mehr Klarheit
Der oben erwähnte begleitende Richtlinienvorschlag (COM(2026) 13) adressiert gezielt Vollzugs- und Umsetzungsprobleme, die sich in der NIS-2-Praxis abzeichnen: Rechtsunklarheiten bei Zuständigkeiten, Meldewegen und der Aufsicht über grenzüberschreitend tätige Einheiten. Der Vorschlag nennt „targeted amendments“ zur NIS-2-Richtlinie, um Jurisdiktionsregeln zu vereinfachen, die Erhebung von Daten zu Ransomware-Angriffen zu straffen und die Aufsicht grenzüberschreitender Organisationen zu erleichtern – mit einer gestärkten koordinierenden Rolle von ENISA, der EU-Agentur für Cybersicherheit.
Die Sicherheitsziele bleiben, aber die Mechanik soll klarer, konsistenter und weniger redundant werden. In diese Linie fällt auch der Verweis auf einen „single-entry point for incident reporting“, der im Kontext des Digital-Omnibus-Ansatzes die Meldearchitektur vereinheitlichen soll.
Politisch ist genau hier die Konfliktlinie sichtbar: Vereinheitlichung kann Prozesse entlasten, zugleich aber nationale Zuständigkeiten berühren. So begrüßt etwa Die Grünen-Bundestagsfraktion zwar den Blick auf nicht-technische Sicherheitsrisiken, genannt werden Lieferkettenabhängigkeiten, Lock-in-Effekte bei Hyperscalern, Risiken politischer Einflussnahme, und auch die potenzielle Entlastung durch vereinheitlichte Meldungen, warnt jedoch vor einer Schwächung nationaler Sicherheitsbehörden (z. B. das BSI) sowie vor einer Absenkung von Frequenz und Qualität der Meldungen.
ENISA: „Fit for Purpose“ zwischen Koordination, Lagebild und Durchsetzung
ENISA wird im Paket nicht nur als technische Agentur, sondern auch als zentrale Koordinationsinstanz im europäischen Cyber-Governance-Modell adressiert. Die Kommission betont eine Stärkung der Rolle von ENISA in operativer Kooperation, gemeinsamer Lageerfassung, Standards und Zertifizierung sowie bei Maßnahmen zur Ransomware-Mitigation; zudem soll ENISA die Umsetzung der „Cybersecurity Skills Academy“ unterstützen. Flankiert wird dies durch die Aussage, das Budget von ENISA solle um mehr als 75 % steigen (vgl. Q&A).
In der Logik des Pakets erfüllt ENISA damit zwei Funktionen: Erstens eine informations- und koordinationsgetriebene Funktion (Lagebild, Austausch, Standards), zweitens eine politische Funktion als Scharnier zwischen EU-weiter Harmonisierung (Zertifizierung, Supply-Chain-Rahmen) und nationaler Aufsichtspraxis.
Der geopolitische Subtext
Dass sich das Paket in der öffentlichen Wahrnehmung stark auf Huawei/ZTE verengt, ist nachvollziehbar, aber greift zu kurz. Der juristische Kern ist nicht die Fokussierung auf ein bestimmtes Herstellerland, sondern die Operationalisierung eines risikobasierten Mechanismus, der strategische Abhängigkeiten als Sicherheitsrisiko behandelt. Das Handelsblatt greift das auf und stellt die Maßnahme als Befugnis dar, umstrittene Anbieter in Mitgliedstaaten künftig verbieten zu können, wobei Huawei/ZTE als naheliegende Referenz genannt werden.
In der politischen Stellungnahme der Grünen erscheint diese Dimension explizit: Nicht vertrauenswürdige ausländische Anbieter sollen aus besonders sicherheitskritischen Bereichen ausgeschlossen bleiben; wer im Verdacht stehe, aufgrund rechtlicher Verpflichtungen sensible Daten an Drittstaaten weiterzugeben oder im Konfliktfall den Zugang zu Versorgungsleistungen zu kappen, gehöre nicht in die kritische Infrastruktur.
Praktische Implikationen: Was sich für Unternehmen, Betreiber und die Prüfpraxis tatsächlich ändert
Aus Unternehmens- und Betreiberperspektive ist das Cybersecurity-Paket 2026 vor allem ein Signal für drei kommende Verschiebungen:
- Die Nachweisführung wird stärker standardisiert – und damit “auditierbarer“, aber auch strenger vergleichbar.
- Die Lieferketten-Governance wird in vielen Fällen zum eigentlichen Prüfgegenstand. Anmerkung: Die datenschutz cert prüft diesen Aspekt im Kontext der BSIG-Regulierung (hier erfahren Sie mehr).
- Die Melde- und Aufsichtsarchitektur wird konsolidiert – aber politisch umkämpft bleiben.
Einordnung und Ausblick
Die Kommission rahmt ihre Digitalpolitik seit Längerem als „agiles Regelwerk“; das Cybersecurity-Paket 2026 ist ein Versuch, diese Agilität nicht nur als Schlagwort, sondern als institutionelle Fähigkeit zu operationalisieren: schneller in der Zertifizierung, klarer in den Zuständigkeiten, strategischer in ITK-Lieferketten – und koordinierter in der Rolle von ENISA.
Ob dies gelingt, hängt von der Umsetzung ab: Wie werden High-Risk-Bewertungen ausgelöst und überprüft? Wie werden Zertifizierungsschemata entwickelt, gepflegt und an die Realität schneller Produktzyklen angepasst? Wie werden Meldepflichten so harmonisiert, dass „one incident, one report“ nicht nur Leitbild bleibt? Und wie wird sichergestellt, dass Koordination auf EU-Ebene nationale Sicherheitsarchitekturen ergänzt, statt sie zu schwächen?
Die Entwürfe markieren damit keinen Schlusspunkt, sondern eine Nachjustierung: Cybersicherheit bleibt in der EU weiterhin stark in Bewegung.