Der Cybersecurity Act 2 kommt: Neustart bei Zertifizierung und Lieferkettensicherheit

Am 20. Januar 2026 hat die Europäische Kommission einen Entwurf vorgelegt, der den bisherigen Cybersecurity Act von 2019 grundlegend neu ausrichten soll. 

Ein Blick zurück: Mit dem Cybersecurity Act von 2019 gab es erstmals einen EU‑weiten Rahmen für die freiwillige Cybersicherheitszertifizierung von IKT‑Produkten, ‑Dienstleistungen und ‑Prozessen. Zugleich erhielt die EU‑Agentur ENISA ein dauerhaftes Mandat und wurde als zentrale Koordinationsstelle der europäischen Cybersicherheit deutlich gestärkt. Seitdem hat sich die europäische Regulierungslandschaft jedoch erheblich weiterentwickelt – etwa durch NIS2, DORA, den Cyber Resilience Act und die RED. Der CSA von 2019 ist damit heute selbst Teil eines zunehmend zerstreuten Regelungsgefüges.

Mit der Reform verfolgt die Kommission das Ziel, die Cybersicherheitsarchitektur des digitalen Binnenmarkts substanziell zu stärken, die fragmentierte Regulierungslandschaft stärker zusammenzuführen und miteinander zu verzahnen.

Die Revision des Cybersecurity Acts: Vom freiwilligen Zertifizierungsrahmen zur verbindlichen Lieferketten-Governance

Der bisherige Cybersecurity Act aus dem Jahr 2019 beschränkte sich im Wesentlichen auf die Schaffung eines europäischen Zertifizierungsrahmens für IKT-Produkte, -Dienste und -Prozesse. Die Zertifizierung war freiwillig, spezifische Unternehmenspflichten im Bereich der Lieferkette sah das Gesetz nicht vor.

Der CSA-2-Entwurf verschiebt diesen Fokus grundlegend. Im Zentrum steht ein neuer horizontaler Rahmen für vertrauenswürdige IKT-Lieferketten, der auf verbindliche, unionsweit harmonisierte Eingriffe in kritische Lieferketten abzielt. Kernelemente dieses neuen Rahmens sind EU-weit koordinierte Risikoanalysen, die Identifizierung sogenannter „Schlüssel-IKT-Assets" – also Komponenten, Systeme oder Dienste, deren Ausfall, Manipulation oder Kompromittierung erhebliche Auswirkungen auf kritische Sektoren haben können – sowie die Möglichkeit verbindlicher Risikominderungsmaßnahmen bis hin zu Nutzungs- und Einbauverboten.

Besonders bemerkenswert ist, dass der CSA2-Entwurf die Risikobewertung nicht mehr ausschließlich auf technische Sicherheitsaspekte beschränkt, sondern ausdrücklich auch nicht-technische Risikofaktoren wie rechtliche, geopolitische oder organisatorische Abhängigkeiten einbezieht. Ob ein Unternehmen künftig in den Anwendungsbereich fällt, richtet sich maßgeblich nach dem jeweiligen Sektor gemäß den Anlagen der NIS-2-Richtlinie, wobei für die Betroffenheit keine Schwellenwerte gelten, entscheidend ist vielmehr ein rollen- und risikobasierter Ansatz.

Der neue Pflichtenkatalog für Unternehmen

Für betroffene Unternehmen sieht der CSA-2-Entwurf einen umfassenden Pflichtenkatalog vor, der durch Durchführungsrechtsakte der Kommission konkretisiert wird. Zu den vorgesehenen Risikominderungsmaßnahmen gehören insbesondere Transparenzpflichten gegenüber Aufsichtsbehörden, die Unternehmen zur Offenlegung ihrer Lieferkette für betroffene Schlüssel-IKT-Assets verpflichten, sowie Beschränkungen für Datenübermittlungen und Remote-Verarbeitung in Drittstaaten.

Darüber hinaus können technische Mindest- und Schutzmaßnahmen vorgeschrieben werden, die einer Dritt-Auditierung unterliegen, darunter On-Device-Processing, spezifische Netzsegmentierung und kontinuierliches operatives Netzwerk-Monitoring. Outsourcing- und Betriebsrestriktionen können Auslagerungen an Managed Service Provider untersagen oder einschränken. Hinzu kommen Vertragsrestriktionen gegenüber Lieferanten sowie Diversifizierungspflichten zur Vermeidung von Single-Vendor-Risiken.

Eine Sonderregelung gilt für Anbieter elektronischer Kommunikationsnetze: Bei kritischen IKT-Assets dürfen diese keine Komponenten von Hochrisiko-Lieferanten verwenden, installieren oder integrieren. Bereits eingebaute Komponenten müssen binnen 36 Monaten ab Inkrafttreten der Verordnung entfernt werden. Verbände betonen, dass in diesem Zusammenhang bestehende nationale Ausstiegs‑ und Übergangspläne für Komponenten angemessen zu berücksichtigen sind, insbesondere im Bereich der Telekommunikationsanbieter.

Als Hochrisiko-Lieferant wird eingestuft, wer in einem als riskant eingestuften Drittstaat sitzt oder von dort aus kontrolliert wird – wobei die Europäische Kommission eine entsprechende Liste führt und regelmäßig aktualisiert. Die Einstufung von Drittstaaten erfolgt anhand eines Katalogs nicht-technischer Kriterien, etwa Gesetze zur Vorab-Meldung von Schwachstellen, fehlende Rechtsbehelfe oder staatlich tolerierte Threat-Actor-Aktivitäten.

Verstöße werden empfindlich sanktioniert: Bis zu 1 % des weltweiten Jahresumsatzes drohen bei Verstößen gegen Transparenzpflichten, bis zu 2 % bei Verstößen gegen sonstige Risikominderungsmaßnahmen und bis zu 7 % bei Verstößen gegen Nutzungs- und Integrationsverbote gegenüber Hochrisiko-Lieferanten.

Geopolitische Dimension und kompetenzrechtliche Fragen

Der CSA2-Entwurf geht weit über klassische Cybersicherheitsregulierung hinaus und bringt den Gedanken einer „digitalen Souveränität" in die europäische Cybersicherheitsregulierung ein. Die Verschiebung von technischen hin zu nicht-technischen Bewertungsmaßstäben markiert eine Hinwendung zu einem geopolitischen Verständnis von Cybersicherheit und stellt einen Paradigmenwechsel dar.

Dieser Ansatz wirft komplexe Kompetenzfragen auf. Der Entwurf stützt sich allein auf Art. 114 AEUV – die Binnenmarktkompetenz –, adressiert aber faktisch geopolitische Sicherheitserwägungen, die traditionell in den Bereich der nationalen Sicherheit fallen. Die argumentativ schwache Verknüpfung mit dem Binnenmarkt deutet auf eine fragil konstruierte Internalisierung externer geopolitischer Gefährdungen hin. Es droht zudem ein Verlust technisch-objektiv bewertbarer Maßstäbe: Es droht eine Abkehr von objektivierbaren technischen Prüfmaßstäben, sofern an die Stelle der Komponentensicherheit eine abstrakte Bewertung nach Herkunftsstaaten tritt.

In diesem Zusammenhang ist ein beim EuGH anhängiges Verfahren in der Rechtssache C-354/24 - Elisa Eesti AS zur Frage des Ausschlusses von 5G-Technologieanbietern aus Sicherheitsgründen von besonderer Bedeutung. Am 19. März 2026 veröffentlichte Generalanwältin Ćapeta Schlussanträge, in denen sie klarstellte, dass eine Risikobewertung bezüglich Drittstaaten oder deren Zulieferern nicht auf einem bloßen Generalverdacht beruhen darf. Vielmehr muss zwingend bewertet werden, welche spezifische Funktionalität, welchen genauen Standort und welche konkrete Bedeutung die betreffende Hardware und Software für die Bereitstellung des Kommunikationsdienstes tatsächlich hat. Ein pauschaler Ausschluss ohne Rücksicht auf die tatsächliche Netzwerkarchitektur greift demnach zu kurz.

Stärkung der Zertifizierung und ENISA-Reform

Die europäische Cybersicherheitszertifizierung bleibt formal freiwillig, erfährt aber eine erhebliche Aufwertung. Positiv bewerten Verbände, dass Cybersicherheitszertifikate künftig eine Konformitätsvermutung begründen können, insbesondere hinsichtlich der Vorgaben aus der NIS-2-Richtlinie. Dies kann perspektivisch zur Rechtssicherheit beitragen und Doppelprüfungen reduzieren. Perspektivisch soll es zudem möglich sein, das unternehmensweite Cybersicherheitsrisikomanagement durch ein europäisches Zertifikat nachzuweisen – ein solches Schema ist allerdings noch nicht in Vorbereitung.

Das Mandat der ENISA wird durch den CSA-2-Entwurf deutlich erweitert. Die Agentur wird zur zentralen Koordinationsstelle für Zertifizierung, Aufsicht und Unterstützung der Mitgliedstaaten ausgebaut und zeichnet künftig auch für erweiterte operative Tätigkeiten wie Lageanalysen, Frühwarnungen und Schwachstellenanalysen verantwortlich. Für Unternehmen bedeutet dies eine strukturelle Verschiebung der Compliance-Anforderungen: Die Einhaltung regulatorischer Vorgaben erfordert eine frühzeitige Integration der von ENISA entwickelten Sicherheitsanforderungen im Sinne eines verbindlichen „Security by Design"-Ansatzes.

Fazit und Handlungsempfehlungen

Cybersicherheit wird von einer technischen Frage zu einer strategischen Compliance-Pflicht mit geopolitischer Dimension. Der Entwurf des CSA-2 durchläuft noch das Trilogverfahren; eine politische Einigung wird Anfang 2027 angestrebt.

Unternehmen sollten frühzeitig prüfen, ob und in welchem Umfang sie betroffen sind, und ein belastbares Compliance- und Risikomanagementsystem aufbauen. Besonderes Augenmerk ist auf die Lieferketten-Compliance zu legen: Die Berücksichtigung nicht-technischer Risikofaktoren und die mögliche Ausschlussregelung für Hochrisiko-Anbieter erhöhen die Anforderungen an Transparenz und Dokumentation erheblich. Gleichzeitig sollten betroffene Unternehmen das laufende EuGH-Verfahren in der Rechtssache C-354/24 - Elisa Eesti AS aufmerksam verfolgen, dessen Ausgang einen indirekten Testfall für den CSA-2-Entwurf darstellen könnte.