IT-Notfall

EU Cybersecurity Act

Einführung und Ausgangslage

Die Verordnung (EU) 2019/881, allgemein bekannt als EU Cybersecurity Act, wurde am 17. April 2019 durch das Europäische Parlament und den Rat der Europäischen Union verabschiedet. Sie trat am 27. Juni 2019 in Kraft und ist ein zentraler Baustein der europäischen Cybersicherheitsstrategie. Ihr übergeordnetes Ziel ist es, die Cybersicherheitslage in der EU nachhaltig zu verbessern, das Vertrauen in digitale Technologien zu stärken und einen einheitlichen Binnenmarkt für sichere IKT-Produkte und -Dienste zu schaffen.

Sie verfolgt dabei zwei große Reformziele:

  1. Die Stärkung und dauerhafte Etablierung der ENISA (Agentur der Europäischen Union für Cybersicherheit) als zentrale europäische Fachstelle für Cybersicherheit.
  2. Die Einführung eines EU-weiten Cybersicherheitszertifizierungsrahmens, der harmonisierte Sicherheitsanforderungen für IKT-Produkte und -Dienste festlegt.

Die Rolle der ENISA (European Union Agency for Cybersecurity)

Mit dem Inkrafttreten des Cybersecurity Acts erhält ENISA erstmals ein dauerhaftes Mandat sowie deutlich erweiterte Aufgaben und mehr Ressourcen. Die Agentur wurde bereits 2004 gegründet, ihre Rolle war jedoch bisher begrenzt und zeitlich befristet.

Durch den neuen Rechtsrahmen wird ENISA zum zentralen Koordinator der europäischen Cybersicherheitspolitik. Zu ihren Hauptaufgaben zählen:

  • Unterstützung der Mitgliedstaaten bei der Entwicklung und Umsetzung nationaler Cybersicherheitsstrategien,
  • Förderung der Zusammenarbeit und Koordination zwischen nationalen Stellen und Computer-Sicherheitsvorfallteams (CSIRTs),
  • Entwicklung von Cybersicherheits-Übungen und Frühwarnsystemen,
  • Analyse aktueller Bedrohungen und Erstellung von Lageberichten,
  • Sensibilisierung der Öffentlichkeit sowie Förderung von Cyberhygiene und Weiterbildung,
  • Unterstützung bei der Umsetzung der NIS-Richtlinie (Netz- und Informationssicherheit).

ENISA spielt zudem eine Schlüsselrolle bei der Ausarbeitung von Cybersicherheitszertifizierungsschemata, was ihr zusätzliche technische und strategische Bedeutung verleiht.

Der EU-weite Cybersicherheitszertifizierungsrahmen

Ein zentrales Element der Verordnung ist die Schaffung eines einheitlichen Rahmens für die Cybersicherheitszertifizierung. Ziel ist es, den bislang zersplitterten Markt mit unterschiedlichen nationalen Zertifikaten zu vereinheitlichen und dadurch folgende Vorteile zu erzielen:

  • Verbraucherschutz: Transparenz und Vertrauen in IKT-Produkte und -Dienste,
  • Unterstützung von Innovation und Wettbewerb auf dem EU-Binnenmarkt,
  • Rechtssicherheit für Unternehmen, insbesondere für KMU und Start-ups,
  • Förderung der Resilienz kritischer Infrastrukturen (z. B. Energieversorgung, Gesundheitswesen, Verkehr).

Die Verordnung sieht vor, dass Zertifizierungen freiwillig erfolgen – außer wenn EU-Rechtsakte sie verpflichtend machen. Jedes Zertifikat basiert auf einem von der Kommission verabschiedeten EU-Zertifizierungsschema, das die folgenden Vertrauensstufen definiert:

  1. Grundlegend (basic)
  2. Substanziell (substantial)
  3. Hoch (high)

Die Einstufung richtet sich nach dem Risiko, dem ein Produkt oder Dienst ausgesetzt ist. Die Bewertung erfolgt durch akkreditierte Konformitätsbewertungsstellen in den Mitgliedstaaten.

Bedeutung für die Industrie und kritische Infrastrukturen

Der Cybersecurity Act betrifft nicht nur traditionelle IKT-Unternehmen, sondern auch Betreiber kritischer Infrastrukturen sowie Anbieter von Cloud-Diensten, Softwarelösungen, IoT-Geräten und anderen digitalen Technologien. Diese Bereiche sind besonders anfällig für Angriffe und benötigen zuverlässige Sicherheitsstandards.

Durch zertifizierte Sicherheitsmerkmale sollen Hersteller dazu angehalten werden, „Security by Design“ (Sicherheit von Anfang an) und „Security by Default“(sichere Voreinstellungen) zu implementieren. Produkte sollen nicht erst nachträglich gegen Bedrohungen abgesichert werden müssen.

Ein Beispiel ist der Bereich Internet of Things (IoT): Vernetzte Haushaltsgeräte, Smart Homes oder Wearables stellen zunehmend ein Sicherheitsrisiko dar. Einheitliche EU-Zertifikate können hier Mindeststandards durchsetzen.

Governance, Zusammenarbeit und Krisenmanagement

Die Verordnung stärkt die europäische Zusammenarbeit bei der Bekämpfung von Cyberbedrohungen. ENISA agiert als koordinierende Stelle und unterstützt den Informationsaustausch zwischen:

  • den CSIRTs der Mitgliedstaaten,
  • den nationalen Aufsichtsbehörden,
  • EU-Organen wie der Kommission oder dem Rat.

Darüber hinaus fördert die Verordnung auch die internationale Zusammenarbeit, etwa mit den USA, Japan oder der NATO, um globale Standards zu entwickeln und auf multilateraler Ebene gegen Cyberkriminalität vorzugehen.

Ein weiterer Aspekt ist die Vorbereitung auf Cyberkrisen. ENISA soll die Mitgliedstaaten durch Simulationen und Trainingsprogramme befähigen, auf koordinierte Angriffe, etwa durch staatliche oder kriminelle Akteure, wirksam zu reagieren.

EU Cybersecurity Act

Öffentlichkeitsarbeit, Bildung und Bewusstsein

Der EU Cybersecurity Act misst der Aufklärung und Sensibilisierung der Öffentlichkeit hohe Bedeutung bei. ENISA wird beauftragt:

  • eine zentrale Plattform für Cybersicherheitsinformationen zu betreiben,
  • Schulungsprogramme zu entwickeln, um Fachkräfte auszubilden,
  • Kampagnen zur Cyberhygiene durchzuführen, z. B. zur Erkennung von Phishing, sicherem Passwortmanagement oder Datenschutz im Alltag.

Fazit

Der EU Cybersecurity Act stellt einen bedeutenden Meilenstein in der europäischen Digitalpolitik dar. Er bietet einen gemeinsamen Rahmen für Cybersicherheit, stärkt die Handlungsfähigkeit der ENISA und fördert das Vertrauen in digitale Technologien. Durch den europaweiten Zertifizierungsmechanismus wird sowohl die technologische Sicherheit gestärkt als auch ein Innovationsklima geschaffen, das für Unternehmen wie für Verbraucher gleichermaßen von Vorteil ist. Die Verordnung ist ein zentraler Pfeiler der digitalen Souveränität der EU und ihrer langfristigen Sicherheitsstrategie im digitalen Zeitalter.

Vollständiges Gesetz downloaden
Juristische Beratung

Marktplatz IT-Sicherheit: weitere Angebote

Beiträge IT-Sicherheit
newspaper - news - icon
News
IT-Sicherheit-News
artikel paper - artikel - icon
Artikel
IT-Sicherheit-Artikel
Sprechblasen - Blog - Icon
Blog
IT-Sicherheit-Blogeinträge
Büroklammer - Whitepaper - Icon
Whitepaper
IT-Sicherheit-Whitepaper
ITS-Couch
ITS-Couch-Sofa-Icon
Markplatz Formate
Experten sehen & hören
its-couch-podcast-icon
IT-Sicherheit-Podcast
IT-Sicherheit zum hören
its-couch-video-icon
Livestream IT-Sicherheit
Events & Material
Ratgeber IT-Sicherheit
Glühbirne - Ratgeber - Icon
Cyber-Risyk-Check
Hilfestellungen IT-Sicherheit
Dokument mit Stern - Studien - Icon
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Glossar Cyber-Sicherheit - Glossar - Icon
Glossar
Glossar Cyber-Sicherheit
Buch - Icon
Vorlesung Cyber-Sicherheit
Lehrbuch “Cyber-Sicherheit”
IT-Gesetze Icon
IT-Sicherheitsgesetze
Aktueller Gesetzesrahmen
Forum IT-Sicherheit
Datenschutz - Icon
Datenschutz
Diskussionsforum
Penetrationstests - Icon
Penetrationstests
Diskussionsforum
NIS2
NIS2
Diskussionsforum
markplatz_illustration_firstidea_standdertechnik
Stand der Technik
Diskussionsforum
IT Supply-Chain-Security Icon
IT-Supply Chain Security
Diskussionsforum
IT-Sicherheitstools
secaware_lightbulb
Interaktive Awareness-Schulung
Selbstlernangebot IT-Sicherheit
Zahnräder - Tools - Icon
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten
Interaktive Listen
IT-Notfall
IT-Notfall
Kontaktdaten von IT-Sicherheitsanbietern
Penetrationstests - Icon
Penetrationstests
Kontaktdaten von IT-Sicherheitsanbietern
markplatz_illustration_beauftragtertest
Informationssicherheitsbeauftragter (ISB)
Kontaktdaten von IT-Sicherheitsanbietern
SOC - Icon
Security Operations Center (SOC)
Kontaktdaten von IT-Sicherheitsanbietern
Datenschutzbeauftragter-Icon
Der Datenschutzbeauftragte
Kontaktdaten von IT-Sicherheitsanbietern
it-sicherherheitsrecht waage
IT-Sicherheitsrecht
Juristische Beratung
Zertifikate IT-Sicherheit
Personenzertifikate - Icon
Personenzertifikate
Interaktive Liste
Unternehmenszertifikate - Icon
Unternehmenszertifikate
Interaktive Liste
Veranstaltungen
Anbieterverzeichnis
Skip to content