Am 20. Januar 2026 hat die Europäische Kommission den Vorschlag für einen neuen Cybersecurity Act vorgelegt. Die Verordnung soll den CSA von 2019 vollständig ersetzen und eine fundamentale Neuerung bringen: Erstmals wird ein verbindlicher Rahmen für die Sicherheit von IKT-Lieferketten etabliert – mit direkten Konsequenzen für Telekommunikationsanbieter und perspektivisch für alle kritischen Sektoren.
Seit 2019 hat sich die europäische Cybersicherheitslandschaft grundlegend gewandelt. Mit NIS 2, dem Cyber Resilience Act, DORA und zahlreichen sektorspezifischen Regelungen ist ein komplexes Regulierungsgeflecht entstanden. Der ENISA wurden durch nachfolgende Gesetzgebung immer neue Aufgaben zugewiesen, ohne dass das ursprüngliche Mandat angepasst wurde. Dass das einzige bisher verabschiedete Zertifizierungsschema, das EUCC, erst Anfang 2024 kam, fast fünf Jahre nach Inkrafttreten des CSA, illustriert den Reformbedarf
Gleichzeitig hat sich die Bedrohungslage verschärft. Die Kommission verweist auf den Draghi-Report, der die Reduktion von Abhängigkeiten als zentrales Handlungsfeld identifiziert, sowie auf die ProtectEU– und Preparedness Union-Strategien, die Cybersicherheit ins Zentrum der europäischen Resilienz-Agenda stellen.
Die vier Säulen des Entwurfs
Der Vorschlag adressiert vier Themenfelder. Bei der ENISA-Reform geht es um ein konsolidiertes Mandat: Die Agentur soll ein Frühwarnsystem betreiben, einen Ransomware-Helpdesk in Kooperation mit Europol aufbauen und die Single Reporting Platform aus dem CRA übernehmen. Dafür ist eine Budgetsteigerung um 81,5% und ein Personalaufwuchs um 118 Vollzeitstellen vorgesehen.
Das Zertifizierungsframework (ECCF) soll grundlegend überarbeitet werden, damit Schemata künftig innerhalb von 12 Monaten entstehen können. Besonders relevant ist die geplante Erweiterung um eine “Cyber Posture”-Zertifizierung für Betreiber – dazu unten mehr.
Im Bereich Compliance-Vereinfachung sollen gezielte NIS 2-Änderungen rund 28.700 Unternehmen entlasten. Die Kommission schätzt die möglichen Einsparungen auf 14,6 Milliarden Euro.
Das eigentliche Novum ist jedoch das vorgeschlagene IKT-Lieferketten-Framework: ein horizontaler Rahmen, der erstmals nicht-technische Risiken in Lieferketten adressiert
Das Supply Chain Framework
Das Framework richtet sich an Betreiber gemäß NIS 2 Annex I und II. Diese sollen künftig keine Komponenten von Hochrisiko-Lieferanten in sogenannten “Key ICT Assets” einsetzen dürfen. Hersteller wären zwar nicht direkt adressiert, würden aber faktisch ihren europäischen Absatzmarkt verlieren, sobald sie als Hochrisiko-Lieferant eingestuft werden.
Vorgesehen ist ein mehrstufiger Prozess: Koordinierte EU-Risikobewertungen sollen Drittländer identifizieren, die ein “ernsthaftes und strukturelles nicht-technisches Risiko” für IKT-Lieferketten darstellen. Als Kriterien nennt der Entwurf unter anderem Gesetze, die Unternehmen zur Meldung von Schwachstellen an staatliche Behörden verpflichten, fehlende demokratische Kontrollmechanismen sowie nachgewiesene Aktivitäten staatlich kontrollierter Bedrohungsakteure.
Wird ein Land entsprechend eingestuft, hätte das weitreichende Folgen für dort ansässige oder von dort kontrollierte Unternehmen: Sie könnten weder EU-Fördermittel erhalten noch an öffentlichen Vergaben teilnehmen, keine ECCF-Zertifizierung erlangen und nicht mehr an EU-Cybersicherheitsstandards mitwirken.
Für 5G-, Fest- und Satellitennetze geht der Entwurf besonders weit. Annex II definiert konkret, welche Komponenten als Key ICT Assets gelten – von Core Network Functions über Radio Access Networks bis zu kryptografischen Produkten für Satellitentelemetrie. Für diese Assets sieht der Entwurf einen verpflichtenden Ausstieg aus Hochrisiko-Komponenten vor, bei 5G innerhalb von 36 Monaten. Für andere Sektoren könnte die Kommission per Durchführungsrechtsakt ähnliche Vorgaben erlassen.
Zertifizierung mit zwei Stoßrichtungen
Der Entwurf differenziert klar zwischen Herstellern und Betreibern. Für Hersteller ist eine Produktzertifizierung mit expliziter CRA-Verzahnung vorgesehen: ECCF-Zertifikate sollen als Konformitätsnachweis dienen können. Ob etablierte Standards wie die IEC 62443-4-1 in künftige Schemata einfließen, lässt der Entwurf offen.
Für Betreiber bringt die geplante Cyber Posture-Zertifizierung eine neue Option: Sie könnten ihre NIS2-Compliance künftig per Zertifikat nachweisen – unabhängig davon, welche Produkte sie einsetzen. Das wäre ein Paradigmenwechsel: weg von der rein technischen Produktzertifizierung, hin zur Zertifizierung organisatorischer Sicherheitsmaßnahmen.
Strategische Einordnung
Der Entwurf würde faktisch den 5G-Toolbox-Ansatz kodifizieren, dessen freiwillige Umsetzung die Kommission als unzureichend bewertet. Obwohl keine Länder explizit genannt werden, zielen die Kriterien erkennbar auf Jurisdiktionen wie China und Russland.
Die wirtschaftlichen Auswirkungen wären erheblich: Die Kommission schätzt die Kosten für Mobilfunkbetreiber auf 3,4 bis 4,3 Milliarden Euro jährlich. Gleichzeitig erwartet sie Investitionen von bis zu 2 Milliarden Euro pro Jahr in vertrauenswürdige europäische Anbieter – ein Markt, der sich für entsprechend positionierte Unternehmen öffnen würde.
Was Unternehmen jetzt tun können
Telekommunikationsanbieter wären unmittelbar betroffen. Eine Inventur der eingesetzten Komponenten und ihrer Herkunft ist bereits jetzt sinnvoll – wobei nicht nur der direkte Lieferant zählt: Ein europäischer Integrator mit chinesischem Mutterkonzern würde ebenfalls unter die Regelung fallen.
Andere NIS2-Einrichtungen hätten mehr Zeit, sollten aber ihre Lieferketten auf Abhängigkeiten von Anbietern aus kritischen Jurisdiktionen analysieren. Die geplante Cyber Posture-Zertifizierung könnte mittelfristig einen effizienten Compliance-Pfad eröffnen.
Hersteller wären indirekt über wegfallende Absatzmärkte betroffen. Wer sich als vertrauenswürdiger Anbieter positionieren und dies durch Zertifizierung dokumentieren kann, hätte einen klaren Wettbewerbsvorteil. Eine bestehende IEC 62443-Zertifizierung bietet dafür eine solide Grundlage.
Fazit
Das Gesetzgebungsverfahren wird erfahrungsgemäß 18 bis 24 Monate dauern, und insbesondere das Lieferketten-Framework dürfte auf Widerstand stoßen. Doch unabhängig davon, wie der finale Text aussehen wird: Die Richtung ist erkennbar. Die EU bewegt sich von freiwilliger Koordinierung zu verbindlichen Vorgaben – und Unternehmen, die sich frühzeitig darauf einstellen, werden besser vorbereitet sein.
Dieser Artikel basiert auf dem Verordnungsvorschlag COM(2026) 11 final, den Annexen und dem Impact Assessment SWD(2026) 11 der Europäischen Kommission vom 20. Januar 2026. Die endgültigen Regelungen können im Gesetzgebungsverfahren noch angepasst werden.
Weiterführende Informationen:
Kommentar hinzufügen