Bitkom: „Cybersicherheit muss schneller, klarer und weniger bürokratisch werden“
Ziel einfacherer Meldewege wird aber verfehlt
Bestehende Vereinbarungen bei der Nutzung ausländischer Komponenten in kritischer Infrastruktur müssen Bestand haben
Berlin, 20. Januar 2026 – Cyberangriffe treffen längst nicht mehr nur einzelne Unternehmen, sie gefährden kritische Infrastrukturen, ganze Lieferketten, Krankenhäuser und auch die öffentliche Verwaltung. Vor diesem Hintergrund hat die EU-Kommission heute die Überarbeitung des mehr als sechs Jahre alten EU Cybersecurity Act vorgestellt. „Cybersicherheit muss schneller, klarer und weniger bürokratisch werden. Die Kommission macht mit der Revision des Cyber Security Act viele Regeln einfacher und die zuständige EU-Agentur für Cybersicherheit ENISA wird gestärkt“, sagt die Geschäftsleiterin des Bitkom, Susanne Dehmel.
Positiv bewertet Bitkom insbesondere, dass Cybersicherheitszertifikate künftig stärker als anerkannter Nachweis dienen sollen, um Anforderungen aus anderen EU-Rechtsakten zu erfüllen. Damit kann ein Zertifikat beispielsweise eine sogenannte Konformitätsvermutung begründen, etwa mit Blick auf Vorgaben aus NIS-2 oder dem Cyber Resilience Act. Das schafft Rechtssicherheit und kann Doppelprüfungen reduzieren. Ebenso richtig ist aus Sicht des Bitkom, dass ENISA künftig Plattformen und Werkzeuge für Meldungen sowie Lagebilder zur Cybersicherheitslage in der EU betreibt und weiter ausbaut. Dass die Kommission dafür auch finanziell nachlegt, ist nach Ansicht des Bitkom folgerichtig und notwendig: Für den nächsten EU-Haushaltszeitraum 2028 bis 2034 erhält ENISA durchschnittlich 49 Millionen Euro pro Jahr zusätzlich.
Leider wird der Anspruch, mit vereinfachten Vorgaben und Meldepflichten ein unternehmensfreundlicheres Umfeld zu schaffen, noch nicht vollständig eingelöst. „Das Prinzip ‚ein Vorfall, eine Meldung‘ kann nur dann Realität werden, wenn die vielen Meldepflichten aus unterschiedlichen Regelwerken – etwa NIS-2, Cyber Resilience Act, Datenschutz-Grundverordnung – konsequent aufeinander abgestimmt werden. Sonst bleibt es in der Praxis bei parallelen Meldewegen und unnötigem Aufwand“, so Dehmel.
Bei der geplanten verpflichtenden Auslaufphase von Komponenten später zu benennender ausländischer Hersteller in kritischen Sektoren mahnt Bitkom, die bereits bestehenden nationalen Pläne zu berücksichtigen. So haben in Deutschland die Telekommunikationsanbieter mit dem Bund bereits vertragliche Regelungen zum Ausbau entsprechender Komponenten aus ihren Netzen getroffen, diese Vereinbarungen und Fristen müssen Bestand haben, auch um Digitalisierungsziele nicht zu gefährden.
