EU-Cybersicherheitsstrategie: Neue Gesetze, neue Pflichten – ein Überblick
Skip to main content
Standort auswählen Germany (DE)
  • Insights
  • EU-Cybersicherheitsstrategie: Neue Gesetze, neue Pflichten – ein Überblick
Insight

EU-Cybersicherheitsstrategie: Neue Gesetze, neue Pflichten – ein Überblick

Martin Lose
31/01/2025

Locations

Germany

Die Debatte über Cybersicherheit ist in den letzten Jahren stark durch die europäische Gesetzgebung geprägt. Im Rahmen ihrer Cybersicherheitsstrategie hat die EU zahlreiche neue Rechtsakte erlassen, die ein das Cybersicherheitsniveau in der Europäischen Union erhöhen soll. Das komplexe Geflecht neuer Vorschriften ist nicht selbsterklärend und kann Unternehmen, die ihre Compliance-Pflichten verstehen sollen, leicht überfordern. Wir ordnen in diesem Beitrag ein, in welche Gesamtstrategie die EU-Kommission mit den verschiedenen Gesetzen verfolgt, in welchem Zusammenhang die neuen Regeln stehen und was genau in den einzelnen Gesetzen geregelt wird.

1. Welche Strategie verfolgt die EU?

Bedrohungen für Unternehmen und staatliche Einrichtungen sind sie längst nicht mehr auf physische Bedrohungen beschränkt, sondern verlagern sich zunehmend in den Cyberraum. Gleichzeitig spielen digitale Infrastruktur und Vernetzung in allen Lebensbereichen eine immer größere Rolle. Neben einem verbesserten Schutz von physischer Infrastruktur (z.B. durch die CER-Richtlinie) steht daher der Schutz vor Cyberbedrohungen im gesetzgeberischen Fokus. Zu diesem Zweck hat die Europäische Kommission im Dezember 2020 die neue Strategie für Cybersicherheit vorgelegt. Demnach soll ein höheres Schutzniveau anhand von vier Grundprinzipien erreicht werden:

  • Vorbeugen (Prevent)
  • Erkennen (Detect)
  • Reagieren (Respond)
  • Abwehren (Deter)


Ein besonderer Fokus liegt dabei auf verstärkter Zusammenarbeit und Informationsaustausch zwischen den Mitgliedsstaaten. Bedrohungen aus dem Cyberraum lassen sich nicht durch Ländergrenzen aufhalten und betreffen regelmäßig mehr als einen Mitgliedsstaat. Um ein umfassendes Lagebild zu schaffen und ein abgestimmtes Vorgehen sicherzustellen, werden daher zentrale Meldesysteme und sektorübergreifende Sicherheitsstandards etabliert. Die Strategie verfolgt dabei einen risikobasierten Ansatz. Je höher das mit einem Produkt, einer Dienstleistung oder einer Tätigkeit verbundene Risiko ist, desto umfangreicher und strenger sind die damit verbundenen Pflichten. Dies gilt sowohl innerhalb der einzelnen Rechtsakte als auch für ihren Anwendungsbereich (so findet etwa die NIS-2-Richtlinie auf Einrichtungen Anwendung, die aufgrund ihrer Systemrelevanz besonders schützenswert sind). Funktional adressiert die Strategie sowohl die Produktsicherheit von Hard- und Software als auch die Sicherheit innerhalb von Unternehmen durch technische und organisatorische Maßnahmen (z.B. ein Risikomanagementsystem).

2. Welche Gesetze gibt es?

Im Einzelnen wird die Strategie der Kommission durch folgende Rechtsakte umgesetzt:

  • NIS-2 (Richtlinie EU 2022/2555): Mit NIS-2 soll die Cyberresilienz von kritischer Infrastruktur und den als "wichtig" oder "wesentlich" eingestuften Einrichtungen erhöht werden, die in besonders schützenswerten Sektoren tätig sind.
  • Cybersecurity Act (Verordnung EU 2019/881): Mit dem Cybersecurity Act wird ein einheitlicher Zertifizierungsrahmen für IKT-Produkte geschaffen und die Agentur der Europäischen Union für Cybersicherheit (ENISA) gestärkt.
  • Cyber Resilience Act (Verordnung EU 2024/2847): Der Cyber Resilience Act etabliert horizontale Sicherheitsvorschriften für Produkte mit digitalen Elementen (z.B. Internet of Things).
  • Cyber Solidarity Act (Verordnung EU 2025/38): Mit dem Cyber Solidarity Act soll die grenzüberschreitende Abwehr von Cyberangriffen verbessert werden, indem Warn-, Notfall- und Überprüfungssysteme eingerichtet werden.
  • Digital Operational Resilience Act "DORA" (Verordnung 2022/2554): DORA soll die Resilienz im Finanzsektor erhöhen, indem an Finanzunternehmen und auch ihre IKT-Dienstleister erhöhte Sicherheitsanforderungen gestellt werden.


3. Was wird geregelt?

NIS-2: Die Richtlinie ist seit Januar 2023 in Kraft, bedarf für eine unmittelbare Anwendbarkeit jedoch der Umsetzung in nationales Recht durch die Mitgliedsstaaten. Obwohl die Umsetzungsfrist bereits am 17. Oktober 2024 abgelaufen ist, tun sich viele Mitgliedstaaten mit der Umsetzung schwer. In Deutschland befindet sich das Umsetzungsgesetz noch im Entwurfsstadium. Infolge der vorgezogenen Neuwahlen ist mit der Umsetzung in Deutschland nicht vor Ende 2025 zu rechnen.

Mit der NIS-2-Richtlinie soll ein hohes Niveau an Cybersicherheit in besonders schutzwürdigen Sektoren sichergestellt werden. Damit bildet sie das Gegenstück zur CER-Richtline (EU 2022/2557), mit der die physische Sicherheit kritischer Einrichtungen sichergestellt werden soll. Die Richtlinie enthält Pflichten zu Cybersicherheitsmaßnahmen (z.B. einem Risikomanagementsystem), Registrierung und Meldung von Sicherheitsvorfällen sowie Vorschriften zu Aufsichtsmaßnahmen wie z.B. Vor-Ort-Kontrollen. Im Fokus steht dabei auch die unionsweite Zusammenarbeit bei Meldung und Abwehr von Cyberbedrohungen sowie ein Informationsaustausch zwischen den Mitgliedsstaaten. Eine wesentliche Neuerung stellt dabei die erhebliche Erweiterung des Adressatenkreises dar. Während bislang nur kritische Infrastruktur von den Pflichten erfasst war, sind nun auch wichtige und wesentliche Unternehmen in den relevanten Sektoren erfasst (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten, Öffentliche Verwaltung, Weltraum). Darüber hinaus werden auch Unternehmen in sonstigen kritischen Sektoren erfasst (Post/Kurierdienste, Abfallbewirtschaftung, Produktion, Verarbeitendes Gewerbe, Digitale Dienste, Forschung). Kriterium für eine Einstufung als wichtig oder wesentlich sind dabei neben der Tätigkeit des Unternehmens der Umsatz und die Mitarbeiterzahl von Unternehmen. Für manche Einrichtungen (z.B. Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten) gelten die Vorschriften jedoch unabhängig von der Unternehmensgröße. Trotz der noch stockenden nationalen Umsetzung sollten Unternehmen bereits jetzt prüfen, ob sie in den Anwendungsbereich der Richtlinie fallen und sich einen Überblick verschaffen, welche Maßnahmen zur Cybersicherheit sie treffen müssen, um die Vorgaben der Richtlinie zu erfüllen.

Cybersecurity Act: Die Verordnung ist seit Juni 2019 in Kraft seit dem 28. Juni 2021 in allen Mitgliedsstaaten unmittelbar und in vollem Umfang anwendbar. Mit dem Cybersecurity Act soll die Cybersicherheit in der Union gestärkt werden, indem ein einheitlicher Rahmen für die freiwillige Sicherheitszertifizierung von Informations- und Kommunikationstechnologie (IKT)-Produkten, Diensten und Prozessen geschaffen wird. Diese werden anhand von unterschiedlichen Kriterien in die Sicherheitslevel "niedrig", "mittel" und "hoch" eingestuft. Beispiele für Bewertungskriterien sind die Möglichkeit unbefugten Zugriffs auf gespeicherte Daten, Sicherheit durch Voreinstellungen oder die Dokumentation von Zugriff auf Daten. Zudem wurde die ENISA mit einem dauerhaften Mandat gestärkt. Ihr kommt gegenüber Mitgliedsstaaten und Stellen der Union eine umfassende Koordinierungs-, Unterstützungs- und Beratungsfunktion zu.

Cyber Resilience Act: Die Verordnung ist seit dem 10. Dezember 2024 in Kraft. Die Hauptpflichten sind ab dem 11.12.2027 unmittelbar anwendbar. Der Cyber Resilience Act verfolgt in erster Linie die horizontale Sicherheit von Produkten. Er ergänzt die allgemeinen Vorschriften zur Produktsicherheit nach der Produktsicherheitsverordnung (EU 2023/988) um spezifische Vorschriften zur Cybersicherheit. Die Pflichten richten sich an Hersteller, Importeure und Verkäufer von Produkten mit digitalen Elementen. Damit werden die fortschreitende Einbettung von Software in Produkte (z.B. Internet of Things) und dadurch entstehende Sicherheitslücken adressiert. Erfasst sind dementsprechend Hardware, Software und eingebettete Systeme. Die Sicherheitsanforderungen erstrecken sich dabei entlang der gesamten Wertschöpfungskette und über die gesamte Lebensdauer des Produktes und sind bei Planung, Design, Entwicklung und Instandhaltung (auch Aktualisierung) zu berücksichtigen. Zudem bestehen Rückrufs- und Meldepflichten. Die Verordnung folgt dabei einem risikobasierten Ansatz und stellt zusätzliche Pflichten für Produkte auf, die aufgrund ihrer Funktion als "wichtig" oder "kritisch" eingestuft werden. Ausnahmen bestehen für Open Source Software (OSS) und bestimmte Produkte, die bereits spezielleren Sicherheitsvorschriften unterliegen (z.B. Medizinprodukte).

Cyber Solidarity Act: Die Verordnung wurde am 15. Januar 2025 im Amtsblatt verkündet und wird am 04. Februar 2025 in Kraft treten. Der Cyber Solidarity Act dient insbesondere der grenzüberschreitenden Prävention und Abwehr von Cyberangriffen. Dazu sollen EU-weite Infrastrukturen zur Erkennung, Reaktion und Bewältigung von Vorfällen geschaffen werden. Zentraler Bestandteil sind dabei drei Systeme:

  • Europäisches Warnsystem für Cybersicherheit: Ein europaweites Netz aus freiwillig teilnehmenden nationalen und grenzübergreifenden Cyber Hubs zur Erkennung, Analyse und Datenverarbeitung in Bezug auf Cyberbedrohungen sowie der Prävention von Sicherheitsvorfällen.
  • Cybernotfallmechanismus: Ein System, das die Resilienz der Union gegenüber Cyberbedrohungen bestärkt, insbesondere durch Tests der Abwehrbereitschaft, Maßnahmen zur Unterstützung der Reaktion auf Sicherheitsvorfälle, Unterstützung von Amtshilfe und der Einrichtung einer Cybersicherheitsreserve.
  • Europäischer Überprüfungsmechanismus für Cybersicherheitsvorfälle: Die ENISA kann auf Ersuchen der Kommission und mit Zustimmung des betroffenen Mitgliedsstaates eine Überprüfung und Bewertung von Cyberbedrohungen, bekannten ausnutzbaren Schwachstellen und Eindämmungsmaßnahmen im Zusammenhang mit einem bestimmten schwerwiegenden Cybersicherheitsvorfällen vornehmen und einen Bericht erstellen. Dieser Bericht kann Empfehlungen zur Verbesserung der Cyberabwehr enthalten.

DORA: Die Verordnung ist am 16. Januar 2023 in Kraft getreten und seit dem 17. Januar 2025 unmittelbar anwendbar. Mit DORA werden spezifische Sicherheitsvorschriften für den Finanzsektor aufgestellt. Finanzunternehmen treffen hierbei Pflichten zu IKT-Risikomanagement, Management von IKT-Vorfällen, Sicherheitstests, IKT-Drittparteienmanagement (insb. Verträge) und Informationsaustausch. Aber auch IKT-Dienstleister, die Leistungen an Finanzunternehmen erbringen, fallen in den Anwendungsbereich der Verordnung. Kritische IKT-Dienstleister unterliegen einer besonderen Überwachung durch die Aufsichtsbehörden. Dabei trifft die Leitungsorgane von Unternehmen eine besondere Verantwortung für die Umsetzung der Pflichten.

Als sektorspezifisches Gesetz ist DORA zwar nicht unmittelbar Teil der generellen Cybersicherheitsstrategie, aufgrund der erheblichen Auswirkungen auf IKT-Dienstleister steht es mit dieser aber in engem Zusammenhang. Generell ist zu beachten, dass neben den allgemeinen Rechtsakten zur Cybersicherheit auch speziellere sektorspezifische Vorschriften einschlägig sein können (z.B. die Durchführungsverordnung EU 2015/1998 für Luftsicherheit oder die Durchführungsverordnung EU 2022/1426 für vollautomatisierte Fahrzeuge).

Gerne beraten wir Sie rund um das Thema Cybersicherheit und unterstützen Sie bei der gesetzeskonformen Umsetzung der neuen EU-Richtlinien. Nehmen Sie gerne Kontakt zu Martin Lose aus unserem Team auf. Mehr zu unserer Expertise rund um das Thema Cybersecurity finden Sie auf unserer Fokusseite.

Spezialgebiete

Cybersicherheit

Verwandte Arbeitsbereiche

Technologie