Europas Cybersecurity-Paket 2026

Angesichts täglicher Angriffe auf demokratische Institutionen und der wachsenden Abhängigkeit von globalen Lieferketten verschärft die Europäische Union ihre digitale Verteidigungsstrategie. Am 20. Januar 2026 legte die EU-Kommission ein umfassendes Cybersicherheitspaket vor, um die technologische Souveränität Europas zu sichern.

In diesem Beitrag erfahren Sie, welche neuen Befugnisse die ENISA konkret erhält, wie die EU die Risiken in globalen IKT-Lieferketten minimieren will und was die Reform des Zertifizierungsrahmens für Unternehmen bedeutet.

Überblick über den Inhalt des Cybersicherheitspakets

Um die Komplexität der neuen Regelungen zu verstehen, hilft ein Blick auf die drei zentralen Säulen der Reform:

• Der rechtliche Rahmen (CSA & NIS-2): Das Paket modernisiert den bestehenden Cybersecurity Act (CSA). Zusammen mit einer neuen Richtlinie soll es die Umsetzung der bereits bekannten NIS-2-Richtlinie (Netz- und Informationssicherheit) in der Praxis vereinfachen und präzisieren.
• Die ausführende Instanz (ENISA): Die EU-Agentur für Cybersicherheit (ENISA) ist die zentrale Fachbehörde für digitale Sicherheit in der EU. Durch das neue Paket erhält sie deutlich mehr Kompetenzen, ein höheres Budget und wandelt sich von einer beratenden zu einer proaktiven Krisenmanagerin.
• Das Gütesiegel (ECCF): Hinter dem European Cybersecurity Certification Framework (ECCF) verbirgt sich der harmonisierte Rahmen für Sicherheitszertifikate. Er sorgt dafür, dass IT-Produkte in der gesamten EU nach einheitlichen Standards geprüft werden, um das Vertrauen in die digitale Infrastruktur zu stärken.

Welche Zuständigkeiten und Kompetenzen kommen für ENISA durch das Cybersicherheitspaket hinzu?

Die EU-Agentur für Cybersicherheit (ENISA) hat die Aufgabe, Computer, Netzwerke und digitale Dienste in der Europäischen Union sicherer zu machen. Dazu entwickelt sie Zertifizierungssysteme für Produkte und Dienstleistungen, um deren Vertrauenswürdigkeit einzustufen.

Gleichzeitig kooperiert und koordiniert ENISA mit EU-Institutionen, nationalen Regierungen und Behörden, insbesondere bei Cyberangriffen, die mehrere Mitgliedstaaten betreffen. Ein weiterer Schwerpunkt der Agentur liegt im Schutz kritischer Infrastrukturen wie Energie, Wasser, Telekommunikation, Verkehr und Gesundheitswesen. Durch das Cybersicherheitspaket werden die bislang größtenteils reaktiven Aufgaben durch Präventionsmaßnahmen ergänzt:

1) Frühwarnung und Krisenmanagement

• Frühwarnsysteme bei Hackerangriffen und Sicherheitsrisiken
• Verwaltung von EU-Cybersecurity-Reserven für schnelle Kriseneinsätze
• Echtzeit-Warnungen bei laufenden Angriffen

2) Unterstützung bei Angriffen

• Hilfe bei Ransomware-Angriffen (Hacker sperren Computer und verlangen Lösegeld) in Kooperation mit Europol und Notfallteams
• Einrichtung eines Cyber-Support-Centrums für Krankenhäuser
• Koordination nationaler und grenzüberschreitender Security Operations Centres (SOCs) inklusive KI-gestützter Angriffserkennung

3) Monitoring & Compliance

• Stärkere Kontrolle und Unterstützung bei der Durchsetzung von Sicherheitsvorschriften
• Überprüfung der Einhaltung von Vorgaben
• Durchführung offizieller Incident Reviews nach großen Vorfällen
• Überwachung der Sicherheit von KI-Modellen

Für diese Erweiterungen soll das Budget von ENISA um ca. 75 % steigen.

Wie will die EU die Sicherheit von IKT-Lieferketten erhöhen?

Die kritische Infrastruktur Europas ist stark von Informations- und Kommunikationstechnologien (IKT) abhängig, darunter Internet, Mobilfunk, Rechenzentren und Cloud-Dienste. Um diese Systeme besser vor Angriffen zu schützen, plant die EU im Rahmen ihres neuen Cybersicherheitspakets eine strengere Überwachung von Lieferketten.

Künftig sollen dabei nicht nur technische Schwachstellen, sondern auch geopolitische Risiken berücksichtigt werden. Anbieter aus Drittstaaten können als Hochrisiko-Anbieter eingestuft werden, wenn eine potenzielle staatliche Einflussnahme zu befürchten ist.

Insbesondere in kritischen Sektoren (bspw. Energie, Verkehr, Gesundheits- und Bankwesen) kann zukünftig der Gebrauch von Informations- und Kommunikationstechnologien von Hochrisiko-Anbietern eingeschränkt oder verboten werden.

Im Mobilfunksektor wird der schrittweise Abbau von Abhängigkeiten zu Hoch-Risiko-Anbietern bereits verpflichtend. Eine Auflistung der Hochrisiko-Anbieter ist bislang noch nicht veröffentlicht worden.

Welche Änderungen bringt das Cybersecurity-Paket 2026 für das ECCF?

Der ECCF wurde im Rahmen des Cybersecurity-Acts von 2019 eingeführt und bildet einen harmonisierten europäischen Rahmen für die Cybersicherheitszertifizierung. Nationale Zertifizierungsmodelle werden in den Bereichen, die durch EU-weite Zertifizierungsschemata abgedeckt sind, schrittweise abgelöst und durch europaweit anerkannte Zertifikate ersetzt.

Mit dem Cybersicherheitspaket von 2026 sollen innerhalb von 12 Monaten effizientere und vereinfachte Verfahren geschaffen werden, um Sicherheitszertifikate schneller entwickeln und anwenden zu können. Zusätzlich werden die Entscheidungsprozesse flexibler und transparenter gestaltet.

Interessenträger sollen besser informiert und durch öffentliche Konsultationen stärker in Entscheidungsprozesse eingebunden werden. Die Zertifizierung bleibt freiwillig und ermöglicht es Unternehmen, die Einhaltung europäischer Rechtsvorgaben nachzuweisen, während zugleich Kosten und administrativer Aufwand reduziert werden. Darüber hinaus stärkt das ECCF das Vertrauen von EU-Bürgern, Unternehmen und öffentlichen Stellen, indem es ein hohes Sicherheitsniveau in zunehmend komplexen IKT-Lieferketten fördert.

Fazit

Das Cybersecurity-Paket 2026 soll insbesondere präventive Sicherheitsmaßnahmen innerhalb der EU ausbauen. Zu diesem Zweck sollen die Kompetenzen und Zuständigkeiten der EU-Agentur für Cybersicherheit (ENISA) ausgebaut und die Lieferketten von Informations- und Kommunikationstechnologien stärker überwacht werden.

Unter Berücksichtigung aktueller politischer Ereignisse und der wachsenden Cyberbedrohung auf Einrichtungen und Dienste innerhalb der EU sollen in diesem Rahmen nun auch geopolitische Risiken und eine potenzielle staatliche Einflussnahme aus Drittländern in die Sicherheitsbewertungen mit einfließen.

Zudem strebt das Cybersicherheits-Paket eine Reformierung der europäischen Cybersicherheitszertifizierung ECCF hin zu mehr Effizienz, Transparenz und einer Beschleunigung des Verfahrens an.

Soweit Sie weitere Fragen in diesem Zusammenhang haben, steht Ihnen das Team der WS Datenschutz GmbH gerne als Ansprechpartner zur Verfügung.