Europäische Cybersicherheits-Zertifizierungskonferenz, 15. April 2026

Notizen von der ENISA-Konferenz am 15. April 2026: CSA2, neuer ECCF, CRA-Konformität, CAB-Kapazitätslücke, EUDI Wallet und EU MSS.

CRA Evidence-Team Veröffentlicht 15. April 2026 Aktualisiert 16. April 2026
ENISA Europäische Cybersicherheits-Zertifizierungskonferenz 2026, 15. April 2026, Ayia Napa
In diesem Artikel

Am 15. April 2026 veranstaltete ENISA ihre Europäische Cybersicherheits-Zertifizierungskonferenz in Ayia Napa, Zypern, gemeinsam mit der zyprischen Ratspräsidentschaft und der Europäischen Kommission. Ein Tag, Hybridformat, sechs Tracks: EUCC im ersten Betriebsjahr, der Vorschlag für CSA2 und der überarbeitete European Cybersecurity Certification Framework (ECCF), die Rolle der Zertifizierung unter dem CRA, ein neuer NIS2-Pfad über das Cyber-Posture-Schema, das EU Digital Identity Wallet-Schema, das nun in der öffentlichen Konsultation ist, und das EU Managed Security Services (MSS) Schema in Entwurf v4.

Das Thema, das den Tag laut Abstimmung im Online-Q&A dominierte, war kein einzelnes Schema. Es ging um die Frage, ob Zertifizierungsergebnisse genutzt werden können oder sollen, um NIS2-Compliance abzuleiten, obwohl die NIS2-Aufsicht bei anderen Behörden liegt. Fünf der sieben meistvotierten Fragen kreisten um diese Spannung. Wir behandeln sie in einem eigenen Abschnitt weiter unten.

Was folgt, ist ein strukturierter Bericht über das, was tatsächlich gesagt wurde, mit Sprecherzuordnung nur dort, wo Programm und Mitschrift übereinstimmen.

"Certification is a proxy for absent trust." ("Zertifizierung ist ein Ersatz für fehlendes Vertrauen.")

Steffen Zimmermann, VDMA · Eröffnungs-Keynote-Block

Zusammenfassung

  • CSA2 ist ein Verordnungsvorschlag, der den European Cybersecurity Certification Framework überarbeitet und die NIS2-Richtlinie ändert. Entwurfslänge: 271 Seiten, laut Panelisten.
  • ECCF ersetzt den aktuellen Zertifizierungsrahmen durch Musterbestimmungen, formale Wartungsmechanismen und eine 12-Monats-Standardfrist für die Entwicklung von Kandidatenschemata.
  • EUCC-Live-Zahlen (Juhan Lepassaar, Executive Director, ENISA): 29 Zertifikate ausgestellt, 28 Konformitätsbewertungsstellen in der EU, Europa stellt mehr als 60 % der jährlich rund 350 globalen Common-Criteria-Zertifikate, und alle EU-CC-Zertifikate liegen seit Februar 2026 auf CC-1.
  • Die CRA-Konformitätsinfrastruktur ist der größte CRA-Umsetzungsmeilenstein des Jahres, laut Maika Fohrenbach (DG CONNECT): Mitgliedstaaten müssen zuständige Behörden bis Juni 2026 benennen, und eine ausreichende Zahl notifizierter Stellen soll bis Dezember 2026 bereitstehen, ein Jahr vor der vollen Anwendung des CRA.
  • EUDI-Wallet-Schema, öffentliche Konsultation gestartet am 3. April 2026; die nächsten Ankertermine reichen von der AHWG-Entwurfsvalidierung am 16. und 17. April 2026 bis zur ECCG-Finalisierung im September und Oktober 2026.
  • EU-MSS-Schema liegt als Entwurf v4 vor, an die Ad-hoc-Arbeitsgruppe gesendet am 9. April 2026; Entwurf v3 (versandt am 20. März 2026) erhielt 250 Kommentare zu neun Themen. Die öffentliche Konsultation ist für Anfang Juli 2026 geplant.
  • Industriewiderstand gegen Schemavermehrung war deutlich. Steffen Zimmermann (VDMA) lieferte die Zahlen: rund 80 % der VDMA-Mitglieder sind KMU, von denen etwa 90 % von NIS2 und dem CRA betroffen sind.
  • Die Publikumspriorität des Tages war kein einzelnes Schema. Es war die Spannung zwischen der Nutzung von Zertifizierungsergebnissen zur Ableitung von NIS2-Compliance und der Tatsache, dass die NIS2-Aufsicht verpflichtend ist und bei anderen Behörden liegt (fünf von sieben meistvotierten Fragen).
29
Ausgestellte Zertifikate
unter EUCC, erstes Jahr
28
Konformitätsstellen
EU-weit akkreditiert
60%+
Globaler CC-Anteil
von ~350 Zertifikaten jährlich
CC-1
Assurance-Level
alle EU-CC-Zertifikate, Feb. 2026

Quelle: Juhan Lepassaar, Exekutivdirektor, ENISA, Eröffnungsrede.

Vier EU-Cybersicherheitsschemata im April 2026: EUCC ist live, EUDI Wallet in öffentlicher Konsultation, EU MSS in Entwurf v4, Cyber Posture unter CSA2 in Verhandlung.
Wo jedes EU-Cybersicherheitsschema im April 2026 steht, und was als Nächstes ansteht.

CSA2 und der neue ECCF

Maika Fohrenbach (DG CONNECT) stellte den Kommissionsvorschlag vor. Er ist um vier Säulen gebaut:

  1. Ein harmonisierter Rahmen für das Risikomanagement in der IKT-Lieferkette, erstmals auf EU-Ebene.
  2. Ein überarbeiteter European Cybersecurity Certification Framework (ECCF).
  3. NIS2-Vereinfachungsmaßnahmen rund um ein neues Cyber-Posture-Schema (eigener Abschnitt weiter unten).
  4. Stärkung des ENISA-Mandats (Unterstützung der Mitgliedstaaten, Lageerfassung, Führung bei der Standardisierung, Kompetenznachweise).

Drei ECCF-Änderungen sind für Hersteller relevant:

1 · Geltungsbereich geklärt

Zertifizierung ist technische Assurance, kein breites Instrument gegen ausländische Einflussnahme. Hochrisiko-Lieferanten und Hochrisiko-IKT-Assets werden ausdrücklich ausgenommen und über den Lieferkettenrahmen behandelt. CABs dürfen nicht aus benannten Problemstaaten stammen.

2 · Geltungsbereich auf Einheiten erweitert

Zertifizierung umfasst jetzt auch Einheiten, nicht nur Produkte, Dienste und Prozesse. Das Cyber-Posture-Schema ist der Leitanwendungsfall. Fohrenbach nannte dies "probably one of the biggest impacts for businesses" ("vermutlich eine der größten Auswirkungen für Unternehmen").

3 · Musterbestimmungen

CSA2 führt Template-Bestimmungen ein, die Schemaentwickler übernehmen können, so wie der CRA den New Legislative Framework nutzt. Fohrenbach bezeichnete es als "the NLF for certification" ("der NLF für die Zertifizierung").

Bei Wartung und Stakeholder-Werkzeugen erkennt CSA2 ENISA formell als Schema-Manager an, mit einer eigenen ECCG-Untergruppe pro Schema. Es ersetzt die aktuelle Stakeholder Cybersecurity Certification Group (SCCG) und das Union Rolling Work Programme durch eine European Cybersecurity Certification Assembly plus Informationsportale der Kommission und ENISA. Die Rechtsgrundlage für technische Spezifikationen, die ENISA auf Basis der EUCC-"state of the art"-Dokumente erstellt, steht im Vorschlag.

Die Reaktionen im Panel waren offen. Helge Kreutzmann (BSI) benannte zwei Lücken im Entwurf. Erstens behält CSA2 die alte Aufteilung in Autorisierung plus Notifizierung bei, statt vollständig auf den Notifizierungsmechanismus des New Legislative Framework umzustellen. Zweitens wurde der Geltungsbereich nicht mutig genug erweitert: Der Entwurf zertifiziert Dienste, aber keine Anbieter, während mehrere Mitgliedstaaten bereits Anbieter und Schlüsselpersonal zertifizieren und der Cyber Solidarity Act dies fordert. Kreutzmann: "We think this should carry over on the European level, that we can actually certify the providers." ("Wir sind der Meinung, dass sich dies auf die europäische Ebene übertragen sollte, sodass wir tatsächlich die Anbieter zertifizieren können.")

Suzana Pavlidou (NCCA Zypern) und Apostolos Malatras (Head of Unit for Cybersecurity Certification, ENISA) saßen neben dem Moderator Philippe Blot. Goran Gotov (Zscaler) meldete aus dem Saal ein strukturelles Bedenken: Die Assembly tagt einmal im Jahr und Ad-hoc-Gruppen sind schema-spezifisch, dadurch wird der Makro-Input der Industrie dünner als zuvor. Richard Skalt (TIC Council; Cybersecurity Advocacy Manager bei TÜV SÜD) drängte auf eine 12-Monats-Frist für die ENISA-Schemaentwicklung und fragte, ob CSA2 ISO/IEC 27001 und Belgiens "Cyber Fundamentals"-Schema in den NIS2-Vereinfachungspfad integrieren wird. Eine feste Zusage zu dieser Integration gab es auf der Bühne nicht.

Cyber Posture und NIS2: was das Publikum wirklich fragte

Der Q&A-Feed machte die Publikumspriorität eindeutig. Die sieben meistvotierten Fragen des Tages (je 14 bis 19 Stimmen) drehten sich nicht um EUCC-Durchsatz oder CAB-Kapazität. Sie drehten sich um dieselbe strukturelle Sorge, sieben Mal anders formuliert: Dürfen Zertifizierungsergebnisse legitim zur Ableitung von NIS2-Compliance genutzt werden, wenn die NIS2-Aufsicht verpflichtend ist und von anderen Behörden ausgeübt wird?

Fohrenbachs Antwort zog sich durch Präsentation und Q&A. Drei Teile sind wert, getrennt betrachtet zu werden:

Das Ex-ante-Designversprechen

Beim EUCC, so Fohrenbach, werde die Konformitätsvermutung mit dem CRA nachträglich erarbeitet. Für künftige Schemata, einschließlich des Cyber-Posture-Schemas, soll die Abstimmung mit bestehender Gesetzgebung (hier NIS2) von der Antragsphase an eingebaut sein. Ihre Formulierung: "In the future, this is the work that would be done from the very beginning of the request stage of a scheme, that you think about how this scheme can be used and will enable also compliance with existing legislation." ("Künftig soll diese Arbeit bereits in der Antragsphase eines Schemas geleistet werden, indem man überlegt, wie das Schema genutzt werden kann und auch Konformität mit bestehender Gesetzgebung ermöglicht.")

Das Richtlinien-Problem, anerkannt

"The cyber posture scheme will also need to reflect the specificity of the fact that NIS2 is a directive, and there will be also important discussions on the interplay with existing national certification schemes that exist today on the market." ("Das Cyber-Posture-Schema muss zudem berücksichtigen, dass NIS2 eine Richtlinie ist, und es wird wichtige Diskussionen über das Zusammenspiel mit bestehenden nationalen Zertifizierungsschemata geben, die heute am Markt sind.") Der Hebel der Kommission dafür: eine Durchführungsverordnung mit maximaler Harmonisierung oberhalb des Schemas, damit die Grundanforderungen nicht über 27 nationale Umsetzungen zerfallen.

Mit den Mitgliedstaaten noch nicht abgestimmt

"Obviously the proposal of the Commission is also subject to negotiation, and of course the whole interplay between how you can use the future cyber posture scheme to demonstrate conformity with NIS2 will be an important point of discussion with the Member States." ("Natürlich steht der Kommissionsvorschlag unter Verhandlungsvorbehalt, und selbstverständlich wird das gesamte Zusammenspiel, wie sich das künftige Cyber-Posture-Schema zur Konformitätsdarstellung mit NIS2 nutzen lässt, ein wichtiger Diskussionspunkt mit den Mitgliedstaaten.") Im Klartext: Die politische Absicht ist dokumentiert, die Verknüpfung nicht.

Zu den beiden Publikumsfragen, die auf der Bühne keine Antwort bekamen, füllen wir keine Lücken. Wir markieren sie:

Publikumsfrage (Top-Voting am Tag)Antwort auf der BühneStatus
Wie sorgt der Zertifizierungsrahmen für Abstimmung mit NIS2?Cyber-Posture-Schema, ex ante für NIS2-Konformität ausgelegtBeantwortet
Hat die Kommission die Verknüpfung Zertifizierung–NIS2 mit den Mitgliedstaaten abgestimmt?"Subject to negotiation" ("Unter Verhandlungsvorbehalt")Teilweise
Könnte es zu widersprüchlichen Ergebnissen zwischen Zertifizierung und NIS2-Aufsicht kommen (verschiedene Behörden)?Anerkannt: NIS2 ist Richtlinie, Zusammenspiel mit nationalen Schemata muss geregelt werdenTeilweise
Wie ist die Nutzung des ECCF im NIS2-Kontext zu verstehen, wenn Zertifizierungsschemata und Regulierungsrahmen unterschiedliche Zwecke erfüllen?Ex-ante-Designprinzip für neue Schemata; EUCC ex postTeilweise
Wird CSA2 bestehende Durchführungsrechtsakte (MSS, Cloud) und Standards wie ISO/IEC 27001 sowie Belgiens Cyber Fundamentals berücksichtigen?Keine feste Zusage. BSI unterstützte die Richtung; Fohrenbach verwies auf MusterbestimmungenTeilweise
Wäre eine förmliche Bestätigung einer zufriedenstellenden NIS2-Aufsicht eine solidere Grundlage als die Ableitung von Compliance aus Zertifizierungsergebnissen?Auf der Bühne nicht behandeltUnbeantwortet
Wie behandeln Cyber-Posture-Schemata Einheiten, die in mehreren Mitgliedstaaten mit unterschiedlichen nationalen Anforderungen tätig sind?Auf der Bühne nicht behandelt (nächstliegender Kommentar: "interplay with existing national schemes")Unbeantwortet

Für Leser, die rund um NIS2 planen, lautet die ehrliche Lesart: Das Cyber-Posture-Schema ist der bevorzugte Pfad der Kommission. Die juristischen Mechaniken, die diesen Pfad tragfähig machen würden (die Durchführungsverordnung mit maximaler Harmonisierung, Zustimmung der Mitgliedstaaten zur Verknüpfung), sind aktive Verhandlungspunkte. Wenn Sie heute eine Compliance-Strategie bauen, behandeln Sie "Zertifizierung unter Cyber Posture und NIS2 ist erledigt" nicht als gesicherten Fakt für Ihre Jurisdiktion. Verfolgen Sie den Trilog.

Wo Zertifizierung auf den CRA trifft

Fohrenbachs CRA-Anknüpfung war das klarste Herstellersignal des Tages. Kernbotschaft für 2026: Die Konformitätsbewertungs-Infrastruktur aufbauen. Harmonisierte Normen kommen später, und ungleichmäßig.

Der CRA umfasst Softwareprodukte, Hardwareprodukte und separat in Verkehr gebrachte Komponenten. Die von Fohrenbach genannte Verteilung:

CRA-Kategorien. Standard deckt ca. 90 % des Marktes ab, Selbstbewertung oder Dritte nach Wahl des Herstellers. Wichtig Klasse I ist Teil der ca. 10 %, harmonisierte Norm oder Drittbewertung. Wichtig Klasse II (Firewalls, manipulationssichere Mikroprozessoren, Mikrocontroller, Hypervisoren) erfordert Pflicht zur Drittbewertung. Kritisch steht unter Ermächtigung für Pflichtzertifizierung, derzeit nicht ausgelöst.
CRA-Produktkategorien und Bewertungsrouten, wie Fohrenbach sie beschrieb.

Nach Anhang VIII des CRA stehen als Module des New Legislative Framework Modul B + C (EU-Baumusterprüfung) und Modul H (Zertifizierung des Qualitätssystems) zur Verfügung. Die erklärte Absicht der Kommission ist, bis Ende 2026 zu spezifizieren, wie der EUCC zur Darstellung der Konformität mit dem CRA genutzt werden kann; ENISA führt 18 Piloten zur EUCC-zu-CRA-Konformitätsvermutung durch, ein Workshop in Athen ist geplant.

Der Anlauf bis zur vollen Anwendung des CRA im Überblick:

CRA-Konformitätsbewertungs-Zeitplan. Bis Juni 2026: Mitgliedstaaten benennen zuständige Behörden. Bis Dezember 2026: ausreichende Zahl notifizierter Stellen bereit. Ende 2026: Kommission spezifiziert den EUCC-zu-CRA-Konformitätspfad, 18 ENISA-Piloten fließen ein. 11. Dezember 2027: volle Anwendung des CRA.
Die vier Ankertermine bis zur vollen Anwendung des CRA am 11. Dezember 2027.
Offen, nicht auf dem Zeitplan

Wird CSA2 vor der vollen CRA-Anwendung verabschiedet? Derzeit im Trilog.

Die Harmonisierungsarbeit läuft in einer informellen Arbeitsgruppe der notifizierenden Behörden auf Kommissionsebene, eine der Hauptfragen ist die Notifizierung, solange harmonisierte Normen noch nicht verfügbar sind. Fohrenbach nannte CENELEC als Treiber der Arbeit an harmonisierten Normen. Die Arbeitshypothese über die Mitgliedstaaten hinweg: CABs nutzen, die bereits unter dem Delegierten Rechtsakt der Funkanlagenrichtlinie (RED DA) und im EUCC-Ökosystem akkreditiert sind, und diese für die CRA-Notifizierung beschleunigen.

Zum aktuellen Stand der Modulwahl, solange CSA-Schemata noch ausstehen, siehe unseren Leitfaden zur Konformitätsbewertung.

Die CAB-Kapazitätslücke

Das CAB-Kapazitätspanel war die operativ dichteste Sitzung des Tages. Es wurde von Eric Vetillard moderiert; im Panel: Christin Hartung-Kümmerling (BSI, online), Xenia Kyriakidou (Leiterin der NCCA Zypern, notifizierende und Marktüberwachungsbehörde Zyperns für den CRA sowie stellvertretende Vorsitzende des ADCO-CRA-Ausschusses), Richard Skalt (TIC Council / TÜV SÜD) und Nikolaos Soumelidis (Q-CERT).

Einige Fakten aus dem Panel, die wichtig sind:

  • Zwei Drittel der europäischen Länder haben noch keine nationale eIDAS-Akkreditierungsstelle, laut Soumelidis. Griechenland selbst hat keine.
  • BSI bereitet die Notifizierung für Modul H vor, als skalierbarsten Pfad für den CRA, laut Hartung-Kümmerling. BSI priorisiert Modul B für den CRA nicht; sie räumte ein, dass andere Mitgliedstaaten den Modul-B-Weg gehen, nannte diese aber nicht.
  • Zypern, Deutschland und die meisten anderen Mitgliedstaaten werden sich für die CRA-Akkreditierung auf ihre nationalen Akkreditierungsstellen stützen. Fast-Tracking über RED DA oder EUCC-Akkreditierung steht zur Debatte.
  • Interne TIC-Council-Umfrage (Skalt): Zwei Drittel der TIC-Council-Mitglieder planen bis Ende 2026 mehr als 50 dedizierte Cybersicherheitsexperten, und 40 % der Mitglieder sind bereits für EUCC notifiziert.
  • ADCO CRA ist die Verwaltungskooperationsgruppe der Marktüberwachungsbehörden der Mitgliedstaaten für den CRA; Kyriakidou ist stellvertretende Vorsitzende.

Stefan Zimmermann (VDMA) fragte Hartung-Kümmerling aus dem Saal, welche Mitgliedstaaten die Modul-B-Notifizierung vorbereiten. Sie lehnte es ab, diese auf der Bühne zu nennen. Die Frage ist wichtig, weil sie beeinflusst, ob ein Hersteller, der die EU-Baumusterprüfung wählen will, am 11. Dezember 2027 eine notifizierte Stelle im Heimatmarkt verfügbar hat.

Aus Herstellersicht folgen drei Punkte. Erstens: Wenn Ihre Produktkategorie eine Drittbewertung erzwingt, prüfen Sie den Plan Ihres Heimatmitgliedstaats jetzt. "Ausreichende Zahl notifizierter Stellen bis Dezember 2026" ist eine politische Zielgröße, keine Garantie je Jurisdiktion. Zweitens: Der RED-DA- / EUCC-CAB-Fast-Track ist der plausibelste Kapazitätsausbau-Pfad, er bedeutet aber, dass Ihr wahrscheinlicher CAB-Pool davon geprägt ist, welche Stellen bereits Funkanlagen- oder Common-Criteria-Märkte bedienen. Drittens: Modul H (Qualitätssystem) skaliert in mindestens einem großen Mitgliedstaat schneller als Modul B (Baumusterprüfung), was Folgen für die Evidenzvorbereitung hat.

Die Morgensession von Steffen Zimmermann (VDMA) schärfte die Industriesicht. Rund 80 % der VDMA-Mitglieder sind KMU unter 250 Beschäftigten, und etwa 90 % davon sind von NIS2 und dem CRA betroffen. Seine fünfteilige Kritik an Zertifizierung war unverblümt:

  1. Not invented here. Bestehende IEC 62443, ISO/IEC 27001 und TISAX werden zugunsten EU-eigener Schemata abgelehnt.
  2. Nicht gut genug. Dieselbe IEC 62443 gilt dann als unzureichend, sobald der CRA ins Spiel kommt.
  3. Nicht vertrauenswürdiges Zertifikat. Proprietäre Methodik treibt Stakeholder, neue Schemata mit demselben Transparenzmangel zu fordern.
  4. Nachfrage künstlich erzeugen. Freiwillige Schemata mit schwacher Annahme werden über öffentliche Beschaffung vorgeschrieben, statt neu gedacht.
  5. Scheinkonformität. Das Zertifikat bleibt gültig, während die Sicherheit degradiert.

"Take ISO 27001. If you have a process that says you shall document whether you've patched your service, and months after months you correctly document that you have not patched, then you are in compliance. Your process works. Your security is terrible. And the certificate becomes just a rubber stamp." ("Nehmen Sie ISO 27001. Wenn Sie einen Prozess haben, der vorschreibt, zu dokumentieren, ob Sie Ihren Dienst gepatcht haben, und Sie Monat für Monat korrekt dokumentieren, dass Sie nicht gepatcht haben, dann sind Sie konform. Ihr Prozess funktioniert. Ihre Sicherheit ist katastrophal. Und das Zertifikat wird zum reinen Stempel.")

Steffen Zimmermann, VDMA · zur "Scheinkonformität"

Zu harmonisierten Normen unter dem CRA sein zitierfähiger Satz: "Harmonised standards do not cover all functionalities. They are developed to address the core functionality listed in the annexes. So a product may be in conformance for the core functionality, but the CRA demands conformity for the entire product." ("Harmonisierte Normen decken nicht alle Funktionen ab. Sie werden entwickelt, um die in den Anhängen genannte Kernfunktionalität zu behandeln. Ein Produkt kann daher für die Kernfunktionalität konform sein, der CRA verlangt aber Konformität für das gesamte Produkt.")

EUDI-Wallet-Zertifizierung

Evgenia Nikolouzou (ENISA) führte durch den Weg des EUDI-Wallet-Schemas. Die Kommissionsanfrage kam im Mai 2024; im Oktober 2024 folgte eine Interessensbekundung, bei der 26 Experten für die Ad-hoc-Arbeitsgruppe ausgewählt wurden; die AHWG startete im Januar 2025 und lief bis Februar 2026 mit 7 Plenarsitzungen und 4 thematischen Gruppen; das Schema wurde im April 2026 zur Prüfung eingereicht, die öffentliche Konsultation startete am 3. April 2026.

Das Schema umfasst die Wallet und das zugrunde liegende eID-Schema und muss wegen der Struktur von eIDAS Produkte, Dienste und Prozesse abdecken. Die Bewertung erfolgt zweistufig: Stufe 1 ist Architektur- und Abhängigkeitsprüfung, Stufe 2 ist Test- und Schwachstellenanalyse, gefolgt von Zertifikatserteilung und Überwachung. Zwei Assurance-Ebenen werden genutzt: Die manipulationssichere Hardwareebene wird vom EUCC auf AVA_VAN.4 / .5 abgedeckt, die Anwendungsebene von nationalen Schemata auf AVA_VAN.3.

AVA_VAN.3
Assurance der Anwendungsebene, nationale Schemata
AVA_VAN.4 / .5
Manipulationssichere Hardware, EUCC
AHWG
Ad-hoc-Arbeitsgruppe, 26 Experten seit Januar 2025
ECCG
European Cybersecurity Certification Group (Mitgliedstaaten)

Der Zeitplan aus der von Nikolouzou gezeigten Folie basiert auf folgenden Meilensteinen: AHWG-Validierung des Entwurfs v0.4 am 16. und 17. April 2026; ECCG-Kommentarfrist endet 1. Juni 2026; öffentliche Konsultation startet Anfang Juli 2026; ECCG-Finalisierung im September und Oktober 2026. Für eine detaillierte Analyse dessen, was das Wallet-Schema von Antragstellern verlangt und was das für künftige CRA-nahe Schemata signalisiert, siehe unseren Breakdown zum EUDI-Wallet-Schema.

Managed-Security-Services-Schema

Vicente Gonzalez Pedros (ENISA) eröffnete die Nachmittagssession zum EU-MSS-Schema, gefolgt von einem Panel unter Moderation von Georgia Bafoutsou (ENISA) mit Paloma Llaneza (Digital Trust Scheme Manager, CerteIDAS), Adrian Pauna (Oracle), Marios Ioannou (Columbia Group), Oscar Boizard (ANSSI) und Pablo Fernandez (Security Operations Centers Manager, CCN-CNI).

Die Kommissionsanfrage erreichte ENISA Ende April 2025. Die ursprüngliche Anfrage deckte die Vertikale Incident-Management-Lebenszyklus ab; ENISA teilte sie in Dienst-Profile auf und wählte Incident Response als erstes Profil zum Aufbau. Unter dem Cyber Solidarity Act müssen Anbieter, sobald ein europäisches Schema einen per Rechtsakt beschafften Dienst abdeckt, zwei Jahre nach Inkrafttreten des Schemas zertifiziert sein.

Die Schemaarchitektur hat zwei Ebenen:

  • Eine horizontale Ebene mit gemeinsamen Grundanforderungen, standard- und dienstagnostisch, anwendbar auf alle MSS.
  • Eine vertikale Ebene mit dienstspezifischen technischen Anforderungen (Lebenszyklusmanagement, Fachwissen, Incident-Response-Szenarien, Stakeholder-Zusammenarbeit, Ressourcenanforderungen).

Zwei Punkte von Gonzalez Pedros sind festzuhalten. Die horizontale Ebene wird nie allein zertifiziert: Das Zertifikat gilt immer für den Dienst, nie für den Anbieter. Und die horizontale Ebene ist mit NIS2 abgestimmt, zertifiziert aber keine NIS2-Konformität. Die NIS2-Abdeckung gehört zum Cyber-Posture-Schema, nicht zu MSS.

Zur AHWG: Über 200 Vorschläge gingen über den offenen Aufruf ein. Die Incident-Response-Arbeitsgruppe wurde mit 30 Experten gebildet, eine Reserveliste mit 70 weiteren wurde für künftige Dienst-Profile geführt. Die AHWG wurde offiziell am 29. September 2025 benannt.

Entwurfsverlauf (aus der AHWG-Folie):

  • Main Scheme Draft v3 an AHWG gesendet am 20. März 2026.
  • 250 Kommentare eingegangen, gruppiert in neun Themen: Verhältnis zu NIS2, Assurance-Level für mehrere Profile, Bewertungsstandards und Methodik, grenzüberschreitende Aufsicht, Terminologie-Abstimmung, Zertifizierungsumfang (kundenspezifisch vs allgemein), Kosten der Bewertungswiederholung, NCCA- und CAB-Dialoge sowie Vertraulichkeit in Zertifizierungsberichten.
  • Main Scheme Draft v4 an AHWG gesendet am 9. April 2026.

Eine strukturelle Klarstellung von Gonzalez Pedros: Das MSS-Schema hat keine ITSEFs (anders als EUCC). CAB und CB werden im nächsten Entwurf auf einen einzigen Begriff vereinheitlicht. Die CAB-Akkreditierung erfolgt gegen ISO/IEC 17065, und das Schema baut auf derselben Bewertungsmethodik auf, die ENISA für die European Wallet nutzt.

Der von ihm skizzierte Schemaplan: Validierung Entwurf v4 am 16. und 17. April 2026; erster Entwurf an ECCG zur Kommentierung mit einem Monat für die Mitgliedstaaten; Bearbeitung der Kommentare in rund zwei Wochen; öffentliche Konsultation ab Anfang Juli 2026 für 1,5 Monate; Treffen Mitte September 2026 zur Bearbeitung der Konsultationskommentare; Schema-Bestätigung im ECCG bis Oktober 2026.

Was die Panelisten beitrugen

Paloma Llaneza (CerteIDAS) vertrat das Kernargument für ein EU-weites Schema: Ohne solches zertifizieren Anbieter in 27 Mitgliedstaaten separat, und das können sich nur große Firmen leisten. Ihr Referenzpunkt war eIDAS-2, wo eine Verordnung plus ein Durchführungsrechtsakt 27 nationale Standards durch einen einzigen europäischen Standard ersetzt haben. Llaneza ist Editorin der ETSI EN 319 401 (Policy and security requirements for Trust Service Providers), die sie als funktionierendes Proportionalitätsmodell positionierte: Die horizontale Ebene ist ein einmaliger Baseline, die Vertikalen stapeln sich modular darauf.

Adrian Pauna (Oracle) vertrat den multinationalen Fall: Ein EU-Schema standardisiert Compliance über Jurisdiktionen hinweg, und Penetrationstest-Methodiken müssen im Schema klar definiert sein. Er wies auf ein strukturelles Problem beim Pentesting hin: Es wird heute auf Personenebene zertifiziert (OSCP, OSCE), was die Zertifizierung auf Dienstebene strukturell erschwert, bis sich der Markt verschiebt. Seine Empfehlung für die nächsten Vertikalen: zuerst Detection, dann Pentesting.

Marios Ioannou (Columbia Group, Zypern) rahmte die EU-Qualifikation als Türöffner: Anerkennung im gesamten Gebiet und Teilnahme an der EU Cybersecurity Reserve. Zu grenzüberschreitenden Vorfällen merkte er an: Eine Reaktion von Spanien über Zypern bis Malta ist deutlich einfacher, wenn alle Beteiligten dieselbe Basisfähigkeit teilen.

Oscar Boizard (ANSSI) zog die schärfste Trennlinie der Session, zwischen Zertifizierung und Qualifikation:

Zertifizierung gegenüber Qualifikation. Zertifizierung bewertet Konformität gegen einen Baseline, pro Diensterbringung erteilt; EU MSS Entwurf v4 folgt diesem Modell. Qualifikation (ANSSI) bewertet zusätzlich Vertrauen in den Anbieter als Einheit, dem Anbieter erteilt; PASSI seit 2013 mit 60 bis 70 % KMU-Basis.
Wo sich die beiden Bewertungsmodelle unterscheiden — Boizards Darstellung im MSS-Panel.

Kreutzmann (BSI) plädierte dafür, dass CSA2 eine Anbieter-Qualifikation auf EU-Ebene ermöglicht, über die aktuelle Zertifizierung auf Dienstebene hinaus.

Frankreich betreibt vier ANSSI-Qualifikationsschemata, abgestimmt mit den EU-MSS-Kategorien (Consulting, Audit, Detection, Response), plus PAMS für Administration. PASSI ist das älteste und hat die größte qualifizierte Anbieterbasis. Die Einführung eines substanziellen Levels hat den Anbietermix spürbar verändert: KMU mit sechs bis sieben kompetenten Mitarbeitenden schafften es hinein. Boizards Empfehlung für die nächste Vertikale: Auditing, als Quick Win, weil die Standards bereits bestehen.

Pablo Fernandez (CCN-CNI) brachte harte Zahlen zum spanischen Ansatz. Das spanische MSS-Schema startete vor rund vier Jahren, aufgebaut auf dem ENS (Esquema Nacional de Seguridad), der selbst rund 16 Jahre Geschichte hat. Das MSS-Modell ist Guía CCN-STIC 896, aufgelegt auf das ENS, abgestimmt mit NIS2, den Änderungen des Cyber Solidarity Act sowie dem kommenden CSA2 und EU MSS. Die CCN-Folie nannte Zahlen: 3.578 zertifizierte Einheiten unter ENS, 25 MSS-zertifizierte Dienste, erbracht von 5 MSSPs, und 304 integrierte SOCs im nationalen SOC-Netzwerk. Fernandez erwähnte, dass CCN-STIC 896 "in a couple of weeks" ("in einigen Wochen") auf Englisch verfügbar sein wird, direkt nutzbar für Leser außerhalb Spaniens.

Wo die Panelisten landeten bei der Frage, welche MSS-Vertikale als Nächstes gebaut werden sollte:

PanelistVorgeschlagene nächste Vertikale
Llaneza · CerteIDASDetection
Pauna · OracleDetection, dann Pentesting
Ioannou · Columbia GroupDetection und Recovery, dann Pentesting
Boizard · ANSSIAuditing (Quick Win, Standards bestehen bereits)
Fernandez · CCN-CNIDetection und Recovery, dann Pentesting

Ein nützliches Detail aus dem Saal: Eine Publikumsfrage brachte Souveränität als Faktor ein (MSS-Anbieter, die nationale souveräne Einheiten sind, gegenüber Multinationalen). Llaneza antwortete, EU-Regulierung werde gebraucht, um 27 nationale Schemata zu ersetzen, nach dem eIDAS-2-Präzedenzfall. Ioannou antwortete, eine geteilte Baseline über die Mitgliedstaaten hinweg sei das, was Unternehmen bei einem grenzüberschreitenden Vorfall tatsächlich zusammenarbeiten lasse.

Was das für Hersteller unter dem CRA bedeutet

Der CRA-Meilenstein, auf den Sie zwischen heute und dem 11. Dezember 2027 schauen sollten, ist die Kapazität der Konformitätsbewertung, nicht die harmonisierten Normen. Harmonisierte Normen kommen spät und ungleich. Die Benennung zuständiger Behörden ist eine Juni-2026-Frist. Die Verfügbarkeit notifizierter Stellen ist eine Dezember-2026-Zielgröße. Wenn Ihr Produkt in Wichtig Klasse II liegt, ist Ihr CAB-Pool stark davon geprägt, welche Stellen bereits für EUCC notifiziert oder unter dem RED DA akkreditiert sind.

Für Hersteller in Standard und Wichtig Klasse I gilt praktisch: Die Modulwahl zählt dieses Jahr mehr als üblich. Modul H (Qualitätssystem) hat klarere Skalierungssignale aus mindestens einem großen Mitgliedstaat; die Verfügbarkeit von Modul B (Baumusterprüfung) ist ungleich und nicht öffentlich kartiert. Wenn Sie sich, sobald sie vorliegen, legitim unter harmonisierten Normen qualifizieren können, entfällt eine Abhängigkeit vom CAB-Angebot.

Die EUCC-zu-CRA-Konformitätsvermutung über delegierten Rechtsakt ist noch nicht gangbar, sie ist aber die konkreteste Infrastruktur im Bau. Die 18 Piloten und das erklärte Ende-2026-Ziel der Kommission für die Spezifikation, wie der EUCC die CRA-Konformität trägt, sind die Punkte, die Sie in den nächsten zwei Quartalen verfolgen sollten.

Das MSS-Schema ist kein direktes CRA-Produktthema. Es zählt, weil es das zweite CSA-Schema in aktiver Entwurfsarbeit ist, nach der EUDI Wallet, und es wird vor dem ersten CRA-spezifischen Schema ausgeliefert. Die Methodik-Entscheidungen, die ENISA hier festschreibt (CAB-Akkreditierung nach ISO/IEC 17065, die Wallet-nahe Bewertungsmethodik), werden in CRA-nahe Schemata später übernommen.

Häufig gestellte Fragen

Was ist CSA2, und ersetzt es den aktuellen Cybersecurity Act?

CSA2 ist ein Kommissionsvorschlag für eine neue Verordnung, die den European Cybersecurity Certification Framework (ECCF) überarbeitet und die NIS2-Richtlinie ändert. Es ist keine Neufassung des Cybersecurity Act von 2019. Die vier Säulen des Vorschlags sind ein harmonisierter Rahmen für das Risikomanagement in der IKT-Lieferkette, der überarbeitete ECCF, NIS2-Vereinfachungsmaßnahmen einschließlich eines Cyber-Posture-Schemas sowie die Stärkung des ENISA-Mandats. Die Paneldiskussion auf der Konferenz nannte die Entwurfslänge mit 271 Seiten. Zum Hintergrund, wie CSA2 mit Lieferkettenpflichten zusammenspielt, siehe unseren Beitrag zu Cybersecurity Act 2 und Lieferketten-Zertifizierung.

Wird es bis zur vollen Anwendung des CRA ein CSA-Schema geben, das CRA-Produkte abdeckt?

Auf dem aktuellen Kurs nicht. Die ersten beiden CSA-Schemata kurz vor Abschluss sind das EUDI-Wallet-Schema (in öffentlicher Konsultation, ECCG-Annahme für Oktober 2026 angestrebt) und das EU-MSS-Schema (in Entwurf v4, öffentliche Konsultation ab Juli 2026, Bestätigung für Oktober 2026 angestrebt). Keines deckt CRA-Produktkategorien ab. Fohrenbach erklärte, die Kommission beabsichtige, bis Ende 2026 zu spezifizieren, wie der EUCC zur Darstellung der Konformität mit dem CRA genutzt werden kann, was Kritischen und einigen Wichtigen Produkten einen Pfad geben würde. Zu den aktuellen Modul-Optionen, solange diese Arbeit läuft, siehe den Leitfaden zur Konformitätsbewertung.

Was ist das Cyber-Posture-Schema, und belegt eine Zertifizierung darunter NIS2-Konformität?

Das Cyber-Posture-Schema ist ein vorgeschlagenes CSA2-Schema, das Einheiten erlauben soll, NIS2-Konformität durch Zertifizierung nachzuweisen. Es ist der Leitanwendungsfall für die Erweiterung des CSA2-Geltungsbereichs von Produkten, Diensten und Prozessen auf Einheiten. Die wichtige Einschränkung: Die Kommission hat die Verknüpfung Zertifizierung–NIS2 mit den Mitgliedstaaten noch nicht abgestimmt. Fohrenbach beschrieb sie als "subject to negotiation" ("unter Verhandlungsvorbehalt") und wies darauf hin, dass NIS2 eine Richtlinie ist, das Schema also neben nationalen Umsetzungen bestehen muss. Der vorgeschlagene Hebel ist eine Durchführungsverordnung mit maximaler Harmonisierung der Grundanforderungen. Zwei verwandte Publikumsfragen auf der Konferenz, ob eine förmliche NIS2-Aufsichtsbestätigung eine solidere Grundlage wäre und wie das Schema Einheiten behandelt, die in mehreren Mitgliedstaaten tätig sind, erhielten auf der Bühne keine Antwort. Behandeln Sie den Pfad als politische Richtung, nicht als gesicherten Fakt.

Was ist die CAB-Kapazitätslücke, und sollte ich darauf planen?

"Bis Dezember 2026 ausreichende notifizierte Stellen bereit" ist eine Zielgröße der Kommission, keine Garantie je Mitgliedstaat. BSI bestätigte im Panel, dass es für den CRA Modul H (Qualitätssystem) gegenüber Modul B (Baumusterprüfung) priorisiert, und mehrere andere Mitgliedstaaten stehen im Modul-B-Lager, ohne sich öffentlich zu nennen. Griechenland hat derzeit keine nationale eIDAS-Akkreditierungsstelle, und Soumelidis erklärte, rund zwei Drittel der europäischen Länder seien in derselben Lage. Wenn Ihr Produkt eine Drittbewertung verlangt, prüfen Sie den Plan Ihres Heimatmitgliedstaats jetzt und behandeln Sie Geografie als Planungsvariable. Wie Einführer die CAB-Verfügbarkeit in Lieferantenverträge einbauen sollten, steht im Einführer-Verifizierungsleitfaden.

Welches Verhältnis hat das EUDI-Wallet-Schema zum CRA, falls überhaupt?

Das EUDI-Wallet-Schema ist das erste CSA-Schema für IKT-Dienste, nicht für Produkte. Es gilt nicht direkt für CRA-Produkte. Es ist aber der klarste Vorgeschmack darauf, wie ENISA SBOMs, Lieferketten-Evidenz, die Behandlung von ISO 27001 und fortlaufende Überwachung in künftigen CRA-nahen CSA-Schemata handhaben wird. Für mobile Wallet-Anwendungen, die kommerziell in Verkehr gebracht werden, können CRA und Wallet-Schema parallel gelten. Für einen vollständigen Breakdown siehe unseren Beitrag zum EUDI-Wallet-Schema und CRA-Konformität.

Was ist der Unterschied zwischen Zertifizierung und Qualifikation, den ANSSI ansprach?

Zertifizierung bewertet die Konformität eines Dienstes (oder Produkts oder Prozesses) gegen einen definierten Baseline. Qualifikation, wie ANSSI sie anwendet, bewertet zusätzlich das Vertrauen, das dem Diensterbringer als Einheit entgegengebracht werden kann, und sie wird dem Anbieter erteilt, nicht einer konkreten Diensterbringung. Frankreich betreibt seine Qualifikationsschemata seit 2013 (PASSI), und die Einführung der substanziellen Qualifikationsstufe brachte KMU in den Pool qualifizierter Anbieter; 60 bis 70 % der unter PASSI qualifizierten Unternehmen sind heute KMU. Die Unterscheidung zählt für das EU-MSS-Schema, weil das Schema in der aktuellen Fassung Dienste zertifiziert, nicht Anbieter, eines der neun Kommentarthemen gegen Entwurf v3.

Was steht in der Guía CCN-STIC 896, und warum ist sie außerhalb Spaniens relevant?

CCN-STIC 896 ist das spanische MSS-Modell, aufgelegt auf das ENS (Esquema Nacional de Seguridad). Das CCN meldet 3.578 zertifizierte Einheiten unter ENS, 25 MSS-zertifizierte Dienste, erbracht von 5 MSSPs, sowie 304 integrierte SOCs im nationalen SOC-Netzwerk. Pablo Fernandez (CCN-CNI) erklärte auf der Konferenz, STIC 896 werde in einigen Wochen auf Englisch verfügbar sein. Für nicht-spanische MSSPs ist es eine der wenigen öffentlichen, praktisch einsetzbaren Referenzen mit der Architektur aus horizontaler plus vertikaler Ebene, auf die das EU-MSS-Schema baut.

Was sollte ich vor der Dezember-2026-Frist für notifizierte Stellen tun?

Kartieren Sie drei Dinge. Erstens die Position Ihres Produkts in der CRA-Stufe (Standard, Wichtig Klasse I, Wichtig Klasse II, Kritisch), denn davon hängt ab, ob die Drittbewertung optional, bedingt oder verpflichtend ist. Zweitens die Landschaft notifizierter Stellen in Ihrem Heimatmitgliedstaat, mit einem Rückfallplan, falls bis Ende 2026 keine NB für Ihr Modul notifiziert ist. Drittens Ihre Evidenz-Bereitschaft (SBOM, technische Dokumentation, CVD-Policy, Schwachstellenbearbeitung), denn diese Artefakte sind der Input jedes Moduls. Für eine konkrete Artefakt-Checkliste siehe unseren Leitfaden zur technischen Dokumentation und den SBOM-Erstellungsleitfaden.

Nächste Schritte

Nächste Schritte

  1. Beobachten Sie die ENISA-Eventseite für die veröffentlichten Folien und Aufzeichnungen der Session vom 15. April 2026.
  2. Klassifizieren Sie jedes Ihrer Produkte nach den CRA-Stufen. Das entscheidet, ob die Verfügbarkeit notifizierter Stellen im Dezember 2026 für Sie ein Blocker ist oder nicht.
  3. Fragen Sie Ihre nationale Akkreditierungsstelle nach ihrem CRA-Notifizierungsplan. "Ausreichende Zahl notifizierter Stellen bis Dezember 2026" ist je Mitgliedstaat nicht garantiert.
  4. Verfolgen Sie die Arbeit zur EUCC-zu-CRA-Konformitätsvermutung. Die 18 Piloten und das Ende-2026-Ziel der Kommission sind die zwei Daten, die hier zählen.
  5. Bereiten Sie Evidenz jetzt vor, nicht erst, wenn ein CAB danach fragt. Beginnen Sie mit SBOM-Erstellung, Zusammenstellung der technischen Dokumentation und einer CVD-Policy.

Dieser Beitrag dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung wenden Sie sich an qualifizierten Rechtsbeistand.

CRA ENISA Compliance Konformität CE-Kennzeichnung
Share

Verwandte Artikel

Zurück zu allen Artikeln

Gilt der CRA für Ihr Produkt?

Beantworten Sie 6 einfache Fragen, um herauszufinden, ob Ihr Produkt unter den EU Cyber Resilience Act fällt. Erhalten Sie Ihr Ergebnis in unter 2 Minuten.

Jetzt prüfen

Bereit für CRA-Konformität?

Beginnen Sie mit der Verwaltung Ihrer SBOMs und Compliance-Dokumentation mit CRA Evidence.

14-tägige Testversion starten