EU Cybersecurity Act 2: Lieferketten-Verbote, Zertifizierungsreform und worauf Produkthersteller achten sollten

Am 20. Januar 2026 veröffentlichte die Europäische Kommission COM(2026) 11 final, einen Vorschlag für das, was als Cybersecurity Act 2 bezeichnet wird. Es handelt sich nicht um eine geringfügige Aktualisierung. Die Kommission schlägt vor, die Verordnung (EU) 2019/881, den ursprünglichen Cybersecurity Act von 2019, vollständig aufzuheben und zu ersetzen.

Der Vorschlag umfasst über 120 Artikel in sechs Titeln. Wir haben den vollständigen Text, die Anhänge und die Folgenabschätzung durchgearbeitet, damit Sie es nicht tun müssen. Dieser Artikel behandelt, was tatsächlich neu ist, was für Produkthersteller relevant ist und wo sich dies mit der CRA-Compliance überschneidet.

Vier Säulen des Vorschlags

Der CSA2 basiert auf vier Bereichen. Zwei sind Erweiterungen bestehender Rahmenwerke, und zwei sind vollständig neu.

1. Reform des ENISA-Mandats

ENISA, die EU-Agentur für Cybersicherheit, erhält ein erhebliches Upgrade. Seit 2019 haben neue Rechtsvorschriften (NIS2, CRA, Cyber Solidarity Act) der Agentur immer neue Aufgaben auferlegt, ohne deren Mandat oder Ressourcen anzupassen.

Der Vorschlag behebt dies mit:

• Budget: EUR 341 Millionen über sieben Jahre (2028 bis 2034), eine Steigerung von 81,5 % gegenüber dem Niveau von 2025
• Personal: 118 neue Vollzeitstellen bei ENISA, plus 50 bei der Kommission
• Ransomware-Helpdesk: ENISA muss nun dedizierte Ransomware-Reaktions- und Wiederherstellungskapazitäten betreiben
• Europäische Schwachstellendatenbank: Erweitert um Schweregradbewertung, Produktlisten und einen Katalog bekannter ausgenutzter Schwachstellen
• Post-Quanten-Kryptographie: ENISA erhält ein explizites Mandat zur Bewertung von Post-Quanten-Algorithmen
• Cybersecurity Skills Academy: Gesetzlich formalisiert mit EU-weit übertragbaren Zertifizierungen für Cybersicherheitsfachkräfte, ausgestellt auf EU Digital Identity Wallets

2. Überarbeitung des Zertifizierungsrahmenwerks

Das European Cybersecurity Certification Framework (ECCF) wird erheblich erweitert.

Was sich geändert hat:

Die folgenreichste Änderung: Zertifizierung der Cybersicherheitsaufstellung. Organisationen (insbesondere NIS2-Einrichtungen) können nun ihre gesamten Cybersicherheits-Risikomanagementmaßnahmen zertifizieren lassen. Eine einzige Zertifizierung könnte mehrere Compliance-Prüfungen über Mitgliedstaaten hinweg ersetzen und eine Konformitätsvermutung mit NIS2-Anforderungen begründen.

Für Produkthersteller bedeutet dies, dass eine unter dem ECCF erlangte Zertifizierung potenziell die Einhaltung von Cybersicherheitsanforderungen über CRA, NIS2, DORA und sektorspezifische Vorschriften hinweg gleichzeitig nachweisen könnte.

3. Compliance-Vereinfachung

Die Kommission schätzt, dass Unternehmen über fünf Jahre durch vereinfachte Compliance bis zu EUR 15,3 Milliarden einsparen könnten.

Die wesentlichen Mechanismen:

• Eine Zertifizierung, viele Verordnungen: Eine europäische Cybersicherheitszertifizierung kann als Compliance-Nachweis über mehrere Rechtsakte hinweg dienen: NIS2, CRA, DORA, GDPR-Sicherheitsanforderungen und sektorspezifische Vorschriften
• Maximale Harmonisierung: Wenn die Kommission Durchführungsrechtsakte unter NIS2 erlässt, werden diese zur Maximalharmonisierung. Mitgliedstaaten dürfen keine zusätzlichen Anforderungen darüber hinaus stellen
• Einheitliche Meldeplattform: ENISA muss eine zentrale Anlaufstelle für die Incident-Meldung entwickeln, die mehrere Verordnungen gleichzeitig bedient

Der letzte Punkt ist bedeutsam. Heute kann ein einzelner Vorfall Meldepflichten unter CRA (an ENISA), NIS2 (an nationale Behörden) und möglicherweise DORA oder sektorspezifische Vorschriften auslösen, jeweils mit unterschiedlichen Formularen und Empfängern. Die einheitliche Meldeplattform soll dem ein Ende setzen.

4. ICT-Lieferkettensicherheits-Rahmenwerk: Der Kernpunkt

Dies ist der völlig neue und politisch bedeutsamste Teil des Vorschlags. Er schafft ein horizontales, technologieneutrales Rahmenwerk, um das zu adressieren, was die Kommission als „nicht-technische Cybersicherheitsrisiken" in ICT-Lieferketten bezeichnet. In der Praxis ist dies der Rechtsmechanismus zur Beschränkung von Hochrisiko-Zulieferern in kritischer Infrastruktur.

Wie es funktioniert, Schritt für Schritt:

SCHRITT 1: RISIKOBEWERTUNG
NIS-Kooperationsgruppe oder Kommission initiiert
koordinierte Risikobewertung bestimmter ICT-Lieferketten
Zeitrahmen: 6 Monate bis zum Abschluss
                    │
                    ▼
SCHRITT 2: LÄNDERBENENNUNG
Kommission bewertet, ob ein Drittland
„ernsthafte und strukturelle nicht-technische Risiken" darstellt
Kriterien: Gesetze zur Schwachstellenoffenlegung, Rechtsmittel,
Bedrohungsakteure, Kooperationsbereitschaft
                    │
                    ▼
SCHRITT 3: KONSEQUENZEN
Unternehmen aus benannten Ländern werden AUSGESCHLOSSEN von:
- Bereitstellung von ICT-Komponenten in Schlüsselanlagen
- Öffentlicher Beschaffung für Schlüssel-ICT-Anlagen
- EU-Förderprogrammen
- Zertifizierung und Konformitätsbewertung
                    │
                    ▼
SCHRITT 4: IDENTIFIZIERUNG VON SCHLÜSSEL-ICT-ANLAGEN
Kommission legt durch Durchführungsrechtsakte fest,
welche ICT-Anlagen je Sektor als „Schlüssel" gelten
                    │
                    ▼
SCHRITT 5: HOCHRISIKO-ZULIEFERER-LISTEN
Kommission veröffentlicht Listen von Hochrisiko-Zulieferern
Basierend auf Eigentums- und Kontrollbewertungen

Telekommunikation ist als Erstes betroffen. Anhang II definiert vorab Schlüssel-ICT-Anlagen für Mobilfunk-, Festnetz- und Satellitennetze: Kernnetzelemente, Funkzugangsnetze, Netzwerkmanagement-Systeme, Transportnetze, kryptographische Produkte. Mobilfunkbetreiber müssen Hochrisiko-Ausrüstung innerhalb von 36 Monaten nach Inkrafttreten schrittweise ersetzen. Die jährlichen Kosten für Mobilfunkbetreiber für die Ablösung von Hochrisiko-Ausrüstung werden auf EUR 3,4 bis 4,3 Milliarden geschätzt.

Ein Ausnahmemechanismus existiert. Unternehmen aus benannten Ländern können beantragen, nachzuweisen, dass sie über wirksame Maßnahmen zur Adressierung nicht-technischer Risiken verfügen. Die Kommission führt ein öffentliches Register der Ausnahmeentscheidungen.

Was dies für CRA-erfasste Produkte bedeutet

Der CSA2 ändert den Cyber Resilience Act nicht direkt, schafft aber neue Dynamiken, die CRA-erfasste Hersteller verstehen sollten.

Sorgfaltspflichten in der Lieferkette werden anspruchsvoller

Der CRA verlangt bereits, dass Hersteller bei der Integration von Drittanbieter-Komponenten Sorgfalt walten lassen. Der CSA2 fügt eine neue Ebene hinzu: Wenn Ihr Produkt Komponenten eines Zulieferers enthält, der später als Hochrisiko eingestuft wird, und Ihr Produkt in kritischer Infrastruktur eingesetzt wird, könnten Ihre Kunden gezwungen sein, diese Komponenten zu ersetzen.

Dies erzeugt praktischen Druck:

• Kartieren Sie jetzt Ihre Komponentenlieferkette, einschließlich des Herkunftslandes wichtiger Komponenten
• Erfassen Sie, welche Ihrer Kunden in hochkritischen Sektoren tätig sind (Energie, Verkehr, Banken, Gesundheit, digitale Infrastruktur)
• Evaluieren Sie alternative Zulieferer für Komponenten aus Ländern, die von einer Benennung betroffen sein könnten

Zertifizierung könnte Ihre CRA-Compliance vereinfachen

Das erweiterte ECCF bedeutet, dass eine europäische Cybersicherheitszertifizierung für Ihr Produkt als Nachweis der CRA-Konformität dienen könnte. Dies ist besonders relevant für Important-Klasse-I- und Klasse-II-Produkte, die eine Konformitätsbewertung durch Dritte erfordern.

Die drei Vertrauensstufen bleiben bestehen: Basic (Selbstbewertung auf dieser Stufe), Substantial und High. Wenn ein Cybersicherheitszertifizierungssystem verabschiedet wird, das die wesentlichen Anforderungen des CRA abdeckt, könnten Hersteller diese Zertifizierung anstelle eines separaten CRA-Konformitätsbewertungsverfahrens nutzen.

Incident-Meldung wird konsolidiert

Die einheitliche Meldeplattform ist eine gute Nachricht. Der CRA verlangt die Meldung aktiv ausgenutzter Schwachstellen an ENISA innerhalb von 24 Stunden. NIS2 verlangt die Meldung erheblicher Vorfälle an nationale Behörden. Die zentrale Anlaufstelle des CSA2 würde es ermöglichen, einmal zu melden und an alle erforderlichen Empfänger weiterzuleiten.

Konformitätsbewertungsstellen unterliegen neuen Regeln

Wenn Sie für die CRA-Konformitätsbewertung auf benannte Stellen zurückgreifen, beachten Sie, dass der CSA2 zusätzliche Anforderungen an diese Stellen stellt. Anhang I des Vorschlags legt fest, dass Konformitätsbewertungsstellen selbst keine Hochrisiko-Zulieferer sein dürfen und in ihren Bewertungsaktivitäten keine ICT-Komponenten von Hochrisiko-Zulieferern verwenden dürfen.

Wichtige Zahlen auf einen Blick

Wie es weitergeht

Dies ist ein Gesetzgebungsvorschlag. Er muss noch im ordentlichen Gesetzgebungsverfahren das Europäische Parlament und den Rat durchlaufen. Der Zeitplan steht nicht fest, aber angesichts der politischen Bedeutung der Lieferkettenbestimmungen ist mit Debatten zu rechnen.

Wichtige Meilensteine, die es zu beobachten gilt:

• Zuweisung an den Ausschuss des Europäischen Parlaments, voraussichtlich ITRE (Industrie, Forschung und Energie)
• Diskussionen in der Ratsarbeitsgruppe, wo die Positionen der Mitgliedstaaten den endgültigen Text formen werden
• Trilog-Verhandlungen, wo Parlament, Rat und Kommission einen Kompromiss finden
• Inkrafttreten, in der Regel 20 Tage nach Veröffentlichung im Amtsblatt
• Beginn der Mobilfunk-Ablösefrist, 36 Monate ab Inkrafttreten

Für die CRA-Compliance ändert der CSA2 Ihre aktuellen Pflichten oder den Zeitplan nicht. Die CRA-Meldepflichten beginnen weiterhin im September 2026, und die vollständige Compliance ist weiterhin bis Dezember 2027 erforderlich. Aber der CSA2 könnte neue Instrumente schaffen, insbesondere rund um die Zertifizierung, die den Nachweis der CRA-Compliance nach seinem Inkrafttreten erleichtern könnten.

Was Sie jetzt tun sollten

Sie müssen wegen des CSA2 nicht sofort handeln, denn es ist ein Vorschlag, kein Gesetz. Es gibt jedoch praktische Schritte, die unabhängig davon sinnvoll sind, wann oder wie er verabschiedet wird:

1. Prüfen Sie Ihre Komponentenlieferkette. Wissen Sie, woher Ihre wichtigsten Komponenten stammen. Das ist bereits gute CRA-Praxis und wird kritisch, wenn das Lieferkettenrahmenwerk verabschiedet wird.

2. Beobachten Sie die Zertifizierungslandschaft. Wenn ein europäisches Cybersicherheitszertifizierungssystem verabschiedet wird, das die wesentlichen Anforderungen des CRA abdeckt, könnte es Ihr Konformitätsbewertungsverfahren erheblich vereinfachen.

3. Bereiten Sie sich auf konsolidierte Meldung vor. Wenn Sie sowohl CRA als auch NIS2 unterliegen, wird die einheitliche Meldeplattform Ihre Pflichten letztlich bündeln. Gestalten Sie Ihre Incident-Response-Prozesse verordnungsübergreifend.

4. Beobachten Sie Ihren Kundenstamm. Wenn Ihre Produkte in hochkritischen Sektoren eingesetzt werden (Energie, Verkehr, Gesundheit, Banken, digitale Infrastruktur), könnten die Lieferkettenbestimmungen zusätzlichen Druck auf Ihre Komponentenauswahl erzeugen.

Verwandte Leitfäden

• CRA-Implementierungszeitplan 2025-2027
• CRA-Produktklassifizierungsleitfaden

Wie CRA Evidence hilft

CRA Evidence verfolgt bereits die Lieferkettenelemente, die der CSA2 noch wichtiger machen wird:

• SBOM-Management bildet Ihre Komponentenabhängigkeiten ab, einschließlich der Herkunft der Zulieferer
• Schwachstellenüberwachung verfolgt bekannte ausgenutzte Schwachstellen über Ihr gesamtes Produktportfolio
• Compliance-Dashboard zeigt Ihren CRA-Bereitschaftsstatus und Lücken
• Incident-Meldung unterstützt den von CRA geforderten 24-Stunden-Benachrichtigungsworkflow
• Dokumentation pflegt Ihre technische Dokumentation und Konformitätserklärung

Beginnen Sie mit dem Aufbau Ihrer Compliance-Nachweise bei craevidence.com.

Der vollständige Text des Vorschlags (COM(2026) 11 final) seine Anhänge und die Folgenabschätzung sind in der Bibliothek für digitale Strategie der Europäischen Kommission verfügbar. Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung wenden Sie sich an qualifizierte Rechtsberater.