Glossar · EU-Cybersicherheit Cyber Solidarity Act (EU Cyber Solidarity Act (Verordnung 2024/2691))
EU-Verordnung, die Ende 2024 verabschiedet wurde und einen koordinierten Mechanismus zwischen den Mitgliedstaaten zur Erkennung, Vorbereitung und Reaktion auf großflächige Cybersicherheitsvorfälle einrichtet. Sie finanziert das Europäische Cybersicherheits-Schutzschild, einen Cyber-Notfallmechanismus sowie einen Mechanismus zur Überprüfung von Cybersicherheitsvorfällen.
## Was der Cyber Solidarity Act tatsächlich ist
Der Cyber Solidarity Act (Verordnung (EU) 2024/2691) ist die Antwort der EU auf die Erkenntnis, dass die Cybersicherheitsfähigkeiten zwischen den Mitgliedstaaten fragmentiert bleiben – die Bedrohungslage hingegen kennt keine Grenzen. Die Verordnung wurde Anfang 2024 als Teil des Europäischen Cybersicherheitspakets politisch beschlossen, parallel zu Änderungen am Cybersecurity Act und einer Verordnung über verwaltete Dienste.
Während [NIS2](/de/glossary/nis2/) Pflichten für einzelne Einrichtungen vorgibt und der [Cyber Resilience Act](/de/glossary/cyber-resilience-act/) die Sicherheit von Produkten regelt, geht es beim Cyber Solidarity Act um *kollektive Reaktionsfähigkeit auf EU-Ebene* – die Koordinierungsschicht oberhalb der nationalen Cybersicherheitsbehörden.
## Die drei Säulen
Die Verordnung schafft drei operative Mechanismen, jeweils mit eigener Finanzierungslinie.
### 1. Europäisches Cybersicherheits-Schutzschild
Ein föderiertes Netzwerk aus nationalen und grenzüberschreitenden Security Operation Centres (SOCs). Das Schutzschild verbindet:
- **Nationale SOCs** – jeder Mitgliedstaat benennt ein oder mehrere nationale SOCs, die EU-Kofinanzierung erhalten
- **Grenzüberschreitende SOCs** – Zusammenschlüsse von drei oder mehr Mitgliedstaaten, die eine gemeinsame SOC-Plattform betreiben
- **Austausch von Bedrohungsinformationen** – Echtzeit-Informationen, die durch das Schutzschild fließen, unterstützt durch KI-gestützte Analytik
- **Schnittstelle zwischen öffentlicher Hand und Wirtschaft** – kontrollierter Zugriff vertrauenswürdiger Privatunternehmen auf Schutzschild-Daten
Erklärtes Ziel des Schutzschilds ist es, Cyberbedrohungen früher zu erkennen, Erkenntnisse schneller über Grenzen hinweg zu teilen und ein EU-weites Lagebild zu schaffen, das dem entspricht, was große Einzelstaaten national bereits haben.
### 2. Cyber-Notfallmechanismus
Operativ der innovativste Teil der Verordnung. Der Mechanismus finanziert:
- **Vorbereitungsmaßnahmen** – Tests wesentlicher Einrichtungen in kritischen Sektoren (Energie, Gesundheit, Verkehr, digitale Infrastruktur) auf bekannte Bedrohungen
- **Eine neue EU-Cybersicherheitsreserve** – geprüfte Anbieter aus dem Privatsektor, die für Reaktionen auf erhebliche oder großflächige Vorfälle bereitstehen
- **Gegenseitige Unterstützung** – koordinierte grenzüberschreitende Reaktion, wenn die Ressourcen eines Landes erschöpft sind
- **Finanzielle Unterstützung** für Mitgliedstaaten in der Wiederherstellungsphase
Die Reserve funktioniert operativ ähnlich wie Bereitschaftslisten im Katastrophenschutz – allerdings für Cybersicherheitsunternehmen mit EU-geprüfter Kompetenz.
### 3. Mechanismus zur Überprüfung von Cybersicherheitsvorfällen
Für schwerwiegende Vorfälle ist die [ENISA](/de/glossary/enisa/) nun befugt, strukturierte Nachuntersuchungen durchzuführen und Berichte mit gewonnenen Erkenntnissen zu veröffentlichen. Konzeptionell ist das mit der Untersuchung von Flugsicherheitsvorfällen vergleichbar – institutionelles Lernen als regulatorische Funktion.
## Warum dies ein struktureller Wandel ist
Drei Gründe, weshalb der Cyber Solidarity Act über seine konkreten Bestimmungen hinaus Bedeutung hat.
### Cybersicherheit wird zur Kompetenz auf EU-Ebene
Vor 2024 ging es in der EU-Cybersicherheitspolitik vor allem um die Harmonisierung nationaler Pflichten. Der Cyber Solidarity Act schafft *direkte operative Fähigkeiten auf EU-Ebene* – finanziert aus dem EU-Haushalt, koordiniert durch die ENISA, umgesetzt über SOCs und die Reserve. Das ähnelt eher der Arbeitsweise der EU in der Währungs- oder Wettbewerbspolitik als ihrem bisherigen Vorgehen in Sicherheitsfragen.
### Vertrauenswürdige private Cybersicherheitsanbieter erhalten regulatorischen Status
Die Cybersicherheitsreserve schafft eine geprüfte Liste privater Cybersicherheitsanbieter. Die Aufnahme in die Reserve verschafft erheblichen kommerziellen Vorteil – sie ist faktisch ein Gütesiegel EU-anerkannter Kompetenz. Zu den Prüfkriterien zählen Unternehmenssitz, Eigentümertransparenz und – entscheidend – das Fehlen außereuropäischer Rechtsexposition.
### Solidarität wird verpflichtend, nicht freiwillig
Die „Solidarität" im Titel ist keine bloße Absichtserklärung. Die Verordnung schafft rechtliche Pflichten zur gegenseitigen Unterstützung bei erheblichen Vorfällen. Mitgliedstaaten können Hilfe nicht einfach verweigern – auch wenn die Mechanismen zur Kostenteilung und operativen Führung noch in Durchführungsrechtsakten ausgearbeitet werden.
## Finanzierung
Der Cyber Solidarity Act wird im Rahmen des Programms „Digitales Europa" finanziert:
- **rund 1,1 Milliarden Euro** für den Umsetzungszeitraum 2024–2027
- etwa **400 Millionen Euro für das Schutzschild**, einschließlich Kofinanzierung nationaler SOCs
- **über 300 Millionen Euro für den Cyber-Notfallmechanismus**
- Restbudget für Vorfallüberprüfung, Schulungen und unterstützende Maßnahmen
Bis 2027 werden diese Beträge überprüft, mit der breit geteilten Erwartung einer deutlichen Aufstockung, sollte sich dies aus den ersten operativen Erfahrungen rechtfertigen.
## Umsetzungsfahrplan
- **Q4 2024**: Verordnung verabschiedet, Inkrafttreten
- **Q1–Q2 2025**: ENISA-Durchführungsrechtsakte (SOC-Anforderungen, Reserve-Kriterien, Protokolle für den Informationsaustausch)
- **2025**: erste nationale SOCs benannt und kofinanziert
- **2025–2026**: erste grenzüberschreitende SOC-Konsortien angekündigt
- **2026**: erste Rahmenverträge für die Cybersicherheitsreserve unterzeichnet
- **2026–2027**: erste vollständige operative Übungen
Mit Stand 2026 ist das Schutzschild teilweise einsatzfähig. Mehrere grenzüberschreitende SOC-Konsortien sind im Betrieb – darunter eines mit Frankreich, Deutschland und Belgien sowie der nordisch-baltische Verbund.
## Was das in der Praxis bedeutet
### Für europäische Unternehmen
Die meisten Unternehmen haben keinen direkten Berührungspunkt mit dem Cyber Solidarity Act. Die Vorteile fließen über die verbesserte Bedrohungsaufklärung des Schutzschilds, die die nationalen CSIRTs verteilen werden. Indirekt schafft die Reserve einen hochwertigen Pool privater Anbieter, den die Behörden der Mitgliedstaaten bei schweren Vorfällen schnell mobilisieren können.
Für Cybersicherheitsanbieter ist die Reserve eine strategische Chance. Auf der Reserveliste zu stehen, ist von erheblichem Wert. Dies wird zu einer Säule des Wettbewerbsvorteils europäischer Cybersicherheitsunternehmen werden.
### Für regulierte Branchen
Sektoren, die unter NIS2 fallen (wesentliche und wichtige Einrichtungen), profitieren von einer verbesserten Bedrohungsaufklärung, die über die nationalen CSIRTs verteilt wird. Das Schutzschild ist darauf ausgelegt, sektorale Cybervorfälle früher zu erkennen und die grenzüberschreitende Koordination zu beschleunigen.
### Für Cybersicherheitsunternehmen mit US-Hauptsitz
Die Reserve enthält explizite Anforderungen an die EU-Rechtszuständigkeit. Unternehmen mit US-Hauptsitz können in der Regel nicht direkt teilnehmen, können aber als Unterauftragnehmer EU-geprüfter Hauptauftragnehmer agieren. Das entspricht dem Muster, das [SecNumCloud](/de/glossary/secnumcloud/) und die umstrittenen Souveränitätskriterien der [EUCS](/de/glossary/eucs/) gesetzt haben.
### Für öffentliche Auftraggeber
Bei der Beschaffung von Cybersicherheitsleistungen durch die öffentliche Hand wird die Mitgliedschaft in der Reserve zunehmend bevorzugt oder als Eignungskriterium verlangt. Mehrere Mitgliedstaaten arbeiten bereits an nationalen Beschaffungsrichtlinien, die die Reserve-Mitgliedschaft zur verbindlichen oder nahezu verbindlichen Voraussetzung machen.
## Cyber Solidarity Act vs. NIS2 vs. CRA
| Aspekt | Cyber Solidarity Act | NIS2 | Cyber Resilience Act |
|--------|----------------------|------|----------------------|
| Gegenstand | Reaktion auf EU-Ebene | Pflichten auf Ebene der Einrichtung | Anforderungen auf Produktebene |
| EU-finanzierte Maßnahmen? | Ja (1,1 Mrd. €) | Nein | Nein |
| Grenzüberschreitender Mechanismus? | Kernmerkmal | Nur Koordination | Binnenmarktmechanismus |
| Liste privater Anbieter? | Ja (Reserve) | Nein | Nein |
| ENISA operativ gestärkt? | Erheblich | Moderat | Moderat |
| Wirksam ab | ab 2024 | 2024 (nationale Umsetzung) | 2027 volle Anwendbarkeit |
Zusammen bilden die drei Verordnungen die Architektur der EU-Cybersicherheit nach 2024: Produkte (CRA), Einrichtungen (NIS2), kollektive Reaktion (Cyber Solidarity Act).
## Praktische Konsequenzen
- **Für die meisten europäischen Unternehmen**: eine Hintergrundregulierung, die die Bedrohungsaufklärung Ihres nationalen CSIRT verbessert
- **Für europäische Cybersicherheitsanbieter**: die Reserve-Mitgliedschaft ist eine strategische Chance, die offensiv verfolgt werden sollte
- **Für Cybersicherheitsunternehmen mit US-Hauptsitz**: strukturelle Hürde für den direkten Zugang zum öffentlichen Sektor in der EU, abmilderbar nur durch EU-Joint-Venture-Modelle
- **Für öffentliche Auftraggeber**: die Reserve-Mitgliedschaft wird zu einem belastbaren Beschaffungssignal
War das hilfreich?
Danke für Ihr Feedback!