Glossar · EU-Cybersicherheitsrahmen EU Cybersecurity Act (EU-Rechtsakt zur Cybersicherheit (Verordnung (EU) 2019/881))
Die EU-Verordnung von 2019, die den grundlegenden Rahmen für die EU-Cybersicherheitszertifizierung schafft — auf deren Basis EUCC (Produkte), EUCS (Cloud-Dienste) und weitere sektorale Zertifizierungsschemata verabschiedet werden. Sie hat zudem die ENISA zu einer dauerhaften EU-Cybersicherheitsagentur ausgebaut. Die verfassungsmäßige Ebene unter der gesamten Architektur der EU-Cybersicherheitszertifizierung.
## Was der EU Cybersecurity Act eigentlich ist
Der EU Cybersecurity Act (Verordnung (EU) 2019/881, oft abgekürzt als CSA) ist die grundlegende EU-Verordnung, die den Rahmen für die EU-Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen schafft. Verabschiedet 2019 und seit Juni 2019 in Kraft, erfüllt er zwei wesentliche Aufgaben:
1. **Etabliert den EU-Cybersicherheitszertifizierungsrahmen** — die Rechtsgrundlage, auf der spezifische Zertifizierungsschemata ([EUCC](/de/glossary/eucc/) für Produkte, [EUCS](/de/glossary/eucs/) für Cloud-Dienste, weitere folgen) per Durchführungsverordnung verabschiedet werden.
2. **Verankert ENISA dauerhaft** als EU-Cybersicherheitsagentur — Aufwertung von zeitlich befristeten Mandaten zu einem dauerhaften EU-institutionellen Status mit erweiterten Zuständigkeiten, einschließlich des Betriebs des Zertifizierungsrahmens.
Ohne den EU Cybersecurity Act hätten weder EUCC noch EUCS noch andere sektorale EU-Cybersicherheitszertifizierungsarbeiten eine Rechtsgrundlage. Er ist die verfassungsmäßige Ebene der gesamten Architektur.
## Was der Cybersecurity Act schafft
Die Verordnung schafft den operativen Rahmen entlang dreier Säulen.
### Säule 1: EU-Cybersicherheitszertifizierungsrahmen
Der CSA definiert:
- **Zertifizierungsschemata** — spezifische Zertifizierungsprogramme, die per Durchführungsverordnung der Kommission unter dem CSA-Rahmen verabschiedet werden
- **Vertrauensniveaus** — niedrig, mittel, hoch (wobei hoch eine NCA-Aufsicht erfordert)
- **Konformitätsbewertungsstellen (CABs)** — akkreditierte Labore, die Bewertungen durchführen
- **Nationale Cybersicherheitszertifizierungsbehörden (NCCAs)** — Behörden der Mitgliedstaaten, die die Zertifizierung beaufsichtigen
- **Europäische Gruppe für die Cybersicherheitszertifizierung (ECCG)** — Koordinierungsgremium der Behörden der Mitgliedstaaten
- **Gegenseitige Anerkennung** — EU-weite Gültigkeit der unter CSA-basierten Schemata ausgestellten Zertifizierungen
### Säule 2: Erweitertes Mandat der ENISA
Vor dem CSA arbeitete die ENISA unter zeitlich befristeten Mandaten. Der CSA machte die Rolle der ENISA dauerhaft und erweiterte ihre Zuständigkeiten:
- **Operative Koordinierung** — zentrale Rolle bei der Umsetzung der EU-Cybersicherheitspolitik
- **Entwicklung von Zertifizierungsschemata** — Vorbereitung von Kandidaten-Zertifizierungsschemata zur Annahme durch die Kommission
- **Kapazitätsaufbau** — Unterstützung der Mitgliedstaaten bei der Entwicklung von Cybersicherheitsfähigkeiten
- **Krisenmanagement im Cyberbereich** — Koordinierung der Reaktion auf EU-Ebene bei großangelegten Vorfällen
- **Standards und Politik** — direkte Beteiligung an der EU-Cybersicherheitspolitikgestaltung
- **Sensibilisierung** — Bildungs- und Öffentlichkeitsarbeit auf EU-Ebene
### Säule 3: Annahmeprozess für Cybersicherheitszertifizierungen
Der CSA schafft einen strukturierten Prozess für die Annahme neuer Zertifizierungsschemata:
1. **Anfrage der Kommission** — Die Kommission ersucht die ENISA um die Vorbereitung eines Kandidatenschemas
2. **ENISA-Vorbereitung** — Multi-Stakeholder-Konsultation, Schemaentwicklung (typischerweise 18–36 Monate)
3. **Annahme durch die Kommission** — Die Kommission verabschiedet per Durchführungsverordnung
4. **Umsetzung durch die Mitgliedstaaten** — NCCAs setzen das Schema national operativ um
5. **Kontinuierliche Weiterentwicklung** — regelmäßige Überprüfung und Aktualisierungen
Dieser Prozess ist derzeit operativ für EUCC (2024 angenommen), EUCS (in Bearbeitung, umstritten) und neu entstehende Schemata für 5G, KI und andere Technologiebereiche.
## Unter dem EU Cybersecurity Act verabschiedete Schemata
Mit Stand 2026 befinden sich folgende Schemata in unterschiedlichen Stadien unter dem CSA-Rahmen:
| Schema | Gegenstand | Status |
|--------|---------|--------|
| **EUCC** | IKT-Produkte (Common Criteria-basiert) | Angenommen Februar 2024 |
| **EUCS** | Cloud-Dienste | In Bearbeitung, politisch umstritten |
| **EU-5G-Cybersicherheitszertifizierung** | 5G-Netze und -Komponenten | Vorbereitungsphase |
| **EU-KI-Cybersicherheitszertifizierung** | KI-Systeme | In Diskussion |
| **EU-IoT-Zertifizierung** | IoT-Produkte | Vorbereitungsphase |
Jedes Schema wird per Durchführungsverordnung der Kommission im Rahmen des CSA verabschiedet. Der CSA selbst legt keine Schemainhalte fest — er definiert den Rahmen, innerhalb dessen Schemata operieren.
## Warum der Cybersecurity Act wichtig ist
### 1. Verfassungsmäßige Ebene für die EU-Cybersicherheitszertifizierung
Ohne den CSA würde die EU-Cybersicherheitszertifizierung entweder nicht auf EU-Ebene existieren oder ohne kohärenten Rahmen operieren. Der CSA bietet die verfassungsmäßige Struktur, die EUCC und EUCS rechtlich erst möglich macht.
### 2. Institutionelle Dauerhaftigkeit der ENISA
Die Aufwertung der ENISA durch den CSA von einer zeitlich befristeten zu einer dauerhaften Agentur ist materiell bedeutsam. Die ENISA kann nun langfristige strategische Investitionen tätigen, dauerhaftes Fachpersonal einstellen und auf Augenhöhe mit etablierten EU-Agenturen agieren.
### 3. Mechanismus der gegenseitigen Anerkennung
Die Bestimmungen des CSA zur gegenseitigen Anerkennung bedeuten, dass eine in einem Mitgliedstaat im Rahmen eines CSA-basierten Schemas ausgestellte Zertifizierung automatisch EU-weite Rechtsgültigkeit hat. Dies ist operativ bedeutsam — vor dem CSA wurden nationale Zertifizierungsschemata nicht automatisch übertragen.
### 4. Koordinationsarchitektur
Die ECCG schafft einen Koordinationsmechanismus für die Cybersicherheitszertifizierungsbehörden der Mitgliedstaaten. Dies entspricht dem Europäischen Datenschutzausschuss für die Cybersicherheitszertifizierung — und funktioniert ähnlich.
### 5. Fundament der Souveränität
Der CSA ermöglicht implizit die Souveränitätsdimensionen der EU-Cybersicherheitszertifizierung — einschließlich der umstrittenen EUCS-Souveränitätskriterien. Ohne den CSA-Rahmen wären diese Debatten nicht auf EU-Ebene angesiedelt.
## Wie der Cybersecurity Act die Tech-Beschaffung beeinflusst
### Für europäische Technologieanbieter
CSA-basierte Zertifizierungen (EUCC, künftiges EUCS, sektorale Schemata) liefern glaubwürdige Beschaffungssignale. Der Erwerb einer Zertifizierung eröffnet Beschaffungschancen im öffentlichen Sektor und in regulierten Branchen, zu denen nicht zertifizierte Anbieter keinen Zugang haben.
### Für europäische öffentliche Beschaffer
CSA-basierte Zertifizierungen werden für sensible Beschaffung zunehmend verpflichtend oder bevorzugt. Mehrere Mitgliedstaaten haben spezifische CSA-Schemata in Beschaffungsrahmen integriert.
### Für US-ansässige Anbieter
US-Anbieter können eine CSA-basierte Zertifizierung anstreben, stehen aber vor spezifischen Herausforderungen:
- **EUCC** ist technisch erreichbar (keine Souveränitätsanforderung für Anbieter)
- **EUCS High** Souveränitätsanforderungen können die direkte Teilnahme von US-Anbietern ausschließen
- **Sektorale Schemata** variieren in ihrer Souveränitätspositionierung
Für US-Anbieter, die Zugang zum EU-regulierten Markt anstreben, ist eine CSA-basierte Zertifizierung zunehmend strategische Voraussetzung.
### Für Beschaffungsteams
Der Status einer CSA-basierten Zertifizierung ist zunehmend ein Standard-Beschaffungskriterium neben ISO 27001, SOC 2 und länderspezifischen Zertifizierungen. Der CSA-Rahmen liefert strukturierte Sprache für die europäische Cybersicherheitsbeschaffung.
## Cybersecurity Act vs. andere EU-Cybersicherheitsregulierung
| Verordnung | Gegenstand | Beziehung |
|------------|---------|--------------|
| **EU Cybersecurity Act** | Zertifizierungsrahmen + ENISA | Grundlegend |
| **NIS2** | Pflichten zur Cybersicherheit auf Unternehmensebene | Baut auf CSA-Fähigkeiten auf |
| **Cyber Resilience Act** | Anforderungen an die Cybersicherheit auf Produktebene | Verweist auf CSA-Zertifizierungen |
| **Cyber Solidarity Act** | Kollektive EU-Cybersicherheitsantwort | Koordiniert mit ENISA (CSA-ermächtigt) |
| **CER-Richtlinie** | Resilienz kritischer Einrichtungen (nicht-cyber) | Paralleler Rahmen |
| **DORA** | Operative Resilienz im Finanzdienstleistungssektor | Sektorspezifisch |
Der CSA ist die grundlegende Ebene; die anderen bauen darauf auf oder operieren parallel.
## Cybersecurity Act 2.0 (Diskussion 2026)
Die Europäische Kommission hat begonnen, eine Aktualisierung des EU Cybersecurity Act (informell CSA 2.0) in Betracht zu ziehen, um:
- **Zertifizierungs-Annahmeprozesse zu straffen**
- **Das Mandat der ENISA** angesichts operativer Erfahrung **weiter zu erweitern**
- **Aufkommende Zertifizierungsbedürfnisse zu adressieren** (KI, Post-Quanten, IoT-Skalierung)
- **Mechanismen der gegenseitigen Anerkennung zu stärken**
- **An die Umsetzungserfahrung der NIS2 anzupassen**
CSA 2.0 befindet sich Stand 2026 in einem frühen Diskussionsstadium; der Gesetzgebungsprozess wird voraussichtlich nicht vor 2027–2028 abgeschlossen sein.
## Praktische Implikationen
- **Für europäische Technologieanbieter**: CSA-basierte Zertifizierungen werden zunehmend beschaffungsrelevant; verfolgen Sie die Verfügbarkeit von Schemata für Ihre Produktkategorie
- **Für die öffentliche Beschaffung**: CSA-Rahmen-Zertifizierungen liefern strukturierte Bewertungskriterien
- **Für US-Anbieter, die EU-Märkte bedienen**: CSA-basierte Zertifizierung ist zunehmend Voraussetzung für die Beschaffung in regulierten Branchen und im öffentlichen Sektor
- **Für Policy- und Compliance-Teams**: Verstehen Sie den CSA als verfassungsmäßige Ebene unter den sektoralen Schemata
- **Für die ENISA-Zusammenarbeit**: Der CSA verleiht der ENISA institutionelle Autorität, die ihre politische Arbeit materiell bedeutsam macht
Der EU Cybersecurity Act ist die folgenreichste Einzelverordnung in der EU-Cybersicherheitszertifizierungsarchitektur. Seine konkreten Bestimmungen sind weniger wichtig als der Rahmen, den er schafft — innerhalb dessen das operative Cybersicherheitszertifizierungs-Ökosystem (EUCC, EUCS, sektorale Schemata) tatsächlich operiert.
War das hilfreich?
Danke für Ihr Feedback!