Der Cybersecurity Act ist ein Kernstück der europäischen Digitalstrategie. Mit ihm wurde nicht nur die EU-Agentur für Cybersicherheit ENISA dauerhaft gestärkt, sondern auch ein europaweit einheitlicher Rahmen für Cybersicherheitszertifizierung geschaffen.
Für deutsche Unternehmen ist das längst mehr als ein theoretischer EU-Plan: Beschaffungsentscheidungen, Marktchancen und regulatorische Anforderungen sind direkt betroffen.

In diesem Beitrag erfahren Sie, was der Cybersecurity Act ist, für wen er wichtig ist, welche Zertifizierungen bestehen und wie er mit bisherigen Prüfungen zusammenspielt.

Was ist der Cybersecurity Act?

Der Cybersecurity Act (Verordnung (EU) 2019/881) verfolgt zwei zentrale Ziele:

Stärkung von ENISA: Die EU-Agentur für Cybersicherheit erhielt ein dauerhaftes Mandat, um Mitgliedstaaten, Institutionen und Unternehmen zu unterstützen – z. B. bei Incident Response, Risikomanagement und Cybersecurity-Strategien.
Europäisches Zertifizierungsrahmenwerk: Produkte, Dienste und Prozesse im Bereich IKT können nach EU-weit harmonisierten Standards zertifiziert werden.

Die Zertifikate basieren auf drei Vertrauensstufen (basic, substantial, high) und gelten in allen Mitgliedstaaten. Damit wird der Flickenteppich nationaler Zertifizierungen aufgelöst.

Für welche Unternehmen ist der Cybersecurity Act relevant?

Die Teilnahme an EU-Zertifizierungen ist zwar freiwillig, in der Praxis gewinnen sie jedoch massiv an Bedeutung, da öffentliche Auftraggeber und internationale Geschäftspartner diese Nachweise zunehmend verlangen. Besonders betroffen sind:

Hersteller von Hard- und Software (z. B. Chips, Smartcards, Security-Software)
Cloud-Anbieter – hier wird das künftige EUCS-Schema entscheidend
Managed Security Services (MSS) – seit 2025 im CSA-Rahmen verankert
KRITIS-Betreiber und regulierte Sektoren (Energie, Transport, Finanz- und Gesundheitswesen)
Zulieferer in globalen Lieferketten, die ihre Vertrauenswürdigkeit nachweisen müssen

Für deutsche Unternehmen heißt das: Zertifizierung wird mehr und mehr zu einem Wettbewerbsfaktor.

Welche Zertifizierungen stehen mit dem Cybersecurity Act in Verbindung?

Der CSA ist ein Rahmenwerk. Die eigentlichen Zertifizierungsschemata werden durch die EU-Kommission verabschiedet. Aktuell gilt bzw. entsteht:

EUCC – European Common Criteria

Erstes offizielles EU-Zertifizierungsschema (seit 27. Februar 2025 anwendbar), ersetzt nationale CC-Zertifikate, gilt für ICT-Produkte (Assurance: substantial & high). Rechtsgrundlage:
Durchführungsverordnung (EU) 2024/482.

EUCS – European Cybersecurity Certification Scheme for Cloud Services

Zertifizierungsschema für Cloud-Dienste (IaaS, PaaS, SaaS), mit Levels basic, substantial, high. Noch nicht final verabschiedet, aber als
Candidate Scheme bei ENISA veröffentlicht.

EUSCS – European Scheme for Managed Security Services

Erweiterung des CSA seit 2025; künftig Zertifizierungen für Sicherheitsdienstleister (z. B. Penetration Testing, Threat Intelligence, Incident Response).

Zusammenspiel mit bisherigen Zertifizierungen

Viele Unternehmen verfügen bereits über BSI C5, ISAE 3402, ISAE 3000 oder IDW PS 860/880. Diese Nachweise bleiben relevant, weil sie von Kunden, Aufsichtsbehörden und internationalen Partnern nachgefragt werden. Der Cybersecurity Act schafft eine europäische Ergänzung:

Schwerpunktsetzung: Während C5/ISAE/IDW vor allem Kontrollen, Prozesse und Governance adressieren, bescheinigen CSA-Zertifikate primär die technische Sicherheit von Produkten und Diensten.
Koexistenz statt Ablösung: Bestehende Testate bleiben wertvoll. CSA-Zertifikate erweitern das Nachweis-Portfolio und erleichtern die Anerkennung am EU-Binnenmarkt.
Brücke zum CRA: CSA-Zertifizierungen (z. B. EUCC) können eine Vermutungswirkung in Richtung Cyber-Resilience-Konformität entfalten.

Verbindung zum Cyber Resilience Act

Der Cybersecurity Act steht in engem Zusammenhang mit dem Cyber Resilience Act (CRA) (EU-Informationsseite).
Der CRA verpflichtet Hersteller und Anbieter von Produkten mit digitalen Elementen ab 2027 zu strengen Sicherheits- und Meldepflichten; bereits ab September 2026 starten Reporting-Pflichten für Schwachstellen und Vorfälle.

Vorteil: CSA-Zertifizierungen wie EUCC können als Konformitätsnachweis herangezogen werden.

Was bedeutet das für deutsche Unternehmen?

Zertifizierungsstrategie entwickeln: Identifizieren, welche Produkte/Services EUCC- oder künftig EUCS-relevant sind.
Fristen im Blick behalten: CRA-Meilensteine ab 2026 rechtzeitig operativ verankern (Reporting, SBOM, Patch-Prozesse).
Bestehende Zertifikate nutzen: C5/ISAE/IDW mit CSA-Zertifikaten kombinieren, um unterschiedliche Stakeholder-Anforderungen abzudecken.
Wettbewerbs- und Beschaffungsvorteile sichern: EU-Zertifikate werden in Ausschreibungen und großen Deals zunehmend erwartet.

Passende Grundlagen und praktische Umsetzung unterstützen wir u. a. über ISO 27001-Leistungen.

Fazit

Der Cybersecurity Act ist das Fundament für ein europaweites Zertifizierungssystem. Mit EUCC ist das erste Schema Realität,
EUCS (Cloud) und EUSCS (Security Services) folgen. Für deutsche Unternehmen heißt das:
Bestehende Zertifizierungen wie BSI C5, ISAE 3402/3000, IDW PS bleiben wichtig, werden aber durch CSA-Zertifikate sinnvoll ergänzt.
Wer die Synergien nutzt, stärkt seine Marktposition, beschleunigt Nachweise gegenüber Kunden und Behörden und ist bestens auf den
Cyber Resilience Act vorbereitet.