Am 20. Januar hat die EU-Kommission ihren Vorschlag zur Überarbeitung des Cybersecurity Act (CSA2) vorgestellt. Der CSA2 baut auf dem Cybersecurity Act (EU) 2019/881 auf und soll den EU-Rahmen für Cybersicherheitszertifizierung sowie die Rolle der Europäischen Cybersicherheitsagentur ENISA weiterentwickeln.

Für die Telekommunikationsbranche ist vor allem relevant, dass CSA2 einen stärkeren Fokus auf einen risikobasierten Umgang mit Lieferketten und sicherheitskritischen Komponenten legt. Der Vorschlag sieht zudem einen EU-weiten Mechanismus zur Einstufung von „high-risk suppliers“ vor. In diesem Kontext werden konkrete Anbieter im Rechtsakt selbst nicht benannt, sondern würden erst nachgelagert durch Durchführungsrechtsakte der Kommission festgelegt werden. Entsprechende Listen liegen noch nicht vor.

Im politischen Diskurs werden für besonders sensible Bereiche Übergangszeiträume diskutiert. Belastbare Fristen werden sich jedoch erst aus dem finalen Gesetzestext sowie den nachgelagerten Durchführungs- und Umsetzungsakten ergeben. Der Vorschlag knüpft die Zeitachsen für mögliche Phase-out-Verpflichtungen im Mobilfunk an die Veröffentlichung entsprechender Entscheidungen/Listen und sieht anschließend einen begrenzten Umsetzungszeitraum vor. Für Festnetze und Satellitennetze sind Zeiträume im Ansatz angelegt, sollen aber erst in separaten Rechtsakten konkretisiert werden. Aussagen zu festen Enddaten sind daher derzeit nur als Szenario zu verstehen.

Nach derzeitigem Stand sind keine direkten finanziellen Sanktionen gegenüber einzelnen Betreibern vorgesehen und die Durchsetzung soll primär über Verpflichtungen der Mitgliedstaaten erfolgen. Ein eigener EU-Finanzierungsmechanismus zur Abfederung möglicher Umstellungs- und Migrationskosten ist im Vorschlag nicht angelegt.

Im Zusammenspiel mit der NIS2-Richtlinie wird zudem deutlicher, welche Teile der Festnetzinfrastruktur stärker in den Blick rücken können, insbesondere Backbone- und Transportnetze sowie bestimmte grenzüberschreitende Infrastrukturen. Damit können auch Wholesale-, Carrier- oder reine Infrastrukturbetreiber erfasst sein, sofern ihre Netze oder Dienste für die Versorgung beziehungsweise den Datenverkehr wesentlich sind. Gleichzeitig ist für die Praxis wichtig, dass die Einstufung als „wesentliche Einrichtung“ stärker über Schwellenwerte abgegrenzt wird. Wesentlich sind grundsätzlich nur noch Unternehmen mit mehr als 750 Beschäftigten, oder mit mehr als 150 Millionen Euro Jahresumsatz, oder mit mehr als 129 Millionen Euro Bilanzsumme. Somit fallen viele mittelgroße Unternehmen nicht mehr automatisch in die strengste Kategorie.

Ein weiterer Kernpunkt ist die stärkere Rolle von EU-Cybersicherheitszertifizierungen als möglicher Compliance-Nachweis. Perspektivisch kann dies helfen, Mehrfachprüfungen in verschiedenen Mitgliedstaaten zu reduzieren und mehr Rechtssicherheit zu schaffen.