Der CSA2 – Digitale Souveränität oder Protektionismus?
Autoren: Jens Neitzel, Piotr Rataj, Michael Biendl
Am 20. Januar 2026 veröffentlichte die Europäische Kommission einen Vorschlag zur Neufassung des Cybersecurity Acts (COM(2026) 11 final; im Folgenden: CSA2-Entwurf). Neben einer allgemeinen Stärkung des europäischen Rechtsrahmens für Cybersicherheitszertifizierung und neuen operativen Kompetenzen für die EU-Cybersicherheitsagentur ENISA nimmt der Vorschlag mit Regelungen zur Sicherheit in der IKT-Lieferkette ein sensibles Thema ins Visier.
Im Fokus dieser neuen Vorgaben stehen „nicht-technische“ Risiken – also Risiken, die nicht (nur) aus Schwachstellen im Code oder in der Hardware bestehen, sondern aus Abhängigkeiten, Einflussmöglichkeiten und Systemrisiken in IKT-Lieferketten. Explizites Ziel der lieferkettenbezogenen Regelungen ist insbesondere ein De-Risking unerwünschter Abhängigkeiten in der Lieferkette kritischer Technologien. Hierzu werden in Bezug auf Unternehmen aus Drittstaaten, die nach Auffassung der Europäischen Kommission Cybersicherheitsbedenken aufwerfen (third countries posing cybersecurity concerns), verschiedene Einschränkungen vorgesehen – von deren Ausschluss z.B. aus Zertifizierungsmechanismen bis zu Beschaffungs- und Nutzungsverboten von deren Produkten.
Der CSA2-Entwurf resultiert aus einer Debatte, die seit Jahren an Fahrt gewinnt und bis dato insbesondere im 5G-Kontext geführt wird
Anknüpfend an Sorgen vor staatlichen Einflussnahmen haben zunächst verschiedene Mitgliedstaaten Maßnahmen zur Begrenzung von Komponenten ausländischer Hersteller ergriffen.
Auf EU-Ebene hat man zu dieser Debatte mit soft law beigetragen, namentlich mit der unverbindlichen Kommissionsempfehlung 2019/534 („Cybersecurity of 5G networks“), die auch im Rahmen der koordinierten Risikobewertung in Bezug auf die Sicherheit kritischer Lieferketten in der NIS2-Richtlinie aufgegriffen wurde (vgl. deren Erwägungsgrund 91). Während die Europäische Kommission sich den Bedenken bezüglich Huawei und ZTE in einer Mitteilung aus 2023 explizit anschloss (C(2023) 4049 final), wurden zurückhaltende Mitgliedstaaten nachdrücklich zum Tätigwerden aufgefordert. Die geplante Allokation von weitreichenden Interventionsbefugnissen bei der Europäischen Kommission stellt nun einen gewagten Sprung zu derartigen Harmonisierungsbestrebungen auf europäischer Ebene dar.
CSA2-Entwurf: EU verschärft Cybersicherheitsregeln für Hochrisiko-Lieferanten und 5G-Komponenten
So zurückhaltend die Regulierung auf europäischer Ebene zunächst war, so forsch soll sie nun nachgeholt werden. Namentlich in Art. 100 des CSA2-Entwurfs wird der Europäischen Kommission die Befugnis zur Bestimmung von Drittstaaten, die Cybersicherheitsbedenken aufwerfen, eingeräumt. Maßgeblich für diese Einstufung ist ein Katalog nicht-technischer Kriterien (z.B. Gesetze/Praktiken zur Vorab-Meldung von Schwachstellen; fehlende Rechtsbehelfe; staatlich tolerierte/gestützte Threat-Actor-Aktivitäten). Hersteller von IKT-Komponenten mit Bezug zu diesen Ländern – auch aufgrund einer etwaigen Kontrolle durch dort ansässige Unternehmen oder Staatsangehörige – sollen grundsätzlich durch einen Durchführungsrechtsakt der Europäischen Kommission als Hochrisiko-Lieferanten (high-risk suppliers, vgl. Art. 2 Nr. 39 CSA2-Entwurf) bestimmt werden können (Art. 104 CSA-Entwurf).
In Art. 105 CSA2-Entwurf ist zwar eine Ausnahme vorgesehen. Die Schwelle, diese Ausnahme geltend zu machen, dürfte aber nur schwer erreicht werden können: Der Lieferant muss mit eindeutigen Beweisen nachweisen, dass wirksame Abhilfemaßnahmen getroffen werden, um nichttechnische Risiken zu beseitigen und sicherzustellen, dass keine unzulässige Einflussnahme durch das Drittland ausgeübt werden kann.
An eine Bestimmung als Hochrisiko-Lieferant knüpfen sich sodann bestimmte Ausschlüsse kraft Gesetzes (z.B. in Bezug auf die Erlangung eines EU-Cybersicherheitszertifikats; Verbot der Verwendung von Komponenten solcher Lieferanten in zertifizierten „key assets“) oder Befugnisse der Europäischen Kommission an, über Durchführungsrechtsakte Nutzungsverbote auszusprechen.
Für elektronische Kommunikationsnetze wird es noch konkreter und unmittelbarer: Komponenten von Hochrisiko-Lieferanten sollen aus den in Annex II zum CSA2-Entwurf bestimmten Schlüsselfunktionen (z.B. aus dem Kernnetz in 5G-Netzwerken) sogar zurückgebaut werden, für mobile elektronische Kommunikationsnetze z.B. innerhalb von maximal 36 Monaten ab Veröffentlichung der relevanten Liste. Es soll ein ausdrückliches Nutzungs-/Integrationsverbot für Anbieter mobiler, fester und satellitengestützter Netze gelten. In praktischer Hinsicht kommt dies in den betroffenen kritischen Sektoren einem Marktausschluss für definierte Produktkategorien/Komponenten in Schlüsselrollen gleich.
Eine globalpolitische Perspektive auf Cybersicherheit
Die Verschiebung von – im Vorschlag letztlich unterrepräsentierten – technischen hin zu nicht-technischen Kriterien markiert eine Hinwendung zu einem geopolitischen Verständnis von Cybersicherheit. Der Vorschlag steht dabei im Geiste der jüngeren Bestrebungen zur Sicherstellung der „wirtschaftlichen Sicherheit“ der EU.
Bislang haben diese Gesichtspunkte in der europäischen Regulierung eine Nebenrolle gespielt. Vielmehr lag es in der praktizierten Aufgabenteilung zwischen Europäischer Union und den Mitgliedstaaten weit überwiegend bei Letzteren, die EU-typische Marktoffenheit über (nationale) Sicherheitsvorbehalte zu begrenzen. Das zeigt sich etwa an einem gegenwärtig beim EuGH anhängigen Vorabentscheidungsersuchen aus Estland (Az. C-354/24). Dem Ersuchen liegt ein Verfahren zugrunde, in dem ein Netzanbieter gegen eine auf die Wahrung der nationalen Sicherheit gestützte Nutzungseinschränkung von Huawei-Komponenten im 5G-Netz klagt und sich dabei auf die unionsrechtlichen Gewährleistungen aus dem Europäischen Kodex für elektronische Kommunikation (Richtlinie 2018/1972) bzw. der EU-Grundrechte-Charta beruft (dazu sogleich).
Auch im Bereich der Handelspolitik wurden Vorbehalte gegenüber Drittstaatenrisiken bislang eher auf nationaler Grundlage als Antinomien gegenüber der unionalen Marktoffenheit eingebracht. So etwa im Rahmen der Kontrolle ausländischer Direktinvestitionen, wo die grundsätzliche Offenheit gegenüber Direktinvestitionen ihre Grenze in der Wahrung der öffentlichen Sicherheit und Ordnung findet. Als Kriterien nennt die einschlägige FDI-Verordnung (vgl. Art. 4 Abs. 2 VO 2019/452) etwa die Kontrolle des potenziellen Investors durch die Regierung eines Drittstaats. Die Befugnis, diese Maßstäbe auszufüllen, kommt grundsätzlich den Mitgliedstaaten zu; der EuGH betont dabei traditionell eine restriktive Handhabung, um die grundsätzliche Marktoffenheit zu schützen. Die gegenwärtigen Bestrebungen in Richtung einer stärkeren Harmonisierung in diesem Bereich (COM(2024) 23 final) zielen zwar auf verpflichtende Investitionskontrollen, lassen den grundsätzlichen Mechanismus und die nationalen Befugnisse jedoch unberührt.
Der CSA2-Entwurf verschiebt hier die Gewichte entscheidend. Er verknüpft Cybersicherheit explizit mit geopolitischer Sicherheit und schafft dafür ein Instrumentarium, das faktisch in Bereiche hineinwirkt, die in der Praxis dem Bereich der nationalen Sicherheit zuzuschreiben sind (Telekommunikations-Kernnetze, kritische Sektoren, Schlüsselkomponenten) und als solche den Mitgliedstaaten obliegen.
Kompetenzfragen zwischen Cybersicherheit und Geopolitik
Die Zuwendung zu einer Berücksichtigung geopolitischer Risiken in der Cybersicherheitsregulierung wirft komplexe Kompetenzfragen auf. Nach dem Grundsatz der begrenzten Einzelermächtigung bedarf eine Regelungsbefugnis der Union eine ausdrückliche Ermächtigungsgrundlage.
Klassischerweise stützt sich die (technische) Cybersicherheitsregulierung als interne Harmonisierungsmaßnahme auf die Harmonisierungskompetenz nach Art. 114 AEUV. Diese ist nach der Rechtsprechung des EuGH anwendbar, wenn bestehende Unterschiede zwischen den Mitgliedstaaten mehr als nur abstrakt geeignet sind, die Grundfreiheiten zu beeinträchtigen, und sich auf diese Weise unmittelbar auf das Funktionieren des Binnenmarkts auswirken oder zu spürbaren Wettbewerbsverzerrungen führen. Extern wirkende Kompetenzen der Europäischen Union sind dagegen vor allem im Bereich der Handelspolitik angesiedelt (insbesondere in Art. 207 Abs. 2 AEUV). Für die Außen- und Sicherheitspolitik der EU ist im Allgemeinen die Gemeinsame Außen- und Sicherheitspolitik (GASP) der Union einschlägig, die einen hohes Maß an institutioneller Einbindung der Mitgliedstaaten vorsieht – namentlich: Einstimmigkeit im Regelfall, vgl. Art. 31 Abs. 1 AEUV – und ordentliche Gesetzgebungsakte ausschließt (Art. 24 Abs. 1 AEUV). Nach der Rechtsprechung des EuGH ist für eine Kompetenzabgrenzung im Kern regelmäßig der Hauptzweck einer Maßnahme entscheidend. Neben diese Kompetenzverteilung auf (horizontaler) Ebene innerhalb der EU, entfaltet schließlich der Bereich der nationalen Sicherheit eine kompetenzbegrenzende Funktion im (vertikalen) Verhältnis zwischen EU und Mitgliedstaaten (vgl. Art. 4 Abs. 2 S. 3 AEUV).
Der CSA2-Entwurf bewegt sich offensichtlich in einem kompetenzrechtlichen Spagat, den er mit Heranziehung nur von Art. 114 AEUV einseitig aufzulösen versucht. In dem Entwurf wird hierzu Folgendes ausgeführt:
In the area of the cybersecurity of ICT supply chain security, the fragmentation of national frameworks addressing non-technical risk factors brings negative effects to the functioning of the internal market as the divergence in national approaches might ultimately lead to higher vulnerability of some Member States, with potential spill-over effects across the Union, impacting overall resilience and also trustworthiness.
Diese äußerst vage Herleitung des Binnenmarktbezugs verdeutlicht den unsicher wirkenden Versuch der Europäischen Kommission, externe (geopolitische) Risiken zu internalisieren. Dass vorliegend weit überwiegend externe geopolitische Risiken adressiert werden, kommt in der Drittstaaten-bezogenen Bewertung nach Art. 100 CSA2-Entwurf sowie in dem aufgrund des ungleichen Regel-Ausnahmeverhältnisses zwischen Drittstaatenbezug und Herstellerrisiko sich manifestierenden schwachen Konnex zu konkreten Schwachstellen und deren Auswirkung auf den Binnenmarkt zum Ausdruck. Der Fokus auf Drittstaaten ist dabei unter dem CSA2-Entwurf noch stärker ausgeprägt als in explizit außenwirtschaftlichen Instrumenten, wie dem gegenwärtigen Vorschlag für eine Reform der FDI-Verordnung, in dem die Kriterien für die Beurteilung einer Gefahr für die öffentliche Sicherheit und Ordnung an den Investor anknüpfen (vgl. Art. 13 Abs. 2 des Kommissionsvorschlags). Zurückzuführen ist das letztendlich auf den diesen Neuregelungen zugrunde liegenden geopolitischen Ansatz – Aufgabe des Art. 114 AEUV, der einen primären Binnenmarktbezug verlangt, ist das im Ausgangspunkt jedoch nicht.
Bezeichnend ist dabei auch, dass die Europäische Kommission im Rahmen der gegenwärtigen Überarbeitung der primär auf Art. 207 Abs. 2 AEUV und ergänzend auf Art. 114 AEUV gestützten FDI-Verordnung diesen Einbezug einerseits mit der Bekämpfung einer Fragmentierung des Rechtsrahmens zugunsten ausländischer Direktinvestitionen zu rechtfertigen scheint. Andererseits wird hier Art. 114 AEUV in Stellung gebracht, um Umgehungskonstellationen innerhalb des Binnenmarkts besser adressieren zu können, wobei auch Sicherheitserwägungen anklingen. Im Rahmen des CSA2-Entwurfs soll hingegen auf Grundlage einer markbefürwortenden Vorschrift eine Marktschließung gerechtfertigt werden. Hinzu kommt der bereits angedeutete vertikale Kompetenzkonflikt mit dem Bereich der nationalen Sicherheit. Verbal soll der vorgeschlagene Rechtsrahmen nicht die Zuständigkeit der Mitgliedstaaten für ihre nationale Sicherheit berühren (vgl. Art. 1 Abs. 4 CSA2-Entwurf). Es bleibt aber fraglich, wie die Kompetenzabgrenzung hier im Einzelfall sinnvoll erfolgen kann, da gerade auch die Verfügbarkeit – und damit die Nicht-Untersagung – von Komponenten einen Aspekt der nationalen Sicherheit darstellen kann. Damit droht ein undurchsichtiges und unter Umständen redundantes Regelungsgerüst. Zwar dürften nicht alle vom CSA2-Entwurf betroffenen Einsatzbereiche für die nationale Sicherheit relevant sein, zumal der EuGH den Begriff tendenziell eng versteht und die Reichweite der potenziell betroffenen Lieferketten weit ist. Allerdings liegt die entscheidende Beobachtung darin, dass die materielle Grundlage für die Begründung nicht-technischer Risiken durch Drittstaaten strukturell einen sicherheitspolitischen Einschlag hat. Denn im Kern gehen die zur Bestimmung risikoträchtiger Drittländer anzuwendenden Kriterien dahin, Drittstaaten als Angreifer, Teilnehmer oder doch zumindest als Verhinderungsunfähige zu bewerten.
Drohender Verlust objektiver Kriterien
Der Abstraktionsgrad der Kompetenzbegründung steht sinnbildlich für die Verschiebung von technischen hin zu nicht-technischen Bewertungsmaßstäben und führt auch zum entscheidenden inhaltlichen Kernproblem: die Aufweichung technisch-objektiv bewertbarer und damit vorhersehbarer Maßstäbe. Der Entwurf droht, den technisch naheliegenden objektiven Ansatz der „Komponentensicherheit“ durch eine pauschale „Ländersicherheit“ zu ersetzen oder zu präjudizieren. Gleichzeitig soll auf die mit der Politisierung verknüpften institutionellen Garantien (namentlich: dem Einstimmigkeitserfordernis in der GASP) verzichten werden. Mit der Kompetenzproblematik geht damit auch eine inhaltliche Legitimationsproblematik einher, die durch die Bestimmungsbefugnis der Europäischen Kommission qua Durchführungsverordnung tendenziell noch vertieft wird.
Der eher anekdotische Versuch in dem Vorschlag, durch Verweis auf „unabhängige Quellen“ (Art. 100 Abs. 1 lit. b) CSA2-Entwurf) die Informationsgrundlage zu verobjektivieren bzw. durch Beispiele öffentlicher Quellen zumindest transparent zu machen, lässt das Dilemma erkennen. Dabei offenbart sich auch ein faktisches Konstruktionsproblem der Kommissionkompetenz: Nationale Entscheidungen zu Hochrisiko-Anbietern beruhen oft auf geheimem Lagewissen von Sicherheitsbehörden auf nationaler Ebene, das auf EU-Ebene nur bedingt verfügbar ist. Auf Grundlage öffentlicher Informationen können aber Risiken auch von den regelmäßig – etwa aufgrund der NIS2-Richtlinie bzw. nationaler Umsetzungsgesetze – zur Sicherheit verpflichteten privaten Akteuren abgeschätzt werden; hier kann etwa auch eine Reduktion von Abhängigkeiten von bestimmten Anbietern gefordert sein (vgl. etwa Nr. 5.1.2. d) des Anhangs zur NIS2-Durchführungsverordnung 2024/2690). Diesen wurde im Übrigen jüngst mit der EU ICT Supply Chain Security Toolbox der NIS Cooperation Group ein entsprechendes Framework an die Hand gegeben. Der durch die geopolitische Aufladung substanziell präjudizierte Rechtfertigungsdruck für regulatorische Maßnahmen dürfte auch Verhältnismäßigkeits- und Rechtsschutzfragen schwieriger aussteuerbar machen. Insbesondere seitens der explizit betroffenen Netzbetreiber im Telekommunikationsbereich wird eine unrealistische Aufwandsschätzung beklagt. Das Kernproblem bleibt aber, dass Regelungsziele wie ökonomische Souveränität schwer quantifizierbar sind und dementsprechend nur unscharf mit – konkret betroffenen – Individualinteressen (etwa der Telekommunikationsanbieter) ins Verhältnis gesetzt werden können. Jedenfalls dürfte diesen Aspekten in sachnäheren Regelungsbereichen der Außen- bzw. Sicherheitspolitik besser Rechnung getragen werden können.
Ausblick: Paradigmenwechsel im Bereich der Cybersicherheit?
Die Europäische Kommission hat mit ihrem Vorstoß einen Paradigmenwechsel im Bereich der Cybersicherheit präsentiert und auf europäischer Ebene zunächst erstmal zur Diskussion gestellt. Sie bringt damit den Gedanken einer digitalen Souveränität in die Cybersicherheitsregulierung ein. Im Ausgangspunkt steht dabei die Marktabschottung im Spannungsverhältnis zum marktoffenen Verständnis und Regelungsrahmen der Union. Es bleibt zu diskutieren, inwieweit dieser grundlegende Wandel im geltenden Recht nachvollzogen werden kann. Der Entwurf verlagert hochsensible geopolitische Bewertungsentscheidungen von den Mitgliedstaaten und vom außenpolitischen Entscheidungsmodus hin zu einem von der Kommission dominierten Binnenmarktinstrument mit Durchführungsakten.
Formal liegt der Ball nun beim Europäischen Parlament und dem Europäischen Rat. Die Verwebungen von Cybersicherheit, Geopolitik und ggf. auch Handelspolitik dürften dabei in vielerlei Hinsicht eine weitere Aussteuerung als wahrscheinlich erwarten lassen. Jedenfalls zeichnet sich schon jetzt eine rege Diskussion zu dieser Thematik ab.
Bis zur finalen Ausgestaltung sollten Unternehmen mit kritischen Lieferketten ein wachsames Auge auf das laufende EuGH-Verfahren werfen – das Urteil könnte einen indirekten Testfall für den CSA2-Entwurf setzen. So ist etwa eine der Vorlagefragen darauf gerichtet, ob eine zeitlich verkürzte Nutzungsgenehmigung für bereits rechtmäßig eingesetzte Komponenten eine Eigentumsentziehung i.S.v. Art. 17 der Grundrechte-Charta sein kann. Dies ist namentlich in dem von potenziellen Ausbauverpflichtungen betroffenen Bereich der Telekommunikation von Bedeutung. Am 19. März 2026 wurden die Schlussanträge der Generalanwältin Ćapeta in diesem EuGH-Verfahren veröffentlicht: Die Generalanwältin stellt darin klar, dass eine Risikobewertung bezüglich Drittstaaten oder deren Zulieferern nicht auf einem bloßen Generalverdacht beruhen darf. Es muss vielmehr zwingend bewertet werden, welche spezifische Funktionalität, welchen genauen Standort und welche konkrete Bedeutung die betreffende Hardware und Software für die Bereitstellung des Kommunikationsdienstes tatsächlich hat (Schlussanträge C-354/24, Rn. 110). Ein pauschaler Ausschluss ohne Rücksicht auf die tatsächliche Netzwerkarchitektur greift demnach zu kurz. Zudem sieht sie bei einer unverhältnismäßigen Belastung – selbst wenn diese dem Grunde nach notwendig war – einen möglichen Anspruch auf eine angemessene Entschädigung (Schlussanträge C-354/24, Rn. 137).
