NIS-2 verpflichtet einzelne Unternehmen. Der Cyber Solidarity Act setzt eine Ebene darüber an: eine EU-weite Infrastruktur, die im Ernstfall Mitgliedstaaten und kritische Sektoren miteinander verbindet, statt jedes Unternehmen für sich allein reagieren zu lassen. Als Verordnung (EU) 2025/38 ist der CSA bereits seit dem 4. Februar 2025 in Kraft. Der Aufbau der darin vorgesehenen Strukturen läuft jedoch weiter, und viele Unternehmen wissen noch nicht recht, wo sie selbst darin vorkommen.

Die drei Säulen des CSA

SÄULE 1 Europäisches Cybersicherheits- alarmsystem Nationale und grenzüberschreitende Cyber-Hubs, KI-gestützte Bedrohungserkennung SÄULE 2 Cyber- notfallmechanismus Freiwillige Preparedness- Tests, EU-Cybersicherheits- reserve mit vertrauens- würdigen Anbietern, gegenseitige Amtshilfe SÄULE 3 Überprüfungs- mechanismus ENISA bewertet schwerwiegende Vorfälle nachträglich und leitet Empfehlungen ab

ABB. 1 · DIE DREI SÄULEN DES CYBER SOLIDARITY ACT

Das Kernstück ist das Europäische Cybersicherheitsalarmsystem: ein Netzwerk aus nationalen Cyber-Hubs, die sich zu grenzüberschreitenden Hubs zusammenschließen und mit KI-gestützter Analyse Bedrohungen erkennen, bevor sie sich über Ländergrenzen ausbreiten. Deutschland benennt dafür eine zentrale nationale Stelle, die als Andockpunkt für Behörden und, wo sinnvoll, auch für den Privatsektor dient.

Wer ist betroffen?

Anders als NIS-2, DORA oder der CRA begründet der CSA keine unmittelbaren Pflichten für einzelne Unternehmen. Es gibt keine Meldefrist, keine Bußgeldandrohung, keine Registrierungspflicht. Relevant wird der CSA für Unternehmen trotzdem auf drei Wegen:

  • Betreiber in hochkritischen Sektoren wie Energie, Verkehr, Banken, Gesundheitswesen und digitaler Infrastruktur, im Kern dieselben Einrichtungen, die NIS-2 als „wesentlich" einstuft, können an freiwilligen, EU-koordinierten Preparedness-Tests teilnehmen.
  • Anbieter von Incident-Response-Dienstleistungen können sich als „vertrauenswürdige Anbieter" für die EU-Cybersicherheitsreserve bewerben und im Ernstfall EU-weit im Auftrag betroffener Mitgliedstaaten eingesetzt werden.
  • Bei einem groß angelegten Sicherheitsvorfall können nationale Cyber-Hubs betroffene Unternehmen in die koordinierte Reaktion einbinden, auch wenn diese selbst keine direkte Meldepflicht gegenüber dem CSA haben.

Einordnung

Der CSA ersetzt keine NIS-2-Pflichten und tritt nicht an deren Stelle. Er ergänzt sie um eine Reaktionsebene, die einzelne Unternehmen allein nicht aufbauen könnten: koordinierte Erkennung, EU-weite Amtshilfe und eine nachträgliche Auswertung großer Vorfälle durch ENISA.

Stresstest · 10 Minuten

Wie gut ist Ihr Unternehmen auf einen koordinierten Vorfall vorbereitet?

Kostenloser CSA-Stresstest, eingebettet in den bestehenden Compliance-Stresstest für NIS-2, DORA, CRA und EU AI Act.

Stresstest starten →

Zeitplan und offene Punkte

Der CSA wurde am 15. Januar 2025 im Amtsblatt der EU veröffentlicht und ist am 4. Februar 2025 vollständig in Kraft getreten, unmittelbar anwendbar in allen Mitgliedstaaten. Was zu diesem Zeitpunkt formal gilt, ist aber nicht identisch mit dem, was operativ bereits steht: Der Aufbau des Cyber-Hub-Netzwerks läuft weiter, die Teilnahme der Mitgliedstaaten ist freiwillig, und das Europäische Kompetenzzentrum für Cybersicherheit (ECCC) aktualisiert mindestens alle zwei Jahre die Übersicht der dafür nötigen Werkzeuge und Infrastruktur. Wer den CSA für sein Unternehmen einordnen will, sollte deshalb weniger auf ein einzelnes Stichdatum schauen als auf die schrittweise Erweiterung des Hub-Netzwerks und der EU-Cybersicherheitsreserve in den kommenden Jahren.

Der Anwendungsfall für BAM

Der CSA verlangt keine neuen SBOM- oder Meldeobjekte, wie es CRA und NIS-2 tun. Relevant ist er für die Einstufung: Ob ein Unternehmen zu einem hochkritischen Sektor zählt, ob eine bestehende Dienstleistung als vertrauenswürdiger Anbieter infrage kommt, und ab welcher Schwere ein Vorfall die nationale Cyber-Hub-Ebene erreicht. Genau diese Einstufung lässt sich aus denselben Asset- und Kritikalitätsdaten ableiten, die ohnehin für NIS-2 gepflegt werden, statt sie separat neu zu erheben. BAM CSA-Objekte verknüpfen deshalb die Sektor- und Kritikalitätseinstufung direkt mit den bestehenden NIS-2-Asset-Objekten im selben Modell.

BAM Core, der offene Kern des Modells, wird laufend um neue Regelwerke erweitert und lässt sich auf GitHub verfolgen, unabhängig davon, ob Sie BAM bereits einsetzen.