Seit dem 27. Juli 2019 gilt in allen EU-Ländern der EU Cybersecurity Act. In erster Linie erweitert der EU Cybersecurity Act die Befugnisse von Behörden, zum Beispiel der ENISA oder dem BSI. Die ENISA soll unter anderem Mitgliedstaaten und EU-Institutionen in Fragen der Cybersicherheit unterstützen, insbesondere durch eine zentrale Ausarbeitung von Zertifizierungssystemen hierfür. Ziel ist, dass Hersteller ihre Produkte und Dienste in die sogenannten Vertrauenswürdigkeitsstufen hoch, mittel und niedrig einordnen. Letztere sind das Ergebnis einer zuvor durchgeführten Risikoabwägung, eine hohe Zertifizierung ergibt also explizit keine absolute Sicherheit.

Die Vertrauenswürdigkeitsstufen und weitere Anforderungen und Bewertungs­kriterien für die Cybersicherheit sollen künftig EU-weit und einheitlich gelten. Außerdem soll die ENISA EU-weite Security-Übungen leiten, laut Verordnung soll es alle zwei Jahre eine umfassende Übung geben. Um die neuen Aufgaben erfüllen zu können, erhält die ENISA neue Mitarbeiter; darüber hinaus entsenden die Mitgliedstaaten Verbindungsbeamte.

Hinter dem bündigen Begriff EU Cybersecurity Act steht übrigens die "Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Infor­mations­- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit)". Tobias Haar erklärt in der neuen iX 11/2019, was sich im Detail hinter dem Cybersecruty Act verbirgt.

