Insights

Der EU Cybersecurity Act 2 schreitet voran: Mitgliedstaaten äußern Bedenken an der Zuständigkeit der EU

Während der überarbeitete EU Cybersecurity Act („CSA 2“) das ordentliche Gesetzgebungsverfahren durchläuft, wird der darin vorgesehene Rahmen, der die Europäische Kommission („Kommission“) ermächtigen soll, Hochrisikolieferanten vom EU-Markt auszuschließen, von den Mitgliedstaaten zunehmend kritisch hinsichtlich der Grenzen der EU-Zuständigkeit im Cybersicherheitsbereich geprüft. Diese Bedenken werden bestärkt durch die jüngsten Schlussanträge von Generalanwältin Ćapeta in der Rechtssache Elisa Eesti, in denen die ausschließliche Zuständigkeit der Mitgliedstaaten für Maßnahmen zum Schutz der nationalen Sicherheit bekräftigt wird.

CSA 2, der darauf abzielt, den EU-Rahmen für Cybersicherheit zu stärken, befindet sich derzeit im ordentlichen Gesetzgebungsverfahren. Wie in unserem vorangegangenen Alert erläutert, legt der Entwurf einen einheitlich für alle kritischen Sektoren statt sektorspezifisch geltenden Rahmen für die Sicherheit von Lieferketten im Bereich der Informations- und Kommunikationstechnologie, kurz IKT, vor.

Nach diesem Entwurf wäre die Kommission ermächtigt, Drittstaaten als bedenklich für die Cybersicherheit einzustufen und von diesen Staaten kontrollierte Lieferanten als Hochrisikolieferanten zu klassifizieren. Dies würde einen automatischen Ausschluss von EU-Fördermitteln, Standardisierungsmaßnahmen und öffentlichen Ausschreibungen zur Folge haben. Ferner könnte es verbindliche Ausstiegsverpflichtungen nach sich ziehen, die Unternehmen in allen kritischen Sektoren dazu verpflichten würden, rechtmäßig erworbene Ausrüstung dieser Lieferanten aus dem Verkehr zu ziehen.

Der Rat der Europäischen Union („Rat“) hat in seinem Bericht vom 22. Mai 2026 Bedenken hinsichtlich des Vorschlags geäußert. Insbesondere forderten die Mitgliedstaaten mehr Klarheit über Methoden und Verfahren zur Bestimmung von Hochrisikolieferanten sowie über den Anwendungsbereich und die voraussichtlichen Auswirkungen der vorgeschlagenen Maßnahmen. Mehrere Mitgliedstaaten ersuchten zudem den Juristischen Dienst des Rates, die Rechtsgrundlage zu überprüfen, und stellten die Zuständigkeit der Europäischen Union infrage. Diese Bedenken wurden auch von einigen Interessengruppen im Rahmen der öffentlichen Konsultation geteilt. Eine Stütze für diese Einwände findet sich in den Schlussanträgen der Generalanwältin in Elisa Eesti (siehe vorangehenden Alert), wonach die Europäischen Union keine Zuständigkeit dafür hat, “zu bestimmen, was für den Schutz der Sicherheit der Mitgliedstaaten erforderlich ist und wie dieser Schutz zu gewährleisten ist”. Dies bleibt vielmehr der Zuständigkeit der einzelnen Mitgliedstaaten vorbehalten. Die Stellungnahme des Juristischen Dienstes des Rates wurde bislang noch nicht verabschiedet.

Ausblickend wird die irische Ratspräsidentschaft (1. Juli – 31. Dezember 2026) den Vorschlag weiter vorantreiben. Ihre Herausforderung wird darin bestehen, einerseits sicherzustellen, dass die rechtlichen Grundsätze, die der Rechtssache Elisa Eesti zugrunde liegen, bereits in den Gesetzgebungsprozess zu CSA 2 einfließen, und andererseits das Risiko zu meiden, dies erst nach dem endgültigen Urteil des Gerichtshofs zu tun. Zu den wichtigsten zu beobachtenden Meilensteinen zählen die für September 2026 erwarteten Beratungen der Arbeitsgruppe des Rates sowie eine mögliche politische Einigung vor Jahresende. 

Insights by Jones Day should not be construed as legal advice on any specific facts or circumstances. The contents are intended for general information purposes only and may not be quoted or referred to in any other publication or proceeding without the prior written consent of the Firm, to be given or withheld at our discretion. To request permission to reprint or reuse any of our Insights, please use our “Contact Us” form, which can be found on our website at www.jonesday.com. This Insight is not intended to create, and neither publication nor receipt of it constitutes, an attorney-client relationship. The views set forth herein are the personal views of the authors and do not necessarily reflect those of the Firm.