EU-Kommission will Hochrisiko-Technologie aus kritischer Infrastruktur verbannen

Die EU-Kommission schlägt verbindliche Regeln zum Ausschluss von Hochrisiko-Technik aus kritischen Infrastrukturen vor. Damit will Brüssel die Cybersicherheit der Union stärken und Abhängigkeiten von als riskant eingestuften ausländischen Anbietern reduzieren. Die am 20. Januar 2026 vorgelegte Gesetzesinitiative markiert einen strategischen Kurswechsel – weg von freiwilligen Empfehlungen, hin zu verpflichtenden Vorgaben für alle Mitgliedstaaten.

Das umfassende Cybersicherheitspaket sieht eine grundlegende Überarbeitung des Cybersecurity Act von 2019 vor. Es würde die Kommission ermächtigen, die Entfernung von Geräten bestimmter Hochrisiko-Anbieter in sensiblen Schlüsselsektoren durchzusetzen. Die Maßnahme zielt auf wachsende Sorgen vor Spionage, ausländischer Einmischung und der eskalierenden Cyber-Bedrohungslage ab. Explizit nennt der Vorschlag keine Länder, doch wird er weithin als gegen chinesische Telekom-Riesen wie Huawei und ZTE gerichtet verstanden.

Kern des neuen Vorschlags ist der Übergang zu verbindlichen Regeln. Bisher operierte die EU unter dem „5G-Cybersicherheits-Toolkit“, einem Empfehlungskatalog, der Mitgliedstaaten zu Restriktionen gegen Hochrisiko-Anbieter in 5G-Netzen auffordert. Die Umsetzung dieser Leitlinien war jedoch uneinheitlich: Nur etwa 10 der 27 Mitgliedstaaten ergriffen entschiedene Maßnahmen.

Passend zum Thema Cybersicherheit: Die EU will Technik bestimmter Hochrisiko-Anbieter aus kritischen Netzen verbannen – viele Unternehmen sind darauf praktisch nicht vorbereitet. Ein kostenloses E‑Book erklärt aktuelle Bedrohungen, die neuen rechtlichen Vorgaben (inkl. KI‑Regulierung und Lieferketten‑Risiken) und liefert konkrete Sofortmaßnahmen für IT‑Verantwortliche und Entscheider, etwa zur Risikoanalyse, Phishing‑Abwehr und Zertifizierungen. Inklusive praktischer Checklisten zur Priorisierung kritischer Systeme. Kostenlosen Cyber-Security-Guide herunterladen

Aus Sicht der Kommission hat dieser freiwillige Ansatz versagt. Der überarbeitete Cybersecurity Act macht das „Derisking“ von Telekommunikationsnetzen nun zur rechtlichen Pflicht. Die Verordnung etabliert einen formalen Mechanismus, mit dem EU und Mitgliedstaaten Sicherheitsrisiken in den vitalsten Sektoren der Union gemeinsam identifizieren und mindern können.

Schutz erstreckt sich auf 18 kritische Sektoren

Die geplanten Regeln gehen weit über den Fokus auf 5G hinaus. Sie sollen 18 verschiedene kritische Sektoren schützen – ein Zeichen für die tiefe Integration moderner Technologie in essentielle Dienstleistungen. Der erweiterte Geltungsbereich umfasst Schlüsseltechnologien wie Glasfasernetze, Cloud-Computing-Dienste, Solaranlagen und Sicherheitsscanner.

Dieser breitere Ansatz erkennt an, dass Verwundbarkeiten in zahlreichen vernetzten Systemen lauern können. So adressiert der Vorschlag etwa Cybersicherheitsbedenken bei Solar-Wechselrichtern, von denen viele von chinesischen Firmen geliefert und mit digitalen Netzen verbunden sind. Auch Medizingeräte, Wasser- und Stromversorgungssysteme sowie Halbleiter stehen auf der Liste. Ziel ist es, die gesamte IKT-Lieferkette für essentielle Dienste abzusichern.

Wer gilt künftig als „Hochrisiko“-Anbieter?

Die Gesetzesvorlage skizziert einen zweistufigen Prozess zum Management von Lieferkettenrisiken. Zunächst kann die EU ein Nicht-EU-Land aufgrund spezifischer Kriterien als Bedrohung für die Cybersicherheit einstufen. Kriterien sind etwa nationale Gesetze, die Anbieter zur Kompromittierung von Sicherheit zwingen könnten, mangelnde demokratische Kontrolle oder Belege für staatlich gesteuerte Cyberangriffe.

Anschließend kann die Kommission spezifische Unternehmen aus diesem Land als „Hochrisiko-Anbieter“ benennen. Diese würden mit erheblichen Restriktionen konfrontiert: Ausschluss von EU-finanzierten Programmen und öffentlichen Aufträgen sowie keine EU-Cybersicherheitszertifizierungen mehr. Für Telekom-Betreiber schreibt der Vorschlag einen schrittweisen Ausstieg aus bestehender Technik dieser Anbieter vor – mit einer möglichen Frist von drei Jahren für die vollständige Entfernung.

Geopolitische Annäherung an die USA und wirtschaftliche Folgen

Mit diesem entschiedenen Vorstoß nähert sich die Europäische Union der Position der USA an, die seit langem ein Verbot von Huawei- und ZTE-Technik fordern. Der Vorschlag spiegelt einen wachsenden geopolitischen Konsens wider, Technologie-Lieferketten vor potenzieller ausländischer Einmischung zu schützen.

Die wirtschaftlichen Implikationen für europäische Industrien sind erheblich. Telekom-Betreiber und andere Unternehmen, die derzeit auf Technik potenzieller Hochrisiko-Anbieter setzen, stehen vor hohen Kosten und logistischen Herausforderungen beim Austausch ihrer Infrastruktur. Die Kommission hat angekündigt, wirtschaftliche Auswirkungen und Marktversorgung in der Umsetzungsphase zu berücksichtigen.

Kritik kommt von den betroffenen Parteien. Ein Huawei-Sprecher erklärte, ein Vorschlag, der auf dem Herkunftsland und nicht auf technischen Beweisen basiere, verletze grundlegende EU-Rechtsprinzipien der Fairness und Nichtdiskriminierung sowie WTO-Verpflichtungen.

Was sind die nächsten Schritte?

Der Vorschlag durchläuft nun das EU-Gesetzgebungsverfahren und muss vom Europäischen Parlament und dem Rat der EU verhandelt und gebilligt werden. Bei Annahme würde der überarbeitete Cybersecurity Act sofort in Kraft treten. Die Mitgliedstaaten hätten dann ein Jahr Zeit, die neue Richtlinie in nationales Recht umzusetzen.

Der Rahmen sieht auch eine Stärkung des Mandats der EU-Agentur für Cybersicherheit (ENISA) vor. Sie soll besser koordinierte Reaktionen auf großangelegte Vorfälle koordinieren und die Umsetzung von Cybersicherheitspolitiken in der Union unterstützen. Die Verabschiedung dieses Gesetzes wäre einer der bedeutendsten Schritte, den die EU bisher zum Schutz ihrer kritischen Infrastruktur und zur Behauptung ihrer digitalen Souveränität unternommen hat.

PS: IT‑Sicherheit lässt sich oft ohne teure Neueinstellungen deutlich verbessern. Dieses kostenlose E‑Book zeigt pragmatische, sofort anwendbare Schritte, mit denen Sie Lieferketten‑Risiken mindern, Mitarbeiter gegen Phishing schulen und Schutzmaßnahmen priorisieren – ideal für Telekom‑, Versorgungs‑ und Infrastrukturunternehmen sowie KMU. Laden Sie Checklisten und Umsetzungspläne gratis herunter und bringen Sie Ihre Infrastruktur schneller in eine sichere Basis. Jetzt kostenlosen Leitfaden anfordern