DK schlägt Alarm: Cybersecurity Act versinkt im Zertifizierungs-Chaos zwischen NIS2, CRA und DORA

Europa droht im Zertifizierungs-Dschungel unterzugehen: Die Überarbeitung des Cybersecurity Act muss dringend technische Klarheit statt bürokratischer Ballast schaffen, wendet die Deutsche Kreditwirtschaft ein. Für die nächsten 5–10 Jahre fordert die DK eine Zertifizierungspraxis für Post-Quantum-Kryptografie und KI-Dienste neben Cloud, IoT und sicheren Lieferketten. Gleichzeitig sollte das Meldewesen in ein einziges, maschinenlesbares EU-Portal überführt werden, um doppelte Reportings unter DORA, NIS2 und CRA zu vermeiden.

In ihrer heute veröffentlichten Stellungnahme (Website) zur Überarbeitung des EU-Cybersecurity Acts spricht sich die Deutsche Kreditwirtschaft für eine praxisnahe, verhältnismäßige und wirksame Cybersicherheitsregulierung aus. Zentrale Anliegen sind die klare Verankerung von ENISA als technische und koordinierende Unterstützungsinstanz – nicht als regulatorische Autorität – eine risikobasierte Anwendung von Zertifizierungspflichten sowie eine umfassende Vereinfachung und Harmonisierung der vielfältigen Melde- und Sicherheitsanforderungen.

Im Fokus steht die Vermeidung von Doppelregulierungen, insbesondere mit bestehenden sektorspezifischen Vorgaben wie DORA. Zertifizierungen sollen auf sicherheitskritische Produkte und Dienste beschränkt bleiben und dürfen Innovationen, insbesondere durch kleinere Anbieter, nicht behindern. Gleichzeitig fordert die DK eine stärkere internationale Anschlussfähigkeit durch gegenseitige Anerkennung bestehender Standards und Zertifikate.

Besonders betont wird zudem der hohe bürokratische Aufwand, der durch uneinheitliche Meldepflichten unter NIS2, CRA und DORA entsteht. Die DK plädiert für eine einheitliche, EU-weite Meldestruktur mit klaren Schwellenwerten, standardisierten Formaten und maschinenlesbaren Schnittstellen. Auch nicht-technische Risiken in der Lieferkette sollen gezielt politisch adressiert werden – abseits übergreifender Zertifizierungsansätze.

Die Stellungnahme enthält konkrete Vorschläge für eine effizientere, rechtssichere und innovationsfreundliche Ausgestaltung des Cybersecurity-Rahmens in der EU – im Sinne eines widerstandsfähigen und wettbewerbsfähigen europäischen Finanzmarkts.

Details dazu gibt es hier im aktuellen DK-Statement.aj