Zum Inhalt springen

KI-generierte Inhalte: Antworten werden von einer KI erstellt, automatisch zusammengestellt und können Fehler enthalten. Conformi ist ein Recherche-Tool und ersetzt keine Rechtsberatung oder rechtliche Prüfung im Einzelfall. Alle Antworten sind anhand der verlinkten Originalquellen zu verifizieren.

Conformi/Knowledge Base/Cybersicherheit/Cybersecurity Act
🛡️Cybersicherheit & IT

Verordnung (EU) 2019/881 — Rechtsakt zur Cybersicherheit (ENISA und Cybersicherheitszertifizierung)

Analyse vom 7. Juni 20260 Quellenkonsolidierte Fassung vom 04.02.2025EUR-Lex Original

Braucht mein IKT-Produkt ein europäisches Cybersicherheitszertifikat, bevor ich es im Binnenmarkt verkaufen darf — und was passiert, wenn ich ohne Zertifizierung erwischt werde?

Die Zertifizierung nach dem Cybersecurity Act ist derzeit freiwillig [Art. 56 Abs. 2], doch die Kommission prüft alle zwei Jahre, ob sie für bestimmte IKT-Produkte, -Dienste oder verwaltete Sicherheitsdienste verpflichtend wird — bei Verstößen gegen ein geltendes Schema drohen mitgliedstaatliche Sanktionen, die wirksam, verhältnismäßig und abschreckend sein müssen [Art. 65].

Kurzantwort

Der Cybersecurity Act (VO (EU) 2019/881) schafft zwei Pfeiler: erstens ein permanentes Mandat für die ENISA als EU-Cybersicherheitsagentur [Art. 3], zweitens einen europäischen Zertifizierungsrahmen für IKT-Produkte, -Dienste, -Prozesse und — seit der Änderung durch VO (EU) 2025/37 — auch für verwaltete Sicherheitsdienste [Art. 46]. Zertifikate werden in drei Vertrauenswürdigkeitsstufen erteilt: 'niedrig', 'mittel' und 'hoch' [Art. 52]. Die Kommission kann durch Durchführungsrechtsakte verbindliche Schemata einführen; die erste Bewertung war bis 31. Dezember 2023 fällig, weitere folgen mindestens alle zwei Jahre [Art. 56 Abs. 3].

Betroffen

Hersteller und Anbieter von IKT-Produkten, -Diensten und -Prozessen im EU-Binnenmarkt; seit dem 4. Februar 2025 (VO (EU) 2025/37) zusätzlich Anbieter verwalteter Sicherheitsdienste wie SOC-Betreiber, Penetrationstest-Firmen und Sicherheitsberatungen [Art. 2 Nr. 14a]. Konformitätsbewertungsstellen, die Zertifizierungen durchführen wollen, unterliegen den Anforderungen des Anhangs. Nationale Behörden für die Cybersicherheitszertifizierung gemäß Art. 58 sind benennungspflichtig.

Frist

Die Verordnung gilt unmittelbar seit 27. Juni 2019; die Bestimmungen zu nationalen Aufsichtsbehörden, Konformitätsbewertungsstellen, Beschwerderecht und Sanktionen gelten seit 28. Juni 2021 [Art. 69 Abs. 2]. Die Erweiterung auf verwaltete Sicherheitsdienste durch VO (EU) 2025/37 ist seit 4. Februar 2025 anwendbar. Laufende Pflicht: Die Kommission bewertet mindestens alle zwei Jahre, ob freiwillige Schemata verpflichtend werden sollen [Art. 56 Abs. 3].

Risiko

Die Verordnung selbst legt keine bezifferten Bußgelder fest. Art. 65 verpflichtet die Mitgliedstaaten, Sanktionen zu erlassen, die wirksam, verhältnismäßig und abschreckend sind. In Deutschland regelt das BSI-Gesetz die Umsetzung. Für Hersteller mit Selbstbewertung (Vertrauenswürdigkeitsstufe 'niedrig') besteht das Risiko der Haftung bei falscher EU-Konformitätserklärung [Art. 53 Abs. 2]. Zertifikatsinhaber, die Sicherheitslücken nicht melden, riskieren den Entzug des Zertifikats [Art. 56 Abs. 8].

Belege

Rechtsstand

  • In Kraft
  • Stand 2026-06-07
  • konsolidierte Fassung vom 04.02.2025

Primärquellen

    Was jetzt zu tun ist

    Legal / DPO

    • Prüfen Sie, ob Ihre IKT-Produkte oder verwalteten Sicherheitsdienste unter ein bestehendes oder angekündigtes europäisches Zertifizierungsschema fallen, und bewerten Sie die Pflicht zur Selbstbewertung der Konformität [Art. 53 Abs. 1].
    • Stellen Sie sicher, dass Ihr Unternehmen die mitgliedstaatlichen Sanktionsvorschriften zu Titel III kennt und Compliance-Verstöße intern eskaliert werden [Art. 65].
    • Überwachen Sie die alle zwei Jahre stattfindende Bewertung der Kommission, ob freiwillige Schemata verpflichtend werden — insbesondere für NIS2-relevante Sektoren [Art. 56 Abs. 3].

    Compliance

    • Etablieren Sie ein Verfahren zur Meldung nachträglich entdeckter Sicherheitslücken an die zuständige Konformitätsbewertungsstelle oder nationale Behörde bei zertifizierten Produkten [Art. 56 Abs. 8].
    • Dokumentieren Sie EU-Konformitätserklärungen und technische Unterlagen für die vom Schema festgelegte Aufbewahrungsfrist und halten Sie diese für die nationale Aufsichtsbehörde bereit [Art. 53 Abs. 3].
    • Bewerten Sie, ob verwaltete Sicherheitsdienste Ihres Unternehmens (SOC, Penetrationstest, Sicherheitsberatung) seit 4. Februar 2025 unter den erweiterten Geltungsbereich fallen [Art. 2 Nr. 14a, eingefügt durch VO (EU) 2025/37].

    IT / Security

    • Prüfen Sie für jedes IKT-Produkt, ob die Sicherheitsziele des Art. 51 (Datenschutz, Zugriffskontrolle, Protokollierung, Wiederherstellung, Security-by-Design) erfüllt sind — diese definieren die Zertifizierungsbasis.
    • Implementieren Sie Mechanismen für sichere Updates und stellen Sie sicher, dass keine bekannten Sicherheitslücken in ausgelieferter Software bestehen [Art. 51 lit. g, j].
    • Bereiten Sie technische Dokumentation und ergänzende Cybersicherheitsangaben (Konfigurationsleitfäden, Supportzeitraum, Vulnerability-Disclosure-Kontakt) vor, wie Art. 55 Abs. 1 sie für zertifizierte Produkte verlangt.

    Product / Engineering

    • Entscheiden Sie frühzeitig, welche Vertrauenswürdigkeitsstufe ('niedrig', 'mittel', 'hoch') für Ihr Produkt angemessen ist — bei 'niedrig' genügt eine Selbstbewertung, ab 'mittel' ist eine Konformitätsbewertungsstelle erforderlich [Art. 52, Art. 53 Abs. 1].
    • Planen Sie den Zertifizierungszyklus: Zertifikate haben eine im Schema festgelegte Gültigkeitsdauer und müssen bei Sicherheitslücken oder Unregelmäßigkeiten aktualisiert werden [Art. 54 Abs. 1 lit. r, Art. 56 Abs. 8].
    • Stellen Sie sicher, dass zertifizierte Produkte Security-by-Default und Security-by-Design umsetzen, da dies ein Sicherheitsziel des Zertifizierungsrahmens ist [Art. 51 lit. i].

    Interaktive Checks zu diesem Rechtsakt

    Vorab-Einschätzung anhand der Verordnung. Keine Rechtsberatung.

    CBAM-Betroffenheits-Check starten

    Wichtige Begriffe

    ENISA
    Agentur der Europäischen Union für Cybersicherheit mit Sitz in Athen. Berät EU-Organe und Mitgliedstaaten, koordiniert operative Zusammenarbeit bei Cybervorfällen und erarbeitet europäische Zertifizierungsschemata [Art. 3].
    Europäisches Schema für die Cybersicherheitszertifizierung
    Paket von Vorschriften, technischen Anforderungen, Normen und Verfahren auf EU-Ebene für die Zertifizierung oder Konformitätsbewertung von IKT-Produkten, -Diensten, -Prozessen und verwalteten Sicherheitsdiensten [Art. 2 Nr. 9].
    Vertrauenswürdigkeitsstufe
    Grundlage für das Vertrauen, dass ein IKT-Produkt oder verwalteter Sicherheitsdienst den Sicherheitsanforderungen eines Schemas genügt. Es gibt drei Stufen: niedrig, mittel und hoch [Art. 2 Nr. 21, Art. 52].
    Verwalteter Sicherheitsdienst
    Für Dritte erbrachter Dienst im Bereich Cybersicherheitsrisikomanagement, z. B. Incident Response, Penetrationstests, Sicherheitsaudits oder technische Beratung. Seit VO (EU) 2025/37 in den Zertifizierungsrahmen einbezogen [Art. 2 Nr. 14a].
    Selbstbewertung der Konformität
    Maßnahme, bei der ein Hersteller oder Anbieter eigenverantwortlich prüft, ob seine IKT-Produkte oder verwalteten Sicherheitsdienste die Anforderungen eines europäischen Zertifizierungsschemas erfüllen. Nur für Vertrauenswürdigkeitsstufe 'niedrig' zulässig [Art. 2 Nr. 22, Art. 53].
    Europäisches Cybersicherheitszertifikat
    Dokument einer akkreditierten Stelle, das bescheinigt, dass ein IKT-Produkt, -Dienst, -Prozess oder verwalteter Sicherheitsdienst die Sicherheitsanforderungen eines europäischen Zertifizierungsschemas erfüllt. Wird EU-weit anerkannt [Art. 2 Nr. 11, Art. 56 Abs. 10].
    Nationale Behörde für die Cybersicherheitszertifizierung
    Von jedem Mitgliedstaat benannte Behörde, die die Einhaltung der Zertifizierungsvorschriften überwacht, Sanktionen verhängen kann und bei Vertrauenswürdigkeitsstufe 'hoch' Zertifikate ausstellt oder genehmigt [Art. 58].
    ?

    Häufige Fragen

    Ist die Cybersicherheitszertifizierung nach dem Cybersecurity Act verpflichtend?
    Grundsätzlich ist die Zertifizierung freiwillig [Art. 56 Abs. 2]. Die Kommission bewertet jedoch regelmäßig, ob bestimmte Schemata durch Unionsrecht verbindlich vorgeschrieben werden sollen [Art. 56 Abs. 3]. Andere EU-Rechtsakte (z. B. NIS2, CRA) können zudem eine Zertifizierung verlangen.
    Was sind verwaltete Sicherheitsdienste und seit wann fallen sie unter die Verordnung?
    Verwaltete Sicherheitsdienste (Managed Security Services) sind Dienstleistungen für Dritte im Bereich Cybersicherheitsrisikomanagement — etwa SOC-Betrieb, Penetrationstests, Sicherheitsaudits oder technische Beratung [Art. 2 Nr. 14a]. Sie wurden durch VO (EU) 2025/37 in den Geltungsbereich aufgenommen und sind seit dem 4. Februar 2025 erfasst.
    Welche Vertrauenswürdigkeitsstufen gibt es und was bedeuten sie?
    Es gibt drei Stufen: 'niedrig' (Überprüfung der technischen Dokumentation), 'mittel' (zusätzlich Prüfung auf bekannte Sicherheitslücken und korrekte Sicherheitsfunktionen) und 'hoch' (zusätzlich Penetrationstests gegen kompetente Angreifer). Bei 'niedrig' ist eine Selbstbewertung möglich; 'hoch' erfordert die nationale Behörde oder deren Genehmigung [Art. 52, Art. 53, Art. 56 Abs. 6].
    Was passiert mit bestehenden nationalen Zertifizierungsschemata?
    Sobald ein europäisches Schema für dieselbe Produktkategorie in Kraft tritt, werden die entsprechenden nationalen Schemata unwirksam [Art. 57 Abs. 1]. Bereits ausgestellte nationale Zertifikate bleiben bis zum Ende ihrer Geltungsdauer gültig [Art. 57 Abs. 3]. Neue nationale Schemata für bereits europäisch geregelte Bereiche sind unzulässig [Art. 57 Abs. 2].
    Welche Sanktionen drohen bei Verstößen?
    Die Verordnung gibt keine EU-weit einheitlichen Bußgeldhöhen vor. Art. 65 verpflichtet die Mitgliedstaaten, eigene Sanktionsvorschriften zu erlassen, die wirksam, verhältnismäßig und abschreckend sein müssen. Die Höhe variiert daher je nach nationalem Recht.
    Wer ist die ENISA und welche Rolle spielt sie?
    Die ENISA (Agentur der Europäischen Union für Cybersicherheit) ist die zentrale EU-Agentur für Cybersicherheit mit Sitz in Athen, errichtet auf unbegrenzte Zeit [Art. 68 Abs. 4]. Sie berät EU-Organe und Mitgliedstaaten, koordiniert die operative Zusammenarbeit bei Cybervorfällen, erstellt den EU-Cybersicherheitslagebericht und arbeitet die europäischen Zertifizierungsschemata aus [Art. 3–8, Art. 49].
    Kann ich eine Selbstbewertung der Konformität durchführen?
    Ja, aber nur für IKT-Produkte, -Dienste, -Prozesse oder verwaltete Sicherheitsdienste mit niedrigem Risiko auf der Vertrauenswürdigkeitsstufe 'niedrig' [Art. 53 Abs. 1]. Der Hersteller oder Anbieter übernimmt dabei die volle Verantwortung für die Einhaltung der Anforderungen und muss die EU-Konformitätserklärung der nationalen Behörde und der ENISA vorlegen [Art. 53 Abs. 2–3].

    Werkzeuge & Vorlagen

    KI-generierte Compliance-Hilfen

    Vorschau
    11
    Gap-Checks
    2
    SOPs
    2
    Vorlagen
    Entscheidungen

    1. Gap-Analyse Checkliste

    !

    Wurde geprüft, ob für Ihre IKT-Produkte, -Dienste oder -Prozesse ein spezifisches europäisches Schema für die Cybersicherheitszertifizierung existiert oder in Entwicklung ist?

    Art. 46, Art. 47|Zertifizierungsstrategie
    !

    Ist die Zertifizierung nach einem anwendbaren europäischen Schema für Ihr IKT-Produkt, Ihren IKT-Dienst oder Ihren IKT-Prozess verpflichtend vorgeschrieben?

    Art. 56 Abs. 3|Zertifizierungsstrategie
    ~

    Haben Sie für Produkte, die der Vertrauenswürdigkeitsstufe 'niedrig' unterliegen und für die eine Selbstbewertung zulässig ist, eine EU-Konformitätserklärung ausgestellt?

    Art. 53 Abs. 2|Konformitätsbewertung

    2. SOP-Vorlagen

    SOP: Durchführung der Selbstbewertung der Konformität (Stufe 'niedrig')Art. 53

    Zweck: Diese SOP beschreibt den standardisierten Prozess zur Durchführung einer Selbstbewertung der Konformität für IKT-Produkte, -Dienste oder -Prozesse, die unter ein europäisches Cybersicherheitszertifizierungsschema mit der Vertrauenswürdigkeitsstufe 'niedrig' fallen.

    Geltungsbereich: Gilt für alle IKT-Produkte, -Dienste und -Prozesse des Unternehmens, für die eine Selbstbewertung der Konformität nach Art. 53 durchgeführt wird.

    Schritte:
    1. 1

      Prüfung der Anwendbarkeit: Sicherstellen, dass das relevante europäische Schema die Selbstbewertung für das spezifische Produkt/den Dienst zulässt und die Vertrauenswürdigkeitsstufe 'niedrig' anwendbar ist.

      Verantwortlich: Produktmanager / Compliance Officer | Output: Dokumentierte Entscheidung über die Anwendbarkeit der Selbstbewertung.

    2. 2

      Durchführung der Konformitätsbewertung: Das Produkt/der Dienst wird intern anhand der im Schema festgelegten Anforderungen (Normen, technische Spezifikationen) bewertet.

      Verantwortlich: Entwicklungsleitung / Qualitätssicherung | Output: Ausgefüllter Bewertungsbericht mit Nachweisen für jeden Prüfpunkt.

    3. 3

      Erstellung der technischen Dokumentation: Zusammenstellung aller relevanten Dokumente, die die Konformität belegen (z.B. Architekturpläne, Testergebnisse, Risikobewertung).

      Verantwortlich: Entwicklungsleitung / Technischer Redakteur | Output: Vollständige technische Dokumentation gemäß den Anforderungen des Schemas.

    4. 4

      Ausstellung der EU-Konformitätserklärung: Erstellung und rechtsgültige Unterzeichnung der EU-Konformitätserklärung durch eine autorisierte Person.

      Verantwortlich: Geschäftsführung / Rechtsabteilung | Output: Unterzeichnete EU-Konformitätserklärung.

    5. 5

      Einreichung und Archivierung: Vorlage einer Kopie der EU-Konformitätserklärung bei der zuständigen nationalen Behörde für Cybersicherheitszertifizierung und der ENISA. Sichere Archivierung aller Unterlagen für den im Schema festgelegten Zeitraum.

      Verantwortlich: Compliance Officer | Output: Einreichungsbestätigung und Eintrag im internen Dokumentenmanagementsystem.

    Prüffrequenz: Jährlich oder bei Änderung des zugrundeliegenden Zertifizierungsschemas.

    3. Textbausteine

    Muster: EU-KonformitätserklärungArt. 53, Anhang zu Verordnung (EG) Nr. 765/2008 (als Referenz)

    Anwendungsfall: Ausstellung einer Erklärung für IKT-Produkte, -Dienste oder -Prozesse, die einer Selbstbewertung der Konformität für die Vertrauenswürdigkeitsstufe 'niedrig' unterzogen wurden.

    EU-KONFORMITÄTSERKLÄRUNG 1. IKT-Produkt/Dienst/Prozess: [Eindeutige Identifikation des Produkts/Dienstes, z.B. Modell- oder Seriennummer, Softwareversion] 2. Name und Anschrift des Herstellers/Anbieters: [Vollständiger Name und Anschrift des Unternehmens] 3. Die alleinige Verantwortung für die Ausstellung dieser Konformitätserklärung trägt der Hersteller/Anbieter. 4. Gegenstand der Erklärung: [Beschreibung des IKT-Produkts/Dienstes/Prozesses, die eine eindeutige Zuordnung ermöglicht. Ggf. Abbildung beifügen.] 5. Der oben beschriebene Gegenstand der Erklärung ist konform mit dem europäischen Cybersicherheitszertifizierungsschema: [Name und Kennnummer des Schemas], veröffentlicht durch Durchführungsrechtsakt [Nummer des Rechtsakts]. 6. Die Konformität wurde für die Vertrauenswürdigkeitsstufe 'niedrig' nachgewiesen. 7. Angewandte Normen oder technische Spezifikationen, auf die sich die Konformitätserklärung bezieht: [Liste der angewandten Normen/Spezifikationen mit Datum und Version] Unterzeichnet für und im Namen von: [Name des Unternehmens] [Ort], [Datum] [Name der zeichnungsberechtigten Person], [Funktion]

    Platzhalter: Eindeutige Identifikation des Produkts/Dienstes, z.B. Modell- oder Seriennummer, Softwareversion, Vollständiger Name und Anschrift des Unternehmens, Beschreibung des IKT-Produkts/Dienstes/Prozesses, die eine eindeutige Zuordnung ermöglicht. Ggf. Abbildung beifügen., Name und Kennnummer des Schemas, Nummer des Rechtsakts, Liste der angewandten Normen/Spezifikationen mit Datum und Version, Ort, Datum, Name der zeichnungsberechtigten Person, Funktion

    +8 Gap-Checks, 1 SOPs, 1 Vorlagen warten auf Sie

    Kostenlos prüfen

    KI-generierte Compliance-Hilfen. Keine Rechtsberatung. Bitte mit Rechtsabteilung abstimmen.

    3

    Prüfungsfaktoren & Checkliste

    Premium
    Kostenlos prüfen
    4

    Fragen für Ihren Anwalt

    Premium
    Kostenlos prüfen
    5

    Fazit & Zusammenfassung

    Premium
    Kostenlos prüfen

    Detaillierte Analyse mit Quellenlinks.

    Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. Kostenlos prüfen mit Scout.

    Kostenlos prüfen

    Keine Kreditkarte. 50 Recherchen + 5 KI-Analysen frei.