Im vergangenen Jahrzehnt hat die Europäische Union (EU) einen ambitionierten Weg eingeschlagen, um neue, innovative, nachhaltige und sichere Regeln für das digitale Zeitalter zu gestalten. Die EU hat in ihrer Gesetzgebung Schlüsselbereiche wie Datenschutz, Cybersicherheit, künstliche Intelligenz, Online-Plattformen und digitale Märkte umfassend reguliert. Gemeinsam bilden diese Initiativen das Rückgrat der Vision der Digitalen Dekade der EU, die darauf abzielt, bis 2030 ein sicheres, inklusives, digitalisiertes Europa zu schaffen. Diese politischen Initiativen spiegelt das Ziel der EU wider, technologische Innovationen zu fördern und gleichzeitig sicherzustellen, dass der digitale Fortschritt fest in den europäischen Werten Datenschutz, Fairness und Vertrauen verankert ist.
Die digitale Transformation hat sich in den vergangenen Jahren mit beispielloser Geschwindigkeit entwickelt. Parallel hat sich auch die Komplexität des regulatorischen Umfelds erhöht. Zahlreiche sich überschneidende Verpflichtungen, unterschiedliche Umsetzungszeitpläne und variierende nationale Auslegungen machen es den Marktteilnehmern in Europa schwer, die Vorschriften angemessen einzuhalten. Für viele Organisationen bremst dieser „Flickenteppich“ an Anforderungen Innovationen aus. Er hat zu erhöhten Kosten geführt, ohne das eigentliche Ziel – ein sichereres, wettbewerbsfähiges und widerstandsfähiges digitales Ökosystem in Europa – vollständig erreichen zu können. Es ist deswegen sehr zu begrüßen, dass die EU kontinuierlich an der Verbesserung der Effizienz und Kohärenz seines Digitalgesetzgebung arbeitet. Dies kann die Einhaltung der Vorschriften für Bürger und Unternehmen erleichtern und gleichzeitig die Digitalisierung in der gesamten Union beschleunigen.
Im folgenden werden konkrete Empfehlungen aus Sicht der Cybersicherheit diskutiert, wie diese Ziele nachhaltig erreicht werden können.
Meldepflichten in der Cybersicherheit vereinfachen – „Once Only“-Prinzip
Um Cybersicherheit und Resilienz zu steigern, sollten die Meldepflichten aus den verschiedenen EU-Rechtsvorschriften harmonisiert werden. Organisationen, die in der EU tätig sind, müssen derzeit Meldungen über Sicherheitsvorfälle und Compliance-Berichte gemäß verschiedenen Rahmenwerken einreichen, etwa zur NIS2-Richtlinie, zum Cyber Resilience Act (CRA), dem Digital Operational Resilience Act (DORA) oder die Datenschutz-Grundverordnung (DSGVO). Oft sind in den jeweiligen Rechtsakten unterschiedliche Definitionen, Formate und Fristen enthalten. Eine Angleichung dieser Anforderungen würde die Klarheit deutlich verbessern, Doppelarbeit vermeiden und zu mehr Effizienz führen. Daher sollte das „Once Only“-Prinzip eingeführt werden – begleitet durch sichere, interoperable digitale Werkzeuge. Dieser Ansatz würde Unternehmen entlasten und es den zuständigen Behörden ermöglichen, Informationen effizient auszutauschen. Wiederholte und sich überschneidende Meldungen würden vermieden werden. Gleichzeitig würde das Schutzniveau und die Resilienz erhöht. Eine schnellere Erkennung, Analyse und Reaktion auf Bedrohungen über Sektoren und Grenzen hinweg wird damit ermöglicht.
Bei der KI-Regulierung Cybersicherheit mitdenken
Künstliche Intelligenz (KI) ist eine maßgeblicher Faktor und Treiber der digitalen Transformation Europas. Zugleich ist KI ein leistungsstarkes Instrument zur Stärkung der Cybersicherheit. Sie bietet aber auch Angreifern ganz neue Möglichkeiten. Heute spielen KI-Systeme eine entscheidende Rolle bei der Erkennung von Bedrohungen, der Automatisierung von Reaktionen und dem Schutz der Nutzer vor neuen Risiken. Daher sind regulatorische Klarheit und Verhältnismäßigkeit unerlässlich, um sicherzustellen, dass zum Beispiel der EU AI Act seine Ziele erreicht, ohne wichtige Innovationen zu hemmen. Gesetzes-Anpassungen, die klar zwischen risikoreichen KI-Systemen und KI, die zum Schutz und zur Stärkung der Resilienz eingesetzt werden unterscheiden, wären ein pragmatischer Weg nach vorn. Darüber hinaus sollten die Konformitätsbewertungsverfahren und Dokumentationsanforderungen an bestehende EU-Cybersicherheitszertifizierungssysteme angepasst werden um unnötige Doppelarbeit zu vermeiden, die Konsistenz zu fördern und den Compliance Aufwand bei Unternehmen zu reduzieren.
Interoperabilität und digitale Governance priorisieren
Darüber hinaus sollten die Prinzipien der Interoperabilität und der digitalen Governance im Zentrum der EU-Agenda zur Vereinfachung der Digitalgesetzgebung stehen. Die Verwendung standardisierter, maschinenlesbarer Datenformate, sicherer APIs und automatisierter Berichtssysteme kann die Einhaltung von Vorschriften nicht nur erleichtern, sondern sie auch reaktionsschneller und anpassungsfähiger an den technologischen Wandel machen. Diese Mechanismen würden ein agileres regulatorisches Ökosystem schaffen, das Innovationen fördert und gleichzeitig Sicherheit und Verantwortlichkeit gewährleistet.
Vereinfachen – ohne Kompromisse bei Sicherheit und Vertrauen einzugehen
Regulatorische Vereinfachungen müssen auf Ausgewogenheit beruhen: Sie sollten die Einhaltung erleichtern, ohne Europas Engagement für hohe Standards in den Bereichen Cybersicherheit, Datenschutz und Transparenz zu schwächen. Vereinfachte und zugleich sichere, nachhaltige Regeln können Innovationen fördern, die Wettbewerbsfähigkeit stärken und das Vertrauen der Bürger erhöhen.
Cookies und Tracking-Technologien benutzerfreundlicher machen
Ein weiteres Feld, das von einer regulatorischen Vereinfachung profitieren würde, sind Cookies und Tracking-Technologien. Übermäßige oder wiederholte Einwilligungsbanner haben zu einer weit verbreiteten Nutzerermüdung geführt und die Transparenz, die sie eigentlich fördern sollten, untergraben. Die Absicht der EU-Kommission, diese Regeln zu überprüfen und gegebenenfalls zu ändern, ist sehr zu begrüßen. Hierbei sollte ein risikobasierte, technologieneutraler Ansatz gewählt werden, der mit den Grundsätzen des Datenschutzgesetzes und den Zielenn des Gesetzes über digitale Dienste (DSA) übereinstimmt. Ein solcher Ansatz würde dazu beitragen, zwischen Praktiken zu unterscheiden, die tatsächlich Datenschutzrisiken bergen, und solchen, die legitimen technischen oder Sicherheitszwecken dienen.
Expertise nutzen, um Europas digitale Zukunft zu gestalten
Dieses Gleichgewicht lässt sich am besten durch die kontinuierliche Zusammenarbeit von Politik, Regulierungsbehörden und Branchenexperten erreichen. Indem Europa den starken normativen Rahmen der EU mit der praktischen Erfahrung von Cybersicherheitsanbietern und anderen Akteuren der Digitalwirtschaft verbindet, kann ein intelligentes regulatorisches Umfeld geschaffen werden – ein Umfeld, das kohärent, verhältnismäßig und zukunftssicher ist.