10/2025
Rahmenbedingungen und Perspektiven für den neuen EU-weiten Mechanismus zur Solidarität im Bereich der Cybersicherheit im Rahmen des EU-Rechtssystems
I. Einleitung
In jüngster Zeit hat die Cybersicherheitsagentur der Europäischen Union (ENISA) berichtet, dass es in der zweiten Hälfte des Jahres 2023 und in der ersten Hälfte des Jahres 2024 zu einer deutlichen Zunahme von Cybersicherheitsangriffen gekommen ist, die sowohl hinsichtlich der Vielfalt und Anzahl der Vorfälle als auch hinsichtlich ihrer Folgen für öffentliche Einrichtungen und große Unternehmen neue Maßstäbe gesetzt haben. Diese Cyberangriffe richteten sich gegen kritische Infrastrukturen der Mitgliedstaaten sowie gegen EU-Organe und -Einrichtungen, insbesondere im Vorfeld der Wahlen zum Europäischen Parlament.
Eine solche Zunahme der Intensität, Raffinesse und Verbreitung von Angriffen auf öffentliche und private Einrichtungen auf allen Ebenen bestätigt, dass Cybersicherheit nicht nur von den einzelnen Mitgliedstaaten, sondern von der Union als Ganzes angegangen werden muss. Für Letztere bedeutet dies die Konsolidierung einer Strategie, die nicht mehr nur darauf abzielt, Regierungsstellen bei der Überwachung der Cybersicherheit in ihrem Land und beim Informationsaustausch mit ihren Partnerbehörden in anderen Mitgliedstaaten zu unterstützen. Sie sollte auch gemeinsame Cyberfähigkeiten, operative Zusammenarbeit und Krisenbewältigungsmechanismen fördern, mit denen sowohl auf nationaler als auch auf supranationaler Ebene auf Cyberangriffe reagiert werden kann.
Die vorliegende Arbeit soll die jüngsten Entwicklungen im Rechtsrahmen der EU hinsichtlich der Schaffung einer supranationalen Kapazität zur Prävention und Reaktion auf Cybervorfälle, unabhängig davon, ob diese vorsätzlich oder unbeabsichtigt sind, untersuchen. Dies ist unter anderem ein sichtbarer Ausdruck der europäischen Solidarität als Grundprinzip der Rechtsordnung der EU, indem ein praktischer und zeitnaher Beitrag zur Bewältigung von Cybernotfällen gewährleistet wird. Die Bewältigung dieser Szenarien auf EU-Ebene erfordert jedoch die Berücksichtigung der in Artikel 4 Absatz 2 EUV festgelegten Vorrechte der Mitgliedstaaten, wonach die Union „die wesentlichen staatlichen Aufgaben der Mitgliedstaaten, einschließlich der Wahrung der territorialen Unversehrtheit des Staates, der Aufrechterhaltung der öffentlichen Ordnung und der Gewährleistung der nationalen Sicherheit, achtet“. Daher sollte im Falle groß angelegter Cybervorfälle die Förderung der supranationalen Zusammenarbeit und Solidarität mit der Achtung der nationalen Sicherheitsbefugnisse der Mitgliedstaaten in Einklang gebracht werden.
Aufbauend auf der kürzlich verabschiedeten Verordnung 2025/38, dem sogenannten Cybersolidaritätsgesetz, mit dem ein supranationaler Mechanismus zur Prävention, Vorbereitung und Reaktion auf groß angelegte Cyberbedrohungen eingerichtet wird, konzentriert sich die Studie auf zwei Hauptfragen. Erstens: Wie und inwieweit kommt die Solidarität in dem betreffenden Rechtsakt konkret zum Ausdruck? Zweitens: Wie wirken die in diesem Rechtsakt vorgesehenen Mechanismen konkret mit den Vorrechten der Mitgliedstaaten im weiteren Sicherheitsbereich zusammen?
Der Artikel ist wie folgt aufgebaut: Zunächst wird ein kurzer Überblick über die Entwicklung der Cybersicherheitsstrategie der EU gegeben (Abschnitt II). Anschließend werden die wichtigsten Merkmale des Cybersolidaritätsgesetzes unter besonderer Berücksichtigung der Rechtsgrundlage und der darin festgelegten Mechanismen untersucht (Abschnitt III). Anschließend wird analysiert, wie sich Solidarität in den durch die Verordnung geschaffenen Instrumenten konkret niederschlägt, wobei ihr integrativer Beitrag zu anderen Solidaritätsmechanismen auf supranationaler Ebene hervorgehoben wird (Abschnitt IV). Anschließend wird besonderes Augenmerk auf die Verflechtung der Verordnung mit der Dynamik der nationalen Sicherheit innerhalb des EU-Rechtsrahmens gelegt, wobei die Rolle des Grundsatzes der loyalen Zusammenarbeit als Ergänzung zur Solidarität in Notfällen hervorgehoben wird (Abschnitt V). Der Artikel schließt mit Überlegungen zum Beitrag des Cyber-Solidaritätsgesetzes zur Festigung eines EU-weiten Cybersicherheitssystems (Abschnitt VI).
II. Die Konsolidierung der Cybersicherheitsstrategie der EU
Obwohl die Cybersicherheit bereits 2001 von der Europäischen Kommission in die Prioritäten der Union aufgenommen wurde, ist sie weder als spezifischer Politikbereich im Primärrecht verankert, noch gibt es eine ausdrückliche Rechtsgrundlage für die Regulierung dieses Sektors. In den letzten zehn Jahren hat sie jedoch neue Dynamik gewonnen, da die EU-Institutionen Rechtsvorschriften auf der Grundlage von Marktinteressen im Sinne von Artikel 114 AEUV erlassen haben.
Im Jahr 2013 legte die Barroso-II-Kommission die erste EU-Strategie für Cybersicherheit vor: „Ein offener und sicherer Cyberspace“, die darauf abzielt, einen Cyberspace zu gewährleisten, der für alle zugänglich ist und gleichzeitig mit den geeigneten Instrumenten ausgestattet ist, um die Vertraulichkeit der darin enthaltenen Daten und Informationen zu gewährleisten. Seit der Verabschiedung dieser Strategie hat die Kommission unter der Leitung von Juncker zwei wichtige Rechtsinstrumente verabschiedet.
Das erste war die Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie), die weithin als erstes EU-Rechtsinstrument zur Cybersicherheit anerkannt ist. Ausgehend von der Prämisse, dass Netz- und Informationssysteme eine wesentliche Rolle bei der Erleichterung des grenzüberschreitenden Verkehrs von Waren, Dienstleistungen und Personen spielen, wurden spezifische Vorschriften für den Informationsaustausch und Mindestanforderungen an die Sicherheit für wichtige Wirtschaftsakteure, die digitale Dienste erbringen, eingeführt. Das zweite Instrument ist die Verordnung 2019/881 (das sogenannte Cybersicherheitsgesetz), mit der die Rolle der 2003 gegründeten ENISA gestärkt und ein Rahmen für die Einführung eines EU-Zertifizierungssystems für die Cybersicherheit von Produkten, Diensten und Prozessen festgelegt wurde.
Im Jahr 2020 verabschiedete die Kommission die neue Mitteilung „Gestaltung der digitalen Zukunft Europas“ und kurz darauf die neue Strategie für die Sicherheitsunion für den Zeitraum 2020–2025, in der weitere Instrumente und Maßnahmen zur Gewährleistung der Sicherheit sowohl der physischen als auch der digitalen Umgebung festgelegt wurden. Die Schwerpunkte reichen dabei von der Bekämpfung des Terrorismus und der organisierten Kriminalität über die Prävention und Aufdeckung hybrider Bedrohungen und die Erhöhung der Widerstandsfähigkeit kritischer Infrastrukturen bis hin zur Stärkung der Cybersicherheit und der Förderung von Forschung und Innovation.
Im Anschluss an diese Mitteilung und die Schlussfolgerungen des Europäischen Rates legten die Europäische Kommission und der Hohe Vertreter für Außen- und Sicherheitspolitik im Dezember 2020 die neue EU-Cybersicherheitsstrategie für das digitale Jahrzehnt vor, die als Auslöser für die Annahme neuer Regulierungs-, Politik- und Investitionsinstrumente dienen soll, um sicherzustellen, dass jeder „ ein sicheres digitales Leben führen kann“ und um dank sicherer und zuverlässiger Konnektivitätsinstrumente „ein widerstandsfähiges, grünes und digitales Europa“ zu schaffen.
Wie in dem vom Rat im März 2022 gebilligten Strategischen Kompass für Sicherheit und Verteidigung dargelegt, hat der Konflikt zwischen Russland und der Ukraine die Notwendigkeit einer Überarbeitung der supranationalen Verteidigungsstrategie im Cyberbereich noch verstärkt. Im Anschluss an die Empfehlung des Rates zur Entwicklung des Standpunkts der Union zur Cyberabschreckung haben der Hohe Vertreter und die Kommission im November desselben Jahres gemeinsam die Mitteilung zur Cyberabwehrpolitik der EU vorgelegt. Diese Mitteilung sieht vor, die Instrumente für die Zusammenarbeit und Koordinierung der Staaten im Verteidigungsbereich zu stärken, das kollektive Lagebewusstsein und die Früherkennungsfähigkeiten zu verbessern und zuvor entschlossen zu handeln, um die EU mit angemessenen Cyberfähigkeiten auszustatten, die für die Entwicklung und Verwaltung digitaler Technologien erforderlich sind.
Angesichts dieser Ziele und strategischen Entwicklungen sieht der neue Cybersicherheitsplan eine Stärkung bestehender Instrumente und die Einführung neuer Instrumente vor. Im Februar 2020 haben die EU-Institutionen auf die Verabschiedung der Richtlinie 2022/2555 (auch bekannt als NIS 2) und einer neuen Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen hingearbeitet. Darüber hinaus wurde eine gezielte Überarbeitung des Cybersicherheitsgesetzes vorangetrieben, um die Rolle der ENISA und das obligatorische Zertifizierungssystem für IT-Produkte zu stärken. Anschließend legte die Europäische Kommission zwei Verordnungsvorschläge vor: den Cyberresilienz-Akt, mit dem wesentliche Sicherheitsanforderungen für Geräte eingeführt werden, die über das Internet miteinander verbunden sind, um Daten zu senden und zu empfangen, und den Cybersolidaritäts-Akt, mit dem ein Ad-hoc-Mechanismus zur Prävention, Vorbereitung und Reaktion auf groß angelegte Cyberbedrohungen eingerichtet wird. Letzterer, der am 4. Februar 2025 in Kraft treten wird, steht im Mittelpunkt der folgenden Abschnitte.
III. Der Cybersolidaritätsgesetz: Rechtsgrundlage und Mechanismen
Die Verordnung 2025/38 des Europäischen Parlaments und des Rates legt Maßnahmen zur Verbesserung der Erkennung von Cybersicherheitsbedrohungen und -vorfällen sowie zur gemeinsamen Vorsorge und Reaktion auf groß angelegte Ereignisse fest. Die Maßnahmen werden aus Mitteln des Programms „Digitales Europa“ (DEP) des mehrjährigen Finanzrahmens 2021–2027 finanziert. Im Vergleich zu anderen Rechtsakten im Bereich der Cybersicherheit stützt sich der Cybersolidaritätsakt nicht auf Artikel 114 AEUV, sondern hat eine doppelte Rechtsgrundlage, nämlich Artikel 173 Absatz 3 und Artikel 322 Absatz 1 Buchstabe a AEUV. Die letztgenannte Bestimmung, die die Annahme von Maßnahmen mit finanziellen Auswirkungen auf den Haushaltsrahmen betrifft, ist unerlässlich, damit die nachstehend dargelegten Instrumente in Bezug auf die Haushaltsführung ein gewisses Maß an Flexibilität genießen können. Dies ist angesichts der Unvorhersehbarkeit, der Ausnahmecharakter und der Besonderheit der Cyberbedrohungslage erforderlich. Die andere – und wichtigste – Bestimmung betrifft die Zuständigkeit der EU im Bereich der Industriepolitik. Sie sieht vor, dass die Union und die Mitgliedstaaten die notwendigen Voraussetzungen für die Wettbewerbsfähigkeit der Industrie der Union und die optimale Nutzung des industriellen Potenzials für Innovation, Forschung und technologische Entwicklung gewährleisten müssen.
Die Wahl dieser Rechtsgrundlage kommt nicht überraschend. In der Begründung zum Vorschlag wird nämlich klargestellt, dass die Verordnung auch Teil der neuen Industriestrategie für Europa ist. Sie soll den Aufstieg der EU-Industrie zu einem globalen Akteur im Bereich der digitalen Technologien erleichtern und damit die Wettbewerbsfähigkeit der Union auf dem digitalen Markt stärken. Dies könnte auch durch die Stärkung der Widerstandsfähigkeit kritischer Infrastrukturen erreicht werden, die aufgrund ihrer Abhängigkeit von Informations- und Kommunikationstechnologien zunehmend anfällig für Cyberbedrohungen und -vorfälle sind. Daher ist es unerlässlich, strukturierte Maßnahmen im Bereich der Cybersicherheit zu ergreifen, um die Widerstandsfähigkeit von Bürgern, Unternehmen und Einrichtungen in kritischen Sektoren gegenüber den wachsenden Cybersicherheitsbedrohungen im Kontext des technologischen Fortschritts zu erhöhen.
Um diese Ziele zu erreichen, werden mit der Verordnung zwei Instrumente eingeführt: ein Cybersicherheitswarnsystem und ein Cybersicherheitsnotfallmechanismus.
Das Cybersicherheitswarnsystem ist eine supranationale Infrastruktur, die Daten über Cyberbedrohungen und -vorfälle in der EU ermitteln, analysieren und verarbeiten wird. Dies geschieht durch die Koordinierung nationaler und grenzüberschreitender Cyber-Hubs.
Die nationalen Cyber-Hubs, bei denen es sich um öffentliche Stellen handelt, dienen als Anlaufstelle und Schnittstelle für andere öffentliche und private Organisationen auf nationaler Ebene, um Informationen über Cybersicherheitsbedrohungen und -vorfälle zu sammeln und zu analysieren und zu einem grenzüberschreitenden Hub beizutragen. Nach einer Aufforderung zur Interessenbekundung wird das Europäische Kompetenzzentrum für Cybersicherheit (ECCC) einen nationalen Hub auswählen, der an einer gemeinsamen Beschaffung von Instrumenten und Infrastrukturen teilnimmt und eine Finanzhilfe für seine Maßnahmen erhält. Es sei darauf hingewiesen, dass, wie in Erwägungsgrund 33 der Verordnung ausdrücklich festgestellt, die Einhaltung der Verpflichtungen der Mitgliedstaaten gemäß der Richtlinie (EU) 2022/2555, wonach sie eine oder mehrere Behörden für das Krisenmanagement im Cyberbereich benennen oder einrichten und sicherstellen müssen, dass diese über ausreichende Ressourcen verfügen, um ihre Aufgaben wirksam und effizient wahrzunehmen, durch die Verordnung unberührt bleibt.
Grenzüberschreitende Cyber-Hubs werden als Konsortien von mindestens drei Mitgliedstaaten gebildet, die jeweils durch einen nationalen Hub vertreten sind. Von diesen Hubs wird erwartet, dass sie sich zur Zusammenarbeit verpflichten, um ihre Aktivitäten zur Erkennung und Überwachung von Cyberbedrohungen zu koordinieren. Dies bedeutet, dass die an einem grenzüberschreitenden Hub beteiligten nationalen Hubs relevante Informationen über Cyberbedrohungen untereinander austauschen müssen. Zu diesem Zweck ist es sinnvoll, die Einzelheiten, einschließlich der Verpflichtung zum Austausch einer erheblichen Datenmenge und der Bedingungen dafür, in einer Konsortialvereinbarung festzulegen, in der die Grundsätze für den Informationsaustausch festgelegt sind. Es sei darauf hingewiesen, dass die grenzüberschreitenden Hub-Plattformen ein zusätzliches Instrument zum CSIRT-Netzwerk (Computer Security Incident Response Team) darstellen, das in der NIS-2-Richtlinie für die Bündelung und den Austausch von Daten über Cybersicherheitsbedrohungen von öffentlichen und privaten Stellen vorgesehen ist. Wenn grenzüberschreitende Hubs Informationen über einen groß angelegten, potenziellen oder laufenden Cybersicherheitsvorfall erhalten, bemühen sie sich, die relevanten Informationen an das europäische Netzwerk von Cyberliaisonstellen („EU-CyCLONe“), das CSIRT-Netzwerk und die Kommission weiterzuleiten, damit diese ihre jeweiligen Krisenmanagementaufgaben gemäß der NIS-2-Richtlinie wahrnehmen können. Diese ergänzende Maßnahme erfordert jedoch auch, dass das Cybersicherheitswarnsystem Doppelarbeit und Überschneidungen vermeidet, um die Kohärenz mit den anderen bestehenden Instrumenten der Cyberüberwachung zu gewährleisten.
Der Mechanismus für Cybersicherheitsnotfälle sieht eine Reihe von Maßnahmen vor, um durch gegenseitige Unterstützung die Vorsorge, die Reaktion auf und die sofortige Wiederherstellung nach erheblichen, groß angelegten oder gleichwertigen Cybersicherheitsvorfällen zu unterstützen.
Zu den Vorbereitungsmaßnahmen des Mechanismus gehört die koordinierte Prüfung von Einrichtungen, die in Sektoren tätig sind, die als kritisch eingestuft werden. Die Kommission ermittelt in Absprache mit der ENISA und der NIS-Kooperationsgruppe regelmäßig relevante Sektoren oder Teilsektoren aus den in Anhang I der NIS-2-Richtlinie aufgeführten Sektoren, insbesondere Finanzwesen, Energie und Gesundheitswesen. Die zu diesen Sektoren gehörenden Stellen können auch finanzielle Unterstützung für koordinierte Testmaßnahmen auf Unionsebene erhalten. Darüber hinaus kann der Mechanismus praktische Unterstützung für die Überwachung von Schwachstellen und Risiken sowie für die Organisation von Übungen und Schulungsprogrammen für Stellen leisten, die in Sektoren tätig sind, die nicht von hoher Kritikalität sind.
Um eine koordinierte Reaktion auf schwerwiegende Vorfälle zu erleichtern, führt die Verordnung einen Interventionsmechanismus ein, der ein finanzielles und ein operatives Instrument umfasst. Die durch die Überarbeitung des Gesetzgebers eingeführte finanzielle Unterstützung soll Mitgliedstaaten, die einem anderen von einem Cybersicherheitsvorfall betroffenen Mitgliedstaat technische Hilfe leisten, finanziell unterstützen. Das operative Instrument oder Sachleistungsinstrument basiert auf einer EU-Cybersicherheitsreserve, die vorab festgelegte Dienste zur Reaktion auf Vorfälle umfasst, die von privaten Stellen erbracht werden, die gemäß den in Artikel 17 festgelegten Vergabeverfahren als „vertrauenswürdige Anbieter“ benannt wurden. Die oben genannten Dienste können von bestimmten Kategorien von „Nutzern“, darunter die Behörden der Mitgliedstaaten für das Bewältigen von Cybersicherheitskrisen, CSIRTs und Organe, Einrichtungen und Agenturen der Union, über das gemäß der Verordnung 2023/2841 eingerichtete Computer-Notfallreaktionsteam (CERT-EU) aktiviert werden. Drittländer können ebenfalls als „Nutzer“ benannt werden und somit Unterstützung beantragen, wenn dies in den Assoziierungsabkommen im Zusammenhang mit ihrer Teilnahme am Programm „Digitales Europa“ vorgesehen ist.
Nach einer Meldung eines Vorfalls, wie auch in der Richtlinie 2022/2555 vorgesehen, und auf Ersuchen der nationalen Behörden hat die Europäische Kommission die Aufgabe, diesen zu bewerten und zu entscheiden, ob ein Eingreifen erforderlich ist. Die Kommission kann die Verwaltung und Durchführung der Reserve ganz oder teilweise an die ENISA übertragen. Um operative Unterstützung zu erhalten, müssen die Nutzer Maßnahmen zur Minderung der Auswirkungen des betreffenden Vorfalls ergreifen. Dazu gehören die Bereitstellung direkter technischer Hilfe und anderer Ressourcen, die die Reaktion auf den Vorfall und die sofortigen Wiederherstellungsmaßnahmen erleichtern sollen. Es ist wichtig zu beachten, dass nach den vom Gesetzgeber angenommenen Änderungen die Unterstützung aus der Reserve auch auf die Wiederherstellungsphase ausgedehnt werden kann, jedoch auf die erste Phase der Wiederherstellung der Grundfunktionen der Systeme beschränkt ist.
Um das Bild zu vervollständigen, ist auch die Einrichtung des Mechanismus zur Überprüfung von Cybersicherheitsvorfällen zu erwähnen, der dazu dient, bedeutende Cyberangriffe mit weitreichenden Auswirkungen zu bewerten, wichtige Lehren zu ziehen und gegebenenfalls Empfehlungen zur Stärkung der Resilienz der EU abzugeben. Auf Ersuchen der Kommission für die Reaktion auf Cyber-Sicherheitsvorfälle oder von EU-CyCLONe ist die ENISA verpflichtet, einen Bericht vorzulegen, der die gewonnenen Erkenntnisse und Empfehlungen zur Verbesserung der Cyberreaktion der Union enthält. Hat ein Vorfall Auswirkungen auf ein mit einem DEP verbundenes Drittland, leitet die ENISA den Bericht auch an den Rat und den Hohen Vertreter für Außen- und Sicherheitspolitik weiter.
IV. Solidaritätslinien in der Reaktion der Union auf Cyber-Notfälle
Mit dem Cybersolidaritätsgesetz werden Mechanismen zur Verbesserung der kollektiven Vorsorge und Reaktion auf groß angelegte Cybersicherheitsvorfälle geschaffen, die den umfassenden Solidaritätsrahmen der EU widerspiegeln, der derzeit für die Aktivierung in Notfällen entwickelt wird. In diesem Abschnitt wird daher geprüft, inwieweit und in welcher Form Solidarität wirksam in die Bestimmungen der Verordnung 2025/38 integriert ist.
Was das Cybersicherheitswarnsystem betrifft, so verfolgt die Einrichtung einer europaweiten Infrastruktur auf der Grundlage von Cyber-Hubs, die von der Union über das Programm „Digitales Europa“ finanziert wird, zwei Hauptziele, die den Solidaritätsargumenten in der Vorbereitungsphase entsprechen. Erstens soll die Fähigkeit der Behörden verbessert werden, rechtzeitig und wirksam auf potenzielle Cyberbedrohungen zu reagieren. Zweitens soll das System für den Informationsaustausch zwischen Behörden über Cyberbedrohungen, Schwachstellen, Verfahren zur Erkennung von Angriffen und Cybersicherheitswarnungen gestärkt werden. Diese verbesserte Koordinierung und Zusammenarbeit bei der Erkennung, Analyse und Verarbeitung von Daten über Cyberbedrohungen und -vorfälle in der gesamten EU soll ein einheitliches und konkretes Ziel erreichen: die Wahrung der Cybersicherheitsinteressen der Union und ihrer Mitgliedstaaten. Folglich hat dieses Instrument, das sich auf den Grundsatz der loyalen Zusammenarbeit zwischen den zuständigen Stellen stützt, das Potenzial, zu einer faktischen Solidarität zu führen und damit die Verfolgung eines gemeinsamen und sogar supranationalen Interesses zu erleichtern.
Der Cybersicherheits-Notfallmechanismus ist das Instrument, das ausdrücklich und präzise darauf ausgelegt ist, Solidaritätsmaßnahmen in Notfällen zu erleichtern. Angesichts der erhöhten Risiken und der steigenden Zahl von Cybervorfällen, von denen die Mitgliedstaaten betroffen sind, wurde dieser Mechanismus eingerichtet, „um die Widerstandsfähigkeit der Union gegenüber Cyberbedrohungen zu verbessern und im Geiste der Solidarität die kurzfristigen Auswirkungen schwerwiegender Cybersicherheitsvorfälle, groß angelegter Cybersicherheitsvorfälle und gleichwertiger groß angelegter Cybersicherheitsvorfälle zu bewältigen und abzumildern“.
Dieser Geist der Solidarität spiegelt sich einerseits in der traditionellen finanziellen Unterstützung für technische Hilfe von einem Mitgliedstaat für einen anderen Mitgliedstaat wider, wie in Artikel 18 der Verordnung 2025/38 dargelegt, und andererseits in der Aktivierung einer Reserve aus vorab zugesagten Mitteln. Die Annahme direkter finanzieller Unterstützungsmaßnahmen ist in der Tat die traditionellste Form, um Solidarität unmittelbar und konkret zum Ausdruck zu bringen, da sie den nationalen Behörden die volle Verantwortung und Autonomie bei der Verwaltung der Finanzmittel überträgt. Die Vorabzusage von Mitteln dient hingegen dazu, die vorhandenen Ressourcen der Mitgliedstaaten zu ergänzen und so eine bessere Zugänglichkeit und einen schnelleren Einsatz der Einsatzteams zu gewährleisten. Darüber hinaus verhindert sie Doppelarbeit innerhalb der Union und ihrer Mitgliedstaaten, indem sie ein hohes Maß an Koordinierung zwischen den beteiligten Akteuren erfordert. Folglich kommt die Solidarität in der Sachleistung und der zeitlichen (d. h. vorab festgelegten) Natur der Cybersicherheitsreserve zum Ausdruck, wodurch eine schnelle, effiziente und wirksame Reaktion auf offensive Handlungen durch gemeinsame technische und operative Maßnahmen im Rahmen des Notfallmechanismus ermöglicht wird.
In der Praxis hätte das Cybersolidaritätsgesetz, wenn es bereits bestanden hätte, dazu beitragen können, auf den SolarWinds-Angriff im Jahr 2020 zu reagieren, von dem mehrere in der EU ansässige Einrichtungen betroffen waren, indem es die Notwendigkeit einer einheitlicheren und schnelleren Reaktion deutlich gemacht hätte. In diesem Fall hätte der Cybersicherheits-Notfallmechanismus aktiviert werden können, um Ressourcen rasch bereitzustellen und so sowohl die Geschwindigkeit als auch die Koordinierung der Reaktion der EU zu verbessern. Die Einrichtung einer gemeinsamen Ressourcenreserve sowie die Mobilisierung zertifizierter privater Anbieter hätten dazu beigetragen, die Auswirkungen auf kritische Infrastrukturen zu mindern und gleichzeitig einen kohärenteren Ansatz in allen Mitgliedstaaten zu gewährleisten. Der SolarWinds-Vorfall unterstreicht somit die Bedeutung der in der Verordnung 2025/38 vorgesehenen solidarischen Maßnahmen, die sowohl die Mitgliedstaaten als auch die Union als Ganzes vor groß angelegten Cybervorfällen schützen sollen.
Über diese Überlegungen hinaus wird die operative Bedeutung der Solidarität in Artikel 20 der Verordnung 2025/38 weiter hervorgehoben, in dem der potenzielle ergänzende Beitrag des Cybersicherheits-Notfallmechanismus zu anderen bestehenden Hilfsinstrumenten erwähnt wird.
In erster Linie könnte er dazu dienen, den Katastrophenschutzmechanismus der Union (UCPM) im Falle eines bedeutenden Cybersicherheitsvorfalls zu verstärken, der sich aus einer Naturkatastrophe oder einer vom Menschen verursachten Katastrophe auf dem Gebiet eines Staates ergibt oder während einer solchen Katastrophe eintritt. Abstrakt betrachtet kann der UCPM zwar im Notfall eingreifen, um Rettungs- und humanitäre Hilfe zu koordinieren, doch könnte der Cybersicherheits-Notfallmechanismus ihn ergänzen, indem er die (potenziellen) Auswirkungen auf die Cybersicherheit abmildert und beseitigt. In diesem Zusammenhang ist anzumerken, dass die Cybersicherheitsreserve derzeit sogar besser funktionieren könnte als das vom UCPM vorgeschlagene Modell. Die im Rahmen des UCPM geschaffenen Krisenreaktionskapazitäten der EU bestehen nämlich aus vorab zugesagten Reserven, die von den Mitgliedstaaten gemietet, geleast oder gekauft werden; jede Aktivierung muss daher von ihnen bestätigt werden. Der Cybermechanismus stützt sich hingegen auf vertrauenswürdige Dienstleister aus dem privaten Sektor, die nach dem EU-Zertifizierungssystem zertifiziert sind, im Rahmen eines supranationalen Verfahrens vorab beschafft und von der Kommission (oder ENISA) mobilisiert werden. Die Tatsache, dass diese supranationalen Stellen für die Entscheidung über die Beschaffung und den Einsatz der Reserve zuständig sind, macht die Union während der Aktivierungsphase unabhängig vom Ermessen der nationalen Behörden. Es könnte auch argumentiert werden, dass die Cybersicherheitsreserve aufgrund ihrer Unabhängigkeit von den nationalen Behörden und ihrer direkten Verbindung zur Kommission eine größere Solidarität der Union im Falle schwerwiegender oder weitreichender Vorfälle gewährleisten kann.
Zweitens legt die Verordnung 2025/38 nahe, dass die Aktivierung des Notfallmechanismus dazu dienen kann, diejenigen Instrumente zu ergänzen, mit denen primärrechtliche Bestimmungen umgesetzt werden, die Solidaritätsverpflichtungen typischerweise den Mitgliedstaaten auferlegen, nämlich die gegenseitige Verteidigungsklausel (Artikel 42 Absatz 7 EUV) und die Solidaritätsklausel (Artikel 222 AEUV).
Die Beistandsklausel verpflichtet die Mitgliedstaaten im Wesentlichen, im Falle einer bewaffneten Aggression mit allen verfügbaren Mitteln Hilfe und Unterstützung zu leisten. In einem solchen Fall würde die Aktivierung des Cybersicherheits-Notfallmechanismus es der Union ermöglichen, den Mitgliedstaat, der Opfer eines Angriffs geworden ist, zu unterstützen und damit die Bemühungen der anderen Mitgliedstaaten gemäß Artikel 42 Absatz 7 AEUV zu ergänzen. Diese Intervention setzt natürlich voraus, dass der Cyberangriff nach dem Völkerrecht als bewaffneter Angriff qualifiziert wird.
Gleichzeitig verpflichtet die Solidaritätsklausel die Union und ihre Mitgliedstaaten ausdrücklich und allgemein, gemeinsam zu handeln, um einem Mitgliedstaat zu helfen, der Opfer eines Terroranschlags oder einer Naturkatastrophe oder einer vom Menschen verursachten Katastrophe geworden ist. Sie verpflichtet die Union ausdrücklich, alle verfügbaren Instrumente einzusetzen, um den betroffenen Mitgliedstaaten Unterstützung zu leisten und positive Synergien zwischen ihnen zu fördern, wenn ein Terroranschlag oder eine Naturkatastrophe oder eine vom Menschen verursachte Katastrophe eintritt. Obwohl die Solidaritätsklausel als letztes Mittel konzipiert ist, sollte daher im Falle ihrer Inanspruchnahme der Mechanismus für Cybersicherheitskrisen zwingend aktiviert werden, wodurch die Kommission verpflichtet ist, die erforderlichen Mittel, insbesondere die Reserve, für die sie verantwortlich ist, zu aktivieren.
Letztendlich können die durch das Cybersolidaritätsgesetz geschaffenen Mechanismen angesichts ihres Potenzials zur Reaktion auf vorsätzliche und unbeabsichtigte Cyberangriffe eine wertvolle Ergänzung zu den Vorsorge- und Hilfsmaßnahmen der Mitgliedstaaten darstellen und auch als Mittel für ein unabhängiges Eingreifen der Union zu deren Gunsten dienen. Folglich ist die Union nicht nur ein Bündel „solidarischer Integration“ zwischen den Mitgliedstaaten, sondern übernimmt auch eine aktive Rolle im Bereich der Cybersicherheit und etabliert damit die EU-Ebene als einheitlichen und eigenständigen Bereich der Solidarität.
V. Ausgewogenes Verhältnis zwischen Solidarität und nationaler Sicherheit im Cyberbereich
Die in Artikel 4 Absatz 2 EUV festgelegte „Klausel zur nationalen Identität“ sieht vor, dass im Falle einer Bedrohung der nationalen Sicherheit aufgrund einer Notlage oder eines externen Angriffs die nationalen Behörden die volle Verantwortung für die Reaktion und den Schutz der Betroffenen tragen. Da den betroffenen Staaten in der Reaktionsphase ein erheblicher Ermessensspielraum eingeräumt wird, hängt die Umsetzung von Maßnahmen auf supranationaler Ebene von der Zustimmung und uneingeschränkten Beteiligung der nationalen Behörden ab. Diese dem Staat als souveräner Einheit innewohnende Logik gilt auch für den Cyberbereich. Tatsächlich ist die Möglichkeit, dass Cyberbedrohungen wesentliche Funktionen und Dienste stören, erheblich und kann zu erheblichen Ineffizienzen innerhalb des Hoheitsgebiets eines Staates führen und möglicherweise den Schutz der Grundrechte des Einzelnen beeinträchtigen.
Vor dem Hintergrund der vorstehenden Überlegungen wurde in den Schlussfolgerungen des Rates von 2024 zur Zukunft der Cybersicherheit: Gemeinsam umsetzen und schützen betont, dass die Mitgliedstaaten die Hauptverantwortung für die Reaktion auf groß angelegte Cybervorfälle, die die nationale Sicherheit gefährden können, behalten. Darüber hinaus müssen in Fällen, in denen diese Vorfälle eine internationale Dimension haben und Maßnahmen auf supranationaler Ebene erforderlich machen können, diese Maßnahmen mit den nationalen Interventionen koordiniert werden. Die vorgenannte Perspektive kommt auch im Gesetz über Cybersolidarität zum Ausdruck, das darauf abzielt, die kollektiven Vorsorge- und Reaktionsmaßnahmen gegen Cybervorfälle und -angriffe zu verbessern. Der vorliegende Abschnitt befasst sich daher mit der Frage, wie die Vorrechte der Mitgliedstaaten bei der Reaktion auf Cyberereignisse in der betreffenden Verordnung vorgesehen sind und ob diese Vorrechte die zuvor dargelegten Solidaritätsmaßnahmen in irgendeiner Weise beeinträchtigen könnten.
Aus theoretischer Sicht ergibt sich die Notwendigkeit, die Vorrechte der Mitgliedstaaten im Bereich der Sicherheit zu achten, aus der Wahl von Artikel 173 Absatz 3 AEUV als Rechtsgrundlage. Diese Bestimmung bezieht sich nämlich auf eine unterstützende und koordinierende Zuständigkeit, die gemäß Artikel 2 Absatz 5 AEUV die Verabschiedung von Harmonisierungsmaßnahmen ausschließt und es der Union ermöglicht, ohne die Zuständigkeiten der Mitgliedstaaten zu beeinträchtigen, tätig zu werden. Wie in Artikel 1 Absatz 4 des Cyber-Solidaritätsgesetzes ausdrücklich festgelegt, „werden die Maßnahmen im Rahmen dieser Verordnung unter gebührender Achtung der Zuständigkeiten der Mitgliedstaaten durchgeführt“. Darüber hinaus unterstreicht die Verordnung die Bedeutung der Wahrung der „wesentlichen Funktionen“ der Mitgliedstaaten, zu denen die Wahrung der territorialen Unversehrtheit, die Aufrechterhaltung von Recht und Ordnung und der Schutz der nationalen Sicherheit gehören. Insbesondere wird bekräftigt, dass die nationale Sicherheit in der alleinigen Zuständigkeit der einzelnen Mitgliedstaaten verbleibt.
Um an diese Einschränkung zu erinnern, enthält die Verordnung 2025/38 drei spezifische „Nichtbeeinträchtigungsklauseln“, die vom Gesetzgeber konzipiert und anschließend verstärkt wurden, um die Notwendigkeit der Achtung der Vorrechte der Staaten in Fragen der nationalen Cybersicherheit zu betonen.
Zunächst unterstreicht die Verordnung den freiwilligen Charakter der Beteiligung der Mitgliedstaaten am Cybersicherheitswarnsystem sowie die ergänzende Funktion des Cybersicherheitsnotfallmechanismus in Bezug auf die Bemühungen der Staaten, sich auf Cybersicherheitsvorfälle vorzubereiten, darauf zu reagieren und sich davon zu erholen. Dies bedeutet, dass das Eingreifen der Union notwendigerweise der Bereitschaft der betroffenen Staaten untergeordnet ist. Zweitens ist nach der politischen Einigung zwischen dem Rat und dem Europäischen Parlament vorgesehen, dass die Mitgliedstaaten eine Rolle bei der Einrichtung der Reserve übernehmen können, indem sie mit der Kommission bei der Festlegung der Kriterien für Ausschreibungen und des Beschaffungsverfahrens für die Reserve zusammenarbeiten. Drittens wird der Schwerpunkt auf die Grenzen der Verbreitung und Offenlegung von Informationen gelegt: Gemäß Artikel 1 Absatz 6 der Verordnung muss der Austausch vertraulicher Informationen auf das beschränkt sein, was für den endgültigen Zweck relevant und verhältnismäßig ist, ohne die wesentlichen nationalen Sicherheits-, öffentlichen Sicherheits- oder Verteidigungsinteressen der Mitgliedstaaten zu beeinträchtigen. Diese Formulierung scheint vollkommen im Einklang mit Artikel 346 Absatz 1 Buchstabe a AEUV zu stehen, der auch als „Klausel zum nationalen Verteidigungsprivileg“ bekannt ist und wonach kein Mitgliedstaat verpflichtet ist, Informationen zu übermitteln, deren Weitergabe er als gegen seine wesentlichen Sicherheitsinteressen verstoßend betrachtet.
Angesichts dieser Rekonstruktion kann die Kommission zwar für die Aktivierung der Cybersicherheitsreserve zuständig sein, doch dürfen die durch den Cybersolidaritätsakt geschaffenen Instrumente nicht dazu dienen, die nationalen Cybersicherheitssysteme zu ersetzen oder grundlegend zu verändern. Das Konzept der supranationalen Solidarität wird somit durch nationale Sicherheitsargumente abgeschwächt. Die Wirksamkeit der Solidaritätsmechanismen hängt nämlich davon ab, ob die betroffenen Mitgliedstaaten im Falle eines Cybernotfalls bereit sind, Informationen auszutauschen. Wie so oft in der EU sind auch die Solidaritätsmaßnahmen, die die Union in Notfällen aktivieren kann, nach wie vor an die Souveränität der Mitgliedstaaten gebunden.
Zum gegenwärtigen Zeitpunkt ist es eindeutig verfrüht, über den vollen Umfang des Cyber-Solidaritätsgesetzes zu spekulieren; es ist jedoch offensichtlich, dass die derzeitige Struktur auf Probleme und Reibungen mit den Vorrechten der Mitgliedstaaten stoßen könnte, wodurch die positiven Auswirkungen des Gesetzes eingeschränkt würden. Dennoch ist anzumerken, dass die „nationale Identitätsklausel“ nicht von der allgemeinen Verpflichtung der Mitgliedstaaten abweichen kann, ihre Vorrechte im Einklang mit dem EU-Recht auszuüben. Diese Verpflichtung ergibt sich aus den Grundsätzen, die das Verhältnis zwischen der Union und den Mitgliedstaaten gemäß Artikel 4 EUV regeln, darunter der Grundsatz der loyalen Zusammenarbeit. Im vorliegenden Zusammenhang ist dieser Grundsatz insofern relevant, als er die Mitgliedstaaten verpflichtet, die EU-Organe bei der Erfüllung ihrer Aufgaben zu unterstützen und ihnen die Durchführung ihrer Maßnahmen zu erleichtern, sowie davon abzusehen, Maßnahmen zu ergreifen, die die Verwirklichung der Ziele der EU gefährden könnten. Der Grundsatz der loyalen Zusammenarbeit dient somit dazu, ein Gleichgewicht zwischen der Achtung der Zuständigkeit der Mitgliedstaaten für die Verwaltung der nationalen (Cyber-)Sicherheit und der übergeordneten Verpflichtung zur Einhaltung des EU-Rechts und zur Verfolgung von Maßnahmen, die mit den Zielen des gemeinsamen Interesses und der Solidarität im Einklang stehen, herzustellen. Letztlich ist es von entscheidender Bedeutung, einen pluralistischen Ansatz zu entwickeln, der den supranationalen Verfassungsrahmen in einen Dialog mit dem der Mitgliedstaaten bringt.
Durch die Einstufung der Cybersicherheit als Angelegenheit von allgemeinem Interesse auf EU-Ebene könnte der Grundsatz der Loyalität in Verbindung mit dem Grundsatz der Solidarität die Mitgliedstaaten dazu veranlassen, ihre nationalen Sicherheitsmaßnahmen an die Solidaritätsziele der EU im Rahmen der Strategie für Cybersicherheit ( ) anzupassen. Dadurch würde sichergestellt, dass die Bemühungen zum Schutz nationaler Interessen nicht die kollektiven Sicherheitsziele beeinträchtigen. Eine solche Angleichung könnte sowohl die Mitgliedstaaten als auch die Union dazu veranlassen, wirksamere Instrumente für das Cyberkrisenmanagement zu entwickeln und eine einheitlichere Reaktion auf Cyberbedrohungen zu fördern, wodurch die Solidarität zwischen den Mitgliedstaaten und der EU gestärkt würde.
VI. Schlussbemerkungen
Angesichts der jüngsten Statistiken zu Cyberangriffen, aus denen hervorgeht, dass Ransomware, dateilose Angriffe und Phishing nach wie vor die größten Bedrohungen darstellen, ist es offensichtlich, dass Cybersicherheitsvorkehrungen und gemeinsame Reaktionskapazitäten von größter Bedeutung sind, um die Risiken von Netzwerk- oder Datenkompromittierungen zu verringern. In den letzten Jahren hat die EU Maßnahmen zum Schutz kritischer Infrastrukturen und zur Stärkung der Widerstandsfähigkeit der in diesem Bereich tätigen Einrichtungen ergriffen, um die Auswirkungen von Störungen wesentlicher Dienste zu vermeiden oder abzumildern.
Die aktuelle Cybersicherheitsstrategie der EU lässt sich an dem Konzept der „digitalen (oder technologischen) Souveränität der EU“ festmachen, das erstmals vom Präsidenten der Europäischen Kommission in seiner Rede zur Lage der Union im Jahr 2020 erwähnt wurde. Eine solche Auslegung der supranationalen Souveränität beinhaltet unter anderem den Versuch, die Parameter der EU-Verfassungsordnung auf den Cyberspace auszuweiten, wodurch die Übertragung von Befugnissen und Instrumenten auf die supranationale Ebene gerechtfertigt wird, um die Umsetzung regulatorischer Maßnahmen in mehreren Sektoren zu fördern und so die Verfassungsstruktur der Union als Ganzes vor exogenen Einflüssen zu schützen. Tatsächlich untermauert die Cybersicherheitsstrategie der EU die Notwendigkeit, das in Artikel 2 EUV verankerte Wertesystem, das die Grundlage der Identität der EU im Cyberbereich bildet, zu bekräftigen und zu schützen, indem sie die Verflechtung von Cybersicherheit und der Sicherheit demokratischer Systeme, der Grundrechte und der Rechtsstaatlichkeit hervorhebt. Der übergeordnete Ansatz der EU zielt daher darauf ab, aktuelle und künftige Online- und Offline-Risiken anzugehen und sich gemäß der Strategie für eine Sicherheitsunion der EU mit robusten Instrumenten und Ressourcen auszustatten. Für die Union ist es von größter Bedeutung, ihren Wettbewerbsvorteil zu erhalten und ihre digitale Infrastruktur vor sich entwickelnden Bedrohungen zu schützen.
In diesem Zusammenhang stellt der Cyber-Solidaritätsakt den jüngsten regulatorischen Meilenstein in der Entwicklung der umfassenden Cybersicherheitsstrategie dar. Er ergänzt die bestehenden Rechtsinstrumente zur Stärkung der Widerstandsfähigkeit gegen Cyberbedrohungen und gewährleistet so, dass Bürger und Unternehmen auf die Integrität und Zuverlässigkeit digitaler Technologien vertrauen können. In diesem Zusammenhang führt die in diesem Artikel vorgestellte Analyse zu zwei wesentlichen Schlussfolgerungen, die auf der Grundlage der künftigen Praxis überprüft werden müssen.
Erstens bietet die Verordnung 2025/38 einen umfassenden Rahmen, der die nationalen Behörden unterstützen und die Solidarität zwischen den Mitgliedstaaten stärken kann. Dies wird durch die Einrichtung eines supranationalen Systems für Vorsorge und Unterstützung erreicht, das für besonders schwerwiegende Situationen konzipiert ist. Der Grundsatz der Solidarität in Verbindung mit dem im EU-Rechtsrahmen vorgesehenen Grundsatz der loyalen Zusammenarbeit bildet die Grundlage für den gesamten Zyklus der Bewältigung eines Cyber-Notfalls, indem er die Mitgliedstaaten zur loyalen Zusammenarbeit und die Union zur Aktivierung des Cybersicherheits-Notfallmechanismus verpflichtet, wenn dies erforderlich ist. Somit hat das durch den Cybersolidaritätsakt geschaffene Solidaritätsschutznetz das Potenzial, das ausgeprägte regulatorische Ökosystem der Cybersicherheitsmaßnahmen zu erweitern, indem es die Maßnahmen der Mitgliedstaaten unterstützt. In einem breiteren Kontext betrachtet, ist diese Verordnung zudem in den bereits umfassenden Rechtsrahmen für das Notfallmanagement eingebettet, der eine Vielzahl von Situationen umfasst, die sich aus Naturkatastrophen oder von Menschen verursachten Katastrophen ergeben. Während also die nationalen Sicherheitsbefugnisse der Mitgliedstaaten weiterhin unangetastet bleiben, beginnt die Dringlichkeit einer gemeinsamen Reaktion auf Cyberbedrohungen die traditionellen Grenzen dieser ausschließlichen Zuständigkeit in Frage zu stellen. Tatsächlich sind im Falle eines besonders schwerwiegenden Cybervorfalls sowohl die nationalen Behörden als auch die Union für die Reaktion auf Cyberbedrohungen und den Schutz vor diesen verantwortlich.
Zweitens ist es wichtig anzumerken, dass die in der Verordnung 2025/38 dargelegte Unterstützung nicht ausschließlich für Mitgliedstaaten oder Drittländer gilt. Sie erstreckt sich auch auf EU-Organe und -Einrichtungen, die im Falle eines bedeutenden Cybervorfalls, der sich auf die Infrastruktur, die Organe und, im weiteren Sinne, das supranationale demokratische System der EU auswirken könnte, Unterstützung durch den Cybersicherheits-Notfallmechanismus anfordern können. Die Reserve kann somit aktiviert werden, wenn eine hybride Bedrohung den Wahlprozess des Europäischen Parlaments zum Ziel hat oder darauf abzielt, Zugang zu vertraulichen und Verschlusssachen der EU sowie zu sensiblen nicht klassifizierten Informationen zu erlangen. In solchen Fällen ermöglicht die Verordnung einem einzelnen Organ, einer Einrichtung, einem Amt oder einer Agentur der EU, die Kommission oder ENISA um Maßnahmen zu ersuchen, wodurch eine rasche Reaktion zum Schutz der Interessen der Union gewährleistet ist. Die Ausweitung des Anwendungsbereichs der Verordnung auf EU-Institutionen ist ein charakteristisches Merkmal der Rechtsvorschriften für Notfallmaßnahmen mit erheblichen Auswirkungen auf die konstitutionelle Dimension der EU. Dieser Ansatz spiegelt die sich wandelnde Natur der Bedrohungen wider, denen die Union ausgesetzt ist, und unterstreicht die Bedeutung eigener Cybersicherheitsmaßnahmen neben denen der Mitgliedstaaten.
Angesichts des Potenzials von Cyberangriffen, die grundlegenden Infrastrukturen und demokratischen Systeme, auf denen die Identität der EU beruht, zu gefährden, muss sie sich auf Instrumente wie die Reserve des Cyber-Notfallmechanismus stützen, die ihre Werte und ihren Verfassungsrahmen schützen können. Darüber hinaus ist zu betonen, dass der Cybersolidaritätsakt eine EU-Souveränität umreißt, die parallel zur Souveränität der Mitgliedstaaten besteht und diese nicht ersetzt. Letztendlich kann festgestellt werden, dass die Verordnung auf der Grundlage des Grundwerts der Solidarität zur schrittweisen Verwirklichung der technologischen Souveränität der EU im Bereich der Cybersicherheit beitragen kann. Dennoch wird es von entscheidender Bedeutung sein, die Verflechtung der Zuständigkeiten der EU und der Mitgliedstaaten beim Schutz der (über)nationalen Sicherheit und Souveränität im Zusammenhang mit den bevorstehenden rechtlichen Entwicklungen im Cyberbereich zu beobachten.
Zur einfacheren Lesbarkeit wurden die Literatur- und Quellverweise entfernt.
Übersetzung Boris Wanzeck, Swiss Infosec AG
Susanna Villani in: European Journal of Risk Regulation, Cambridge University Press, 2025