DK-Stellungnahme zur Überarbeitung des EU Cybersecurity Act

In ihrer Stellungnahme zur Überarbeitung des EU-Cybersecurity Acts spricht sich die Deutsche Kreditwirtschaft (DK) für eine praxisnahe, verhältnismäßige und wirksame Cybersicherheitsregulierung aus. Zentrale Anliegen sind die klare Verankerung von ENISA als technische und koordinierende Unterstützungsinstanz – nicht als regulatorische Autorität –, eine risikobasierte Anwendung von Zertifizierungspflichten sowie eine umfassende Vereinfachung und Harmonisierung der vielfältigen Melde- und Sicherheitsanforderungen.

Im Fokus steht die Vermeidung von Doppelregulierungen, insbesondere mit bestehenden sektorspezifischen Vorgaben wie DORA. Zertifizierungen sollen auf sicherheitskritische Produkte und Dienste beschränkt bleiben und dürfen Innovationen, insbesondere durch kleinere Anbieter, nicht behindern. Gleichzeitig fordert die DK eine stärkere internationale Anschlussfähigkeit durch gegenseitige Anerkennung bestehender Standards und Zertifikate.

Besonders betont wird zudem der hohe bürokratische Aufwand, der durch uneinheitliche Meldepflichten unter NIS2, CRA und DORA entsteht. Die DK plädiert für eine einheitliche, EU-weite Meldestruktur mit klaren Schwellenwerten, standardisierten Formaten und maschinenlesbaren Schnittstellen. Auch nicht-technische Risiken in der Lieferkette sollen gezielt politisch adressiert werden – abseits übergreifender Zertifizierungsansätze.

Die Stellungnahme enthält konkrete Vorschläge für eine effizientere, rechtssichere und innovationsfreundliche Ausgestaltung des Cybersecurity-Rahmens in der EU – im Sinne eines widerstandsfähigen und wettbewerbsfähigen europäischen Finanzmarkts.