1. Vorbemerkung

Das Deutsche Verkehrsforum (DVF) bedankt sich für die Möglichkeit der Stellungnahme zu dem am 05.02.2026 veröffentlichten Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zur Änderung der Richtlinie (EU) 2022/2555 im Hinblick auf Vereinfachungsmaßnahmen und die Angleichung an den Vorschlag für die Cybersicherheitsverordnung 2. Wir bitten um Berücksichtigung der nachfolgenden Punkte.

2. Allgemeine Bewertung

Die Zielsetzung des Cybersecurity Acts 2 (CSA2), insbesondere die stärkere Harmonisierung und Weiterentwicklung der europäischen Cybersecurity-Regulierung, wird vom DVF grundsätzlich unterstützt. Insbesondere die Implementierung europaweit einheitlicher Standards mit dem Ziel einer besseren Handhabbarkeit und Nachprüfbarkeit ist angesichts stetig wachsender geopolitischer Herausforderungen zu befürworten und kann ein Level Playing Field schaffen, das die Durchsetzung europäischer Security-Anforderungen unterstützt, während der Aufwand seitens der Unternehmen reduziert.
Um dies zu erreichen, sehen wir jedoch Bedarf an klaren Zuständigkeiten, einer konsistenten Regulatorik und praxisnahen Umsetzung mit kurzen Evaluierungszyklen. Konkret möchten wir folgende Punkte anmerken:

Rolle der ENISA

▪ Das DVF unterstützt die Stärkung der Rolle von ENISA im Rahmen von CSA2, fordert jedoch eine klar definierte Aufgabenverteilung zwischen ENISA und den nationalen Behörden (z.B. BSI).

▪ Unternehmen dürfen nicht mit neuen bzw. zusätzlichen Meldepflichten und Schnittstellen zur ENISA konfrontiert werden, ohne entsprechende Entlastungen und Straffungen an anderer Stelle zu erfahren.

▪ Zudem müssen Meldepflichten stärker harmonisiert werden. Gerade für international tätige Unternehmen ist wichtig, dass Cybervorfälle nicht mehrfach nach unterschiedlichen Regeln gemeldet werden müssen. Ziel sollte eine echte Vereinheitlichung der Inhalte und Fristen sein, nicht nur gemeinsame Meldekanäle.

Zertifizierung

▪ Das DVF begrüßt, dass Zertifikate künftig stärker als Nachweis für die Erfüllung regulatorischer Anforderungen innerhalb der EU-Cybersicherheitsgesetzgebung genutzt werden können. Hierzu ist sicherzustellen, dass diese EU-weit anerkannt werden.

▪ Dies gilt insbesondere, da vorgesehen ist, Zertifizierungsschemata auszuweiten und Zertifizierungen teilweise verpflichtend werden sollen.

Lieferkettensicherheit

▪ Für die Regulierung von IKT-Lieferketten braucht es klare Rahmenbedingungen zur Identifikation von Hochrisiko-Lieferanten sowie betroffenen Produkten und Einzelkomponenten.

▪ Um Risiken für bestehende Projekte zu reduzieren, bedarf es zudem realistischer Übergangsfristen und klarer Kriterien für die Komponenten-Regelungen. Dies gilt insbesondere für Projekte mit langfristig angelegten OT-Lebenszyklen.

▪ Politische Instrumente der EU z.B. ACI verschärfen ggf. parallel die Auswahlmöglichkeiten. Dies muss mit Blick auf Vergabeverfahren berücksichtigt werden.

Harmonisierung mit anderen Regelwerken

▪ Für angrenzende Regulierungsrahmen wie bspw. den Cyber Resilience Act, die NIS2-Richtlinie oder auch Branchenstandards braucht es klare Zuständigkeiten und Abstimmungsmechanismen, um Kompetenzüberschneidungen und uneinheitliche Umsetzungsstandards in den Mitgliedstaaten zu vermeiden.

▪ Dabei müssen auch internationale Betriebsstrukturen berücksichtigt werden, die ITSysteme weltweit betreiben. Die Zuständigkeiten und Meldepflichten sollten so gestaltet werden, dass keine parallelen Anforderungen mehrerer Mitgliedstaaten entstehen.

▪ Branchenspezifische Besonderheiten sollten mit Blick auf den Anwendungsbereich Berücksichtigung finden. So sollten bspw. einzelne Schiffe - analog zur NIS2-Richtlinie - vom EU Cybersecurity-Act ausgenommen werden, da diese zumeist außerhalb der EU gebaut und mit Systemen internationaler Hersteller ausgerüstet werden.