Das Council of European National Top Level Domain Registries (CENTR) hat den Vorschlag der EU-Kommission für eine Verordnung zum EU-Rechtsakt zur Cybersicherheit kritisiert. Er könnte die europäischen ccTLDs und das gesamte Ökosystem der Internetinfrastruktur unverhältnismäßig stark belasten.
Am 20. Januar 2026 hat die EU-Kommission ein Cybersicherheitspaket vorgeschlagen, um die Widerstandsfähigkeit der EU im Bereich der Cybersicherheit zu stärken. Teil dieses Pakets ist ein überarbeiteter Rechtsakt zur Cybersicherheit (Cybersecurity Act 2, kurz CSA2). Er zielt darauf ab, die Cybersicherheitskapazitäten und -resilienz zu verbessern und eine Fragmentierung im digitalen EU-Binnenmarkt zu verhindern. Auch die Lieferketten der EU im Bereich der Informations- und Kommunikationstechnologien (IKT) hat man im Visier; Produkte, die EU-Bürger erreichen, sollen durch ein einfacheres Zertifizierungsverfahren „cybersicher“ sein. Er soll zudem die Agentur der EU für Cybersicherheit (ENISA) bei der Unterstützung der Mitgliedstaaten und der EU beim Umgang mit Cybersicherheitsbedrohungen stärken. Dieses Vorhaben findet auch beim CENTR Anklang. Dort begrüßt man den ambitionierten Ansatz des Vorschlags und die Bestätigung des Mandats der ENISA zur Unterstützung kritischer Infrastrukturen ausdrücklich. Die CENTR-Mitglieder, also die Betreiber europäischer ccTLDs, haben als direkt betroffene Einrichtungen jedoch mehrere Bedenken. Konkret geht es CENTR um fünf Punkte:
- Die politischen Entscheidungsträger der EU sollen davon absehen, Verpflichtungen zu duplizieren oder den ccTLDs im Bereich der Cybersicherheit unnötige zusätzliche Belastungen aufzuerlegen.
- Jegliche Risikobewertungen, die Hochrisikolieferanten ausschließen, sollen auf konkreten, evidenzbasierten Sicherheitsrisiken beruhen und in einem klaren Rahmen verankert sein, der die Art kritischer Infrastrukturen und branchenspezifische Sicherheitsbedenken berücksichtigt.
- Einer verbindlichen Entscheidung zum Ausschluss wichtiger IT-Lieferanten müsse eine fundierte Folgenabschätzung vorausgehen, und betroffene wesentliche Einrichtungen müssten die Möglichkeit haben, Einspruch zu erheben und sich sinnvoll an Ausnahmegenehmigungsverfahren zu beteiligen.
- Allen betroffenen Unternehmen müsse eine angemessene Übergangsfrist eingeräumt werden, und falls keine praktikablen Alternativen bestehen, müsse eine finanzielle Entschädigung vorgesehen werden.
- Die Definition der IKT-Lieferkette müsse überarbeitet werden, um ihren Anwendungsbereich auf Lieferanten mit einer direkten vertraglichen Beziehung zum betroffenen Unternehmen zu beschränken und allgemeine Aussagen über wichtige Internet-Infrastrukturprotokolle wie das DNS zu vermeiden.
Für CENTR ist das Internet ein globalisiertes und vernetztes Ökosystem, das auf offenen Standards und freier Open-Source-Software basiert. Es sei fragwürdig, die grundlegenden Protokolle des Internets protektionistisch und innerhalb nationaler Grenzen zu behandeln, indem man sie Risikobewertungen durch nationale oder regionale Gesetze unterwerfe, die ihren globalen Charakter ignorieren. Stattdessen sei die EU aufgerufen, sicherzustellen, dass ihre strategischen Interessen in den globalen Foren vertreten werden, in denen die Entwicklung der Protokolle und Standards des Internets stattfindet. Doppelte Standardisierungsbemühungen, sei es durch nationale oder regionale Gesetze oder durch andere multilaterale Foren, würden das Risiko einer technischen Fragmentierung in sich bergen und das Internet schwächen. Insbesondere die Unterstützung der ENISA sei zwar zu begrüßen; die CENTR-Mitglieder möchten jedoch den Grundsatz der Subsidiarität in Bezug auf die ccTLD-Governance unterstreichen und gleichzeitig das Multi-Stakeholder-Modell respektiert wissen. Ob sich die EU-Kommission davon beeindrucken lässt, bleibt abzuwarten; das Gesetzgebungsverfahren zum CSA2 wird voraussichtlich noch bis ins Jahr 2027 oder sogar 2028 andauern.