Digitale „Festung Europa“ – und die Rechnung zahlen andere mit

Blog (DE)

Brüssel hat am 20. Januar 2026 einen grossen Schritt angekündigt: Der EU Cybersecurity Act soll überarbeitet werden, kritische ICT-Lieferketten sollen „vertrauenswürdig“ werden – und Ausrüster, die als „high risk“ gelten, sollen aus kritischen Bereichen verschwinden. Das ist geopolitisch nachvollziehbar. Aber wer genauer hinschaut, sieht: Zwischen Sicherheitsgewinn, Industriepolitik und Symbolpolitik verläuft eine dünne Linie. (Digitale Strategie Europa)

Erst die Schlagzeile, dann das Kleingedruckte

Die Debatte zielt sichtbar auf Huawei und ZTE – auch wenn die EU offiziell keine Firmen oder Länder nennt. Reuters beschreibt eine 36-Monatsfrist für Mobilfunkbetreiber nach Veröffentlichung einer High-Risk-Liste und betont Risikoassessments sowie Impact-Analysen. Das ist nicht „ab morgen alles raus“, sondern ein Prozess, der politisch geladen, juristisch komplex und wirtschaftlich riskant wird. (Reuters)

Die öffentliche Erzählung („Festung Europa“) verkauft Entschlossenheit. Das kann man mögen. Man sollte aber nicht übersehen: Je weniger konkret Kriterien und Listen am Anfang sind, desto mehr entsteht in der Praxis ein Klima der pauschalen Verdächtigung. Und genau dort beginnt das Problem.

Wenn Herkunft „Risiko“ heisst, wird Sicherheit schnell zu Protektionismus

Huawei kritisiert den Ansatz als Diskriminierung nach Herkunft statt nach technischer Evidenz und verweist auf Grundsätze wie Nichtdiskriminierung und Verhältnismässigkeit. Man muss Huawei nicht glauben – aber das Argument trifft einen wunden Punkt: Sobald „Jurisdiktion“ zum Kernkriterium wird, entscheidet am Ende Politik über Technik. (Reuters)

Das kann legitim sein. Aber dann sollte die EU ehrlich sein: Es ist nicht nur Cybersecurity, es ist auch Aussen- und Industriepolitik. Und dafür braucht es transparente Kriterien, belastbare Evidenz und Rechtsmittel – sonst bleibt es ein Governance-Experiment auf Kosten von Betreibern und Lieferanten.

Zertifizierung in 12 Monaten: Fortschritt – oder regulatorischer Sprint ins Chaos?

Die EU will Zertifizierung beschleunigen; in der Berichterstattung ist von „standardmässig 12 Monaten“ die Rede. Das klingt modern („Security by Design“, schneller als der Markt). Doch Zertifizierung ist selten ein KMU-Geschenk. Zertifizierung ist ein Marktzugangsinstrument – und wer die Ressourcen nicht hat, bleibt draussen oder zahlt überproportional. (Innovation News Network)

Schnellere Schemata helfen nur, wenn sie klar, testbar, finanziell tragbar und international anschlussfähig sind. Sonst erzeugt der Sprint genau das, was man angeblich verhindern will: Fragmentierung, Unsicherheit und teure Übergangsphasen.

Und was heisst das für kleine Schweizer IT-Unternehmen?

Die Schweiz ist nicht in der EU – aber Schweizer IT-KMU hängen am EU-Markt: durch Kunden, Tochtergesellschaften, Reselling, Managed Services, OT-Integrationen.

Drei sehr konkrete Folgen sind absehbar:

  1. Lieferketten-Fragebögen werden Standard. EU-Kunden in kritischen Umfeldern werden ihre Risiken nach unten durchreichen: Welche Hersteller stecken in Firewall, Switch, Kamera, IoT-Gateway? Welche Updates? Welche Remote-Zugänge? Wer hat Admin-Keys? (Reuters)

  2. Bestimmte Marken werden zum Vertriebsrisiko. Selbst wenn das Recht „risikobasiert“ formuliert wird: Procurement macht daraus oft „Blacklist by default“. Kleine Systemhäuser, die über Preis gewinnen, verlieren über Herkunft. (Reuters)

  3. Melde- und Incident-Pflichten werden doppelt spürbar. In der Schweiz gilt seit 1. April 2025 eine 24-Stunden-Meldepflicht für Cyberangriffe auf kritische Infrastrukturen; Sanktionen greifen seit 1. Oktober 2025. Wer EU-kritische Kunden betreibt, muss Incident Response so organisieren, dass mehrere Regime bedient werden können – schnell, sauber, dokumentiert. (ncsc.admin.ch)

Das ist machbar. Aber es ist Arbeit. Und es ist Arbeit, die kleinen Firmen nicht nebenbei erledigen, während sie gleichzeitig Fachkräftemangel und Preisdruck managen.

Was jetzt zu tun ist (ohne Brüssel-PR)

Wenn du ein Schweizer IT-KMU mit EU-Bezug bist, brauchst du keine „Festung“-Rhetorik, sondern eine nüchterne To-do-Liste:

  • SBOM/Asset-Transparenz: Welche Komponenten, Hersteller, Firmware, Abhängigkeiten?
  • Lieferantenklassifizierung: Wo hast du potenziell „High-Risk“-Exposition (Hardware, Cloud, Managed Tools)?
  • Vertragsklauseln & Exit-Pläne: Austauschbarkeit, Lieferfristen, Preisgleitklauseln – bevor der Kunde im Incident-Fall eskaliert.
  • Incident-Runbooks: 24h-Meldelogik (CH) plus EU-Prozesse; Kommunikationsplan, Beweissicherung, Verantwortlichkeiten. (ncsc.admin.ch)

Fazit: Sicherheit ja – aber nicht als politischer Nebelwerfer

Die EU hat jedes Recht, ihre kritischen Systeme resilienter zu machen. Doch die entscheidenden Fragen sind noch offen: Wie transparent sind Kriterien? Wie fair sind Übergänge? Wie hoch sind Folgekosten? Wer haftet, wenn „derisking“ zu Engpässen und Ersatzchaos führt?

Solange das ungeklärt ist, sollte man die Schlagworte („Cybersecurity Act 2“, „Festung Europa“) mit Vorsicht geniessen. Und man sollte aufhören, so zu tun, als würden die Kosten hauptsächlich „die Grossen“ treffen. In der Praxis trifft regulatorische Komplexität zuerst jene, die am wenigsten Puffer haben: kleine Betreiber, kleine Integratoren, kleine IT-Dienstleister – auch in der Schweiz.

Zurück zur Übersicht