Der EU Cybersecurity Act (CSA) ist das europäische Rahmenwerk für Cybersecurity. EU CSA legte 2019 die Grundsteine für umfangreiche Cybersecurity-Regulierung und Governance in der EU und wird 2026 mit dem CSA2 überarbeitet. Mit EU CSA2 sollen ICT-Lieferketten in der EU gestärkt und geschützt werden, Zertifizierungen für und Compliance mit EU-Regulierungen erleichtert und vor allem die Rolle der ENISA gestärkt werden. ICT Toolbox: CSA2 führt ein EU-weites Rahmenwerk zum Schutz kritischer Lieferketten in den NIS2-Sektoren ein. Damit sollen kritische ICT-Supplier (IT-Provider, Cloud, ...) durch Bewertungen auf EU-Ebene identifiziert und geschützt (reguliert) werden können. Hoch-Risiko Lieferanten: Neue Mechanismen für Lieferanten und Dienstleister mit Sitz in oder Kontrolle durch Drittländern. Dafür soll es Listen und Kontrollmechanismen durch die EU geben. (Potenzielle Schnittmenge zu Kritische Komponenten und Souveränitätsdebatte.) European Cybersecurity Certification Framework: Die Nutzung von Zertifizierungen im Rahmen von EU CSA und EU-Regulierungen soll deutlich vereinfacht werden – mit (neuen) Zertifizierungs­schemata für Klassen von IT-Anbietern, Wirksamkeit, Cyber-Posture u.v.m. ENISA in CSA2: Die operativen Aufgaben und das Mandat der ENISA für Warnungen, Koordinieren von Schwachstellen, Support, und Tools und Plattformen für die Cyber Posture der EU. EU NIS2: Die 2023 in Kraft getretene EU NIS2 Richtlinie soll mit CSA2 überarbeitet werden EU CSA2 wird aktuell als Vorschlag der Kommission zwischen Rat und EU Parlament verhandelt (im Trialog) – mit noch viel Abstimmungsbedarf und unterschiedlichen Positionen.