Die EU-Cybersicherheitsagentur ENISA baut ihre Rolle massiv aus: Sie will das weltweite System zur Erfassung von Software-Schwachstellen stabilisieren und modernisieren. Dieser strategische Schwenk wurde auf der RSA-Konferenz in Kalifornien vorgestellt und markiert den Übergang der Behörde von einem beratenden Gremium zu einem operativen Zentrum.

Vom Berater zum globalen Stabilisator

Hintergrund der Ankündigung ist die anhaltende Fragilität internationaler Schwachstellen-Datenbanken. Nach Vertrags- und Finanzierungsunsicherheiten beim zentralen Common Vulnerabilities and Exposures (CVE)-Programm im vergangenen Jahr positioniert sich die EU nun als Hauptgarant für dessen Stabilität. „Die Europäische Union beabsichtigt, bei der Modernisierung dieses Eckpfeilers der Cyber-Katalogisierung zu helfen“, erklärte Hans de Vries, Cybersicherheitschef der ENISA, auf der Konferenz.

Anzeige

Während die EU die globale Infrastruktur stärkt, müssen auch Unternehmen ihre interne Sicherheit an neue Standards anpassen. Dieser Experten-Report enthüllt effektive Strategien, wie mittelständische Betriebe sich ohne Budget-Explosion gegen Cyberkriminelle wappnen können. Effektive Sicherheits-Strategien für Unternehmen entdecken

Das Ziel ist nicht Ersatz, sondern Stärkung: ENISA will technische Unterstützung leisten und die Integration europäischer und internationaler Datenbanken vertiefen. So soll verhindert werden, dass Ausfälle einzelner Stellen die globale Sicherheitsgemeinschaft gefährden. Die Agentur agiert dabei bereits als CVE Numbering Authority (CNA) und kann seit 2024 eigene Identifikationsnummern für in der EU entdeckte Schwachstellen vergeben.

EU-Datenbank EUVD: Transparenz als Standard

Parallel zum globalen Engagement hat ENISA intern einen Meilenstein erreicht: Die Europäische Schwachstellen-Datenbank (EUVD) ist seit Mai 2025 voll operativ. Als zentrale Anlaufstelle sammelt sie Informationen zu Sicherheitslücken in Produkten und Diensten auf dem EU-Markt und macht sie über Dashboards zugänglich.

Die EUVD, ein Ergebnis der NIS2-Richtlinie, bündelt Meldungen nationaler CERTs, Forscher und internationaler Programme. Sie unterstützt zudem das Common Security Advisory Framework (CSAF), das maschinenlesbare Sicherheitswarnungen ermöglicht – ein kritischer Faktor für Branchen wie die Medizintechnik. Damit reduziert die EU ihre Abhängigkeit von externen Datenquellen und schafft einen autonomen, auf europäische Bedürfnisse zugeschnittenen Rahmen.

Countdown zum Cyber Resilience Act

Die erweiterte Rolle der ENISA wird durch den bevorstehenden Cyber Resilience Act (CRA) weiter gestärkt. Ab September 2026 tritt eine zentrale Neuregelung in Kraft: Hersteller und Software-Entwickler müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden nach Entdeckung an ENISA und nationale Behörden melden.

Kürzlich veröffentlichte Leitlinien klären nun auch die Pflichten für die Open-Source-Community. Betreiber kommerziell vertriebener Open-Source-Software müssen Schwachstellen identifizieren, dokumentieren und zeitnah kostenlose Sicherheitsupdates bereitstellen. Ziel ist eine „Secure-by-Design“-Kultur in der gesamten Lieferkette. ENISA entwickelt derzeit eine zentrale Meldeplattform, um den erwarteten Datenanstieg zu bewältigen und Gegenmaßnahmen schnell in der EU zu verbreiten.

Anzeige

Die neuen EU-Regulierungen wie der Cyber Resilience Act betreffen zunehmend auch die Geschäftsführung und IT-Verantwortliche im Mittelstand. Was Sie 2024 über Cyber Security und die aktuellen KI-Gesetze wissen müssen, erfahren Sie in diesem kostenlosen Leitfaden. Kostenloses E-Book zu Cyber Security Trends sichern

ENISA als operatives Koordinationszentrum

Die Evolution geht über Datenmanagement hinaus: Eine aktuell diskutierte Reform des Cybersecurity Act sieht ENISA als einziges operatives Koordinationszentrum auf EU-Ebene vor. Das Budget der Agentur könnte bis 2034 um über 80 Prozent steigen, um Personal und Technik auszubauen.

In dieser neuen Funktion wäre ENISA für Frühwarnungen und koordinierte Reaktionen auf grenzüberschreitende Cyber-Vorfälle verantwortlich – ein Wechsel vom Richtlinien-Geber zum aktiven Verteidiger. Die Behörde soll zudem die Bekämpfung des Fachkräftemangels auf EU-Ebene koordinieren. Ein praktisches Beispiel dieser neuen Ausrichtung ist der kürzlich veröffentlichte „Technische Leitfaden für die sichere Nutzung von Package Managern“.

Ausblick: Mehr Autonomie, mehr Verantwortung

Die Reaktion der Industrie auf die erweiterte Rolle der ENISA fällt überwiegend positiv aus, auch wenn die 24-Stunden-Meldepflicht als ambitioniert gilt. Der nächste große Meilenstein ist die 10. Cybersicherheits-Standardisierungskonferenz, auf der weitere Details zur Harmonisierung der CRA-Standards finalisiert werden sollen.

Eines steht fest: ENISA ist kein unterstützender Statist mehr. Durch die Modernisierung des globalen Schwachstellen-Managements und den Aufbau robuster eigener Strukturen setzt die Agentur neue Maßstäbe dafür, wie regionale Behörden zur globalen digitalen Sicherheit beitragen können. Der Weg zum operativen Koordinationszentrum markiert den Beginn einer entschlosseneren und integrierteren Ära für die europäische Cybersicherheit.