Cybersicherheit ist zweifellos ein zentrales Thema unserer Zeit.

Die Bedrohungslage ist real, denn allein in Österreich werden jährlich zehntausende Cyberdelikte angezeigt, mit stark steigender Tendenz bei kleinen und mittleren Unternehmen. Gerade diese Betriebe stellen 99,7 Prozent aller Unternehmen und sichern über zwei Drittel der Arbeitsplätze. Umso unverständlicher ist es, dass die EU mit dem Cybersecurity Act erneut den falschen Weg einschlägt.

„Cybersicherheit ist wichtig aber der EU-Cybersecurity Act ist kein Schutzgesetz, sondern ein Zulassungsregime“, kritisiert der freiheitliche EU-Abgeordnete Georg Mayer. „Brüssel macht aus Sicherheit ein Geschäftsmodell mit Zertifikaten, Audits und Meldepflichten.“

Was offiziell als freiwillige Regelung dargestellt wird, entwickelt sich in der Praxis zunehmend zur Voraussetzung für öffentliche Aufträge, Versicherungen und Haftungsfragen. Für österreichische KMU bedeutet das steigende Kosten, zusätzlichen Verwaltungsaufwand und einen weiteren Wettbewerbsnachteil gegenüber internationalen Konzernen. Studien zeigen, dass Zertifizierungs- und Compliance-Kosten rasch zehntausende Euro pro Produkt erreichen können – ohne messbaren Sicherheitsgewinn.

„Wer nicht zahlt, darf nicht mitmachen. Wer sich Zertifikate leisten kann, gilt als sicher – wer nicht, fliegt raus“, bringt es Mayer auf den Punkt. „Das ist keine Sicherheitspolitik, das ist Marktzugang gegen Gebühren.“

Hinzu kommt ein wachsender Regulierungsdschungel mit Überschneidungen zur NIS-2-Richtlinie, zur KI-Verordnung und zur DSGVO. Gleichzeitig fehlen vielerorts noch konkrete technische Standards, obwohl die volle Anwendung des Cybersecurity Act bereits für 2027 vorgesehen ist. Das schafft Rechtsunsicherheit und erschwert Investitionsentscheidungen.

„Cyberkriminelle lachen über EU-Siegel“, so Mayer. „Sie interessieren sich nicht für Formulare, sondern für ungepatchte Systeme und überforderte Betriebe. Papier schützt keine Server.“

Am Ende stärke der Cybersecurity Act vor allem Agenturen, Prüfer und Zertifizierungsstellen, nicht aber die reale digitale Widerstandsfähigkeit der Unternehmen. „Die Rechnung zahlen unsere Betriebe“, warnt Mayer.

Cybersicherheit brauche Praxis, Know-how und Verantwortung, nicht immer neue Regulierungen. „Brüssel muss endlich verstehen: Regulieren heißt nicht automatisch schützen“, so Mayer abschließend.